Entreprise
Prix
Newsletter
Contact

Connexion

Démarrer l'essai gratuit

Menu

Menu

A propos de
Tarification
Newsletter
Contacts
ConnexionDémarrer l'essai gratuit
Entreprises

Directive NIS2 : opportunité ou obstacle pour les entreprises italiennes ?

Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, et la responsabilité incombe directement aux dirigeants. La directive NIS2 n'est pas seulement une question de conformité : il s'agit d'un changement de paradigme dans la cybersécurité européenne impliquant des secteurs jamais touchés auparavant, des déchets à l'espace. Découvrez les cinq principaux enjeux pour les entreprises italiennes, les principales échéances jusqu'en octobre 2026 et les raisons pour lesquelles même celles qui ne sont pas obligées de le faire devraient commencer à se mettre en conformité dès maintenant.
Fabio Lauria
Directeur général et fondateur d'Electe‍

Résumer cet article avec l'IA

Google AI Claude Claude OpenAI ChatGPT Grok Grok Perplexity Perplexity

Introduction : un nouveau paradigme pour la sécurité informatique

La directive NIS2, entrée en vigueur le 17 janvier 2023 (16 octobre en Italie), représente un profond changement par rapport à la précédente directive NIS. Ce cadre réglementaire vise à créer une cyber-stratégie commune à tous les États membres de l'UE, avec pour objectif principal d'augmenter les niveaux de sécurité des services numériques dans l'ensemble de l'UE  

La saison de mise en œuvre de la directive européenne NIS2 a officiellement commencé, ce qui représente un changement plus que significatif dans l'approche de la gestion de la sécurité de l'information.

Tout en appréciant l'effort de communication de l'Agence nationale de cybersécurité (ANC), qui relègue l'aspect du processus de répression et de sanction au second plan par rapport à la promotion de la participation active, il est évident que le processus de mise en œuvre des objectifs de la directive ne peut se résumer à une obéissance formelle au système de gestion de la sécurité - ce que l'on appelle communément la "sécurité papier" - mais nécessite au contraire un effort substantiel pour définir des objectifs concrets et durables en matière de sécurité.

L'extension du périmètre : qui est impliqué dans le NIS2 ?

La directive NIS2 représente une étape importante vers une cybersécurité et une résilience accrues, partagées par toute l'Europe. Lorsqu'il s'agit de règlements et de directives, de nombreuses entreprises considèrent la conformité comme l'objectif ultime : quelque chose qu'elles doivent respecter en se conformant à des exigences minimales. Or, cette conformité devrait être considérée comme le point de départ pour atteindre des niveaux plus élevés de cybersécurité.

La directive NIS2 découle d'une révision majeure du NIS et marque une nouvelle étape importante vers la définition complète de la cyberstratégie européenne, en prévoyant des réponses adéquates, coordonnées et innovantes de la part des États membres afin d'assurer la continuité des services numériques en cas d'incidents de sécurité.

La directive NIS2 élargit considérablement le champ d'application par rapport à la directive NIS précédente, en incluant des secteurs cruciaux tels que la gestion des déchets, les transports, l'industrie alimentaire, l'approvisionnement et la distribution d'eau potable, l'infrastructure numérique, l'administration publique, la production, la recherche et le développement de médicaments et de dispositifs médicaux, ainsi que le secteur spatial.

Le décret législatif 138/2024, qui transpose la directive NIS2 en droit italien, prévoit que les dispositions seront applicables à partir du 16 octobre 2024.

Le règlement ne s'appliquera pas aux petites entreprises , sauf si l'entité est considérée comme "critique" au sens de la directive RCE, si elle est un fournisseur de réseaux publics de communications électroniques, un fournisseur de services de confiance ou si elle entre dans d'autres catégories spécifiques considérées comme essentielles.

Le NIS2 s'applique également aux entreprises de moins de 50 employés si elles fournissent un service essentiel dans un État membre, si leur service est crucial pour la sûreté, la sécurité ou la santé publique, ou si elles font partie de la chaîne d'approvisionnement d'une entreprise essentielle ou importante.

Les principaux enjeux pour les entreprises

1. Complexité du modèle en couches et problèmes de classification

Cette complexité opérationnelle se reflète dans le choix du législateur italien d'un modèle "à plusieurs niveaux". La première couche est la couche standard, c'est-à-dire celle des sujets essentiels ou importants qui dépassent les limites de taille des petites entreprises. La deuxième couche est constituée des entités qui, indépendamment de leur taille ou de leur chiffre d'affaires, entrent dans des catégories spécifiques prescrites.

Un problème important concerne la mesure réelle de l'aspect de la taille, en raison de la référence à la notion d'"entreprises affiliées" sur laquelle, dans le monde des affaires, il n'y a pas toujours une clarté de vision absolue.

Le lien entre deux ou plusieurs sociétés est, en théorie, indépendant de l'intention de former un véritable groupe formalisé, ce qui a pour conséquence d'exclure du groupe des petites et moyennes entreprises les entités qui, même considérées individuellement, n'atteindraient pas les limites de taille prévues par la règle.

2. Charges économiques et organisationnelles

Lorsque nous passons de l'idéalité du processus à l'approche concrète, le problème est assez différent, car il se heurte à la taille économique d'un pays dont la structure fondamentale est constituée d'un grand nombre de petites et moyennes entreprises. Cela pose un défi important dans la mise en œuvre de NIS2, qui pourrait être excessivement lourd pour les réalités plus petites.

Créée dans le but d'améliorer la cybersécurité de l'Union européenne, la directive NIS2 prévoit des sanctions purement administratives et pénales. Les opérateurs essentiels sont passibles d'amendes administratives pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial total. Les opérateurs majeurs, quant à eux, peuvent se voir infliger des amendes allant jusqu'à 7 millions d'euros ou jusqu'à 1,4 % du chiffre d'affaires mondial total.

3. Responsabilité de la direction

Le décret législatif introduit une certitude : il y aura une responsabilité des organes de gestion et de direction. Les organes de direction des entreprises seront appelés à jouer un rôle actif dans le respect de la législation, ils devront approuver la mise en œuvre des mesures de gestion des risques de sécurité, superviser l'exécution des obligations prévues par la législation et seront tenus pour responsables en cas de violation.

4. Signalement des incidents et gestion des risques

Le décret de transposition renforce les exigences en matière de notification des incidents, en stipulant que les incidents ayant un impact significatif sur la prestation de services doivent être signalés au CSIRT Italie dans les plus brefs délais. La procédure de notification prévoit des délais stricts : une pré-notification dans les 24 heures, une notification dans les 72 heures suivant l'événement et un rapport final dans le mois suivant l'événement.

La directive NIS2 définit un certain nombre d'exigences principales que les organisations doivent respecter pour garantir un niveau élevé de cybersécurité. Ces exigences comprennent : l'analyse des risques et les politiques de sécurité des systèmes d'information, les stratégies d'évaluation de l'efficacité des mesures de gestion des risques, les pratiques de base en matière d'hygiène numérique et la formation à la cybersécurité.

5. Se concentrer sur la chaîne d'approvisionnement

Il apparaît que la législation transposant la directive NIS2 ne se concentre pas seulement sur les secteurs considérés comme hautement critiques ou critiques, mais, de manière prévoyante, également sur leurs fournisseurs, élargissant ainsi considérablement le nombre de sujets susceptibles d'être affectés par l'application du décret législatif.

La directive NIS 2 prévoit que les entités obligées devront prendre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques de sécurité posés aux systèmes d'information et aux réseaux, en tenant également compte de la sécurité de la chaîne d'approvisionnement, y compris les aspects de sécurité concernant la relation entre chaque entité et ses fournisseurs directs ou ses prestataires de services.

Principales échéances à respecter

C'est ainsi que commence la course à la conformité, qui doit être achevée d'ici octobre 2026. Au début de l'année 2025, les entreprises identifiées comme sujets NIS2 doivent être opérationnelles et avoir mis en place toutes les mesures nécessaires, y compris les systèmes de gestion de la sécurité informatique et les responsabilités de gestion. D'ici mai 2025, les entreprises doivent mettre à jour leurs données dans la plateforme institutionnelle. En janvier 2026, l'obligation formelle de signaler les incidents significatifs en temps utile entre en vigueur et, en septembre 2026, les organisations doivent avoir mis en œuvre toutes les mesures de sécurité requises.

À partir du 16 octobre 2024, le nouveau règlement sur la sécurité des réseaux et de l'information (NIS) est en vigueur. L'ACN est l'autorité compétente en matière de NIS et le point de contact unique. Du 1er décembre 2024 au 28 février 2025, les moyennes et grandes entreprises, dans certains cas également les petites et microentreprises, ainsi que les administrations publiques auxquelles la nouvelle législation s'applique doivent s'enregistrer sur le portail de services ACN.

Conclusion : un changement de paradigme nécessaire mais exigeant

L'interconnexion et la numérisation croissantes de la société exposent de plus en plus les institutions, les entreprises et les citoyens aux cybermenaces.

La direction de l'Agence nationale de cybersécurité s'est publiquement engagée à pérenniser ce processus, qui peut véritablement marquer un tournant dans la capacité du pays à faire face aux menaces croissantes. Il faudra attendre de voir comment le tissu productif et administratif du pays sera capable de répondre à ce qui est, de toute évidence, un profond tournant culturel et qui, comme on peut s'en douter, ne sera ni une promenade de santé ni "neutre en termes de coûts".

L'adaptation à NIS2 n'est donc pas seulement une question de conformité à la norme, mais peut aussi être une bonne occasion d'introduire une culture de la sécurité ainsi que les meilleures pratiques techniques et organisationnelles dans l'entreprise, ce qui peut augmenter considérablement le niveau de sécurité informatique. Il est toutefois important de commencer dès à présent à préparer un plan d'adaptation afin de mettre en conformité les différents actifs et le personnel de l'entreprise par étapes avec des cycles de formation périodique appropriés.

Même si vous ne faites pas partie des entreprises tenues de se conformer à la directive NIS2, il est important de commencer un cours de sensibilisation aux cyberrisques pour protéger l'avenir de votre entreprise.

Le NIS2 représente donc un défi complexe mais nécessaire pour les entreprises italiennes. S'il impose de nouvelles obligations et responsabilités qui peuvent sembler lourdes, il offre aussi l'occasion de repenser la sécurité informatique comme un élément stratégique et non comme un simple coût.

Ressources pour la croissance des entreprises

9 novembre 2025

Réglementation de l'IA pour les applications grand public : comment se préparer aux nouvelles réglementations de 2025

2025 marque la fin de l'ère du "Far West" de l'IA : AI Act EU opérationnel à partir d'août 2024 avec des obligations de maîtrise de l'IA à partir du 2 février 2025, gouvernance et GPAI à partir du 2 août. La Californie fait figure de pionnière avec le SB 243 (né après le suicide de Sewell Setzer, une adolescente de 14 ans ayant développé une relation émotionnelle avec un chatbot) qui impose l'interdiction des systèmes de récompense compulsifs, la détection des idées de suicide, un rappel toutes les 3 heures "Je ne suis pas humain", des audits publics indépendants, des pénalités de 1 000 $/violation. Le SB 420 exige des évaluations d'impact pour les "décisions automatisées à haut risque" avec des droits d'appel de révision humaine. Application réelle : Noom a été cité en 2022 pour des robots se faisant passer pour des entraîneurs humains ; règlement de 56 millions de dollars. Tendance nationale : l'Alabama, Hawaï, l'Illinois, le Maine et le Massachusetts considèrent l'absence de notification des robots de conversation comme une violation de l'UDAP. Approche à trois niveaux des systèmes à risque critique (soins de santé/transports/énergie) : certification préalable au déploiement, divulgation transparente au consommateur, enregistrement à des fins générales + tests de sécurité. Patchwork réglementaire sans préemption fédérale : les entreprises présentes dans plusieurs États doivent s'adapter à des exigences variables. UE à partir d'août 2026 : informer les utilisateurs de l'interaction de l'IA à moins qu'elle ne soit évidente, le contenu généré par l'IA doit être étiqueté comme étant lisible par une machine.
9 novembre 2025

Quand l'IA deviendra votre seul choix (et pourquoi vous l'aimerez)

"Une entreprise a secrètement désactivé des systèmes d'intelligence artificielle pendant 72 heures. Résultat ? Une paralysie totale de la décision. La réaction la plus fréquente à la réinitialisation ? Le soulagement". D'ici 2027, 90 % des décisions commerciales seront déléguées à l'IA - les humains serviront d'"interfaces biologiques" pour maintenir l'illusion du contrôle. Ceux qui résisteront seront considérés comme ceux qui ont fait des calculs à la main après l'invention de la calculatrice. La question n'est plus de savoir si nous succomberons, mais avec quelle élégance.
9 novembre 2025

Réglementer ce qui n'est pas créé : l'Europe risque-t-elle d'être dépassée sur le plan technologique ?

L'Europe n'attire qu'un dixième des investissements mondiaux dans le domaine de l'intelligence artificielle, mais prétend dicter les règles mondiales. C'est ce qu'on appelle "l'effet Bruxelles" : imposer des règles à l'échelle planétaire grâce à son pouvoir de marché sans stimuler l'innovation. La loi sur l'IA entre en vigueur selon un calendrier échelonné jusqu'en 2027, mais les multinationales de la technologie y répondent par des stratégies d'évasion créatives : elles invoquent le secret commercial pour éviter de révéler les données de formation, produisent des résumés techniquement conformes mais incompréhensibles, utilisent l'auto-évaluation pour déclasser les systèmes de "risque élevé" à "risque minimal", font du "forum shopping" en choisissant des États membres où les contrôles sont moins stricts. Le paradoxe du droit d'auteur extraterritorial : l'UE exige qu'OpenAI se conforme aux lois européennes même pour la formation en dehors de l'Europe - un principe jamais vu auparavant dans le droit international. Le "modèle dual" émerge : versions européennes limitées contre versions mondiales avancées des mêmes produits d'IA. Risque réel : l'Europe devient une "forteresse numérique" isolée de l'innovation mondiale, les citoyens européens ayant accès à des technologies inférieures. La Cour de justice, dans l'affaire de l'évaluation du crédit, a déjà rejeté la défense fondée sur le "secret commercial", mais l'incertitude interprétative reste énorme : que signifie exactement un "résumé suffisamment détaillé" ? Personne ne le sait. Dernière question non résolue : l'UE crée-t-elle une troisième voie éthique entre le capitalisme américain et le contrôle de l'État chinois, ou exporte-t-elle simplement la bureaucratie dans un domaine où elle n'est pas en concurrence ? Pour l'instant : leader mondial dans la réglementation de l'IA, marginal dans son développement. Vaste programme.
9 novembre 2025

Outliers : Quand la science des données rencontre les histoires à succès

La science des données a bouleversé le paradigme : les valeurs aberrantes ne sont plus des "erreurs à éliminer", mais des informations précieuses à comprendre. Une seule valeur aberrante peut complètement fausser un modèle de régression linéaire - faire passer la pente de 2 à 10 - mais l'éliminer pourrait signifier perdre le signal le plus important de l'ensemble de données. L'apprentissage automatique introduit des outils sophistiqués : Isolation Forest isole les valeurs aberrantes en construisant des arbres de décision aléatoires, Local Outlier Factor analyse la densité locale, Autoencoders reconstruit les données normales et signale ce qu'il ne peut pas reproduire. Il existe des valeurs aberrantes globales (température de -10°C sous les tropiques), des valeurs aberrantes contextuelles (dépenser 1 000 euros dans un quartier pauvre), des valeurs aberrantes collectives (pics de trafic synchronisés sur le réseau indiquant une attaque). Parallèle avec Gladwell : la "règle des 10 000 heures" est contestée - Paul McCartney dixit "de nombreux groupes ont fait 10 000 heures à Hambourg sans succès, la théorie n'est pas infaillible". Le succès des mathématiques en Asie n'est pas génétique mais culturel : le système numérique chinois est plus intuitif, la culture du riz nécessite une amélioration constante, alors que l'agriculture occidentale est fondée sur l'expansion territoriale. Applications réelles : les banques britanniques récupèrent 18 % de leurs pertes potentielles grâce à la détection d'anomalies en temps réel, le secteur manufacturier détecte des défauts microscopiques qui échapperaient à une inspection humaine, le secteur de la santé valide les données d'essais cliniques avec une sensibilité de détection d'anomalies de plus de 85 %. Dernière leçon : alors que la science des données passe de l'élimination des valeurs aberrantes à leur compréhension, nous devons considérer les carrières non conventionnelles non pas comme des anomalies à corriger, mais comme des trajectoires précieuses à étudier.
Pages
Accueil
Entreprise
Prix
Newsletter
Contact
2025 ELECTE S.R.L. - Milan, Italie
[email protected].

Made with ♥️

Page d'état - Portail client - Documentation