Le 28 février, nombre d’entreprises italiennes ont dû commencer à se conformer aux nouvelles obligations imposées par la directive destinée à assurer un niveau élevé de cybersécurité dans l’UE.
Un véritable changement de vitesse sur le plan de la résilience numérique. Le 28 février 2025, un grand nombre d’entreprises italiennes ont dû commencer à se conformer aux nouvelles obligations imposées par la directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « Directive NIS2 ». En effet, toutes les entreprises entrant dans le périmètre d’application de la directive – à l’exception des entreprises du secteur des technologies de l’information et de la communication (TIC) qui avaient dû se conformer avant - étaient censées effectuer leur enregistrement auprès de l’Agenzia per la cybersicurezza nazionale (ACN), via une plateforme numérique, avant la deadline du 28 février.
Dans quel contexte intervient la directive NIS2 ?
Partout dans le monde, les entreprises, les administrations et les particuliers sont confrontés à une évolution constante des menaces provenant de l’environnement numérique. Celles-ci peuvent affecter la sécurité des données ou bien la continuité des services nécessaires au quotidien, et peuvent représenter un grave danger sur le plan économique et social.
À partir de ce constat, l’Union Européenne avait fait un effort d’harmonisation en 2016 avec la première Directive Network and Information Security (ci-après « NIS »), exigeant des Etats membres qu’ils identifient les opérateurs considérés comme étant « essentiels » dans un certain nombre de secteurs critiques et qu’ils leur donnent des indications quant aux mesures de cybersécurité à adopter.
Tout en ayant eu le mérite de créer un premier socle commun de protection des menaces cyber et de coopération entre Etats membres en ce qui concerne, par exemple, la gestion coordonnée des incidents de sécurité numérique, une révision de la directive s’est imposée à cause d’une assez grande divergence dans les modalités d’application pratique de la directive dans les différents Etats membres.
Quelles sont les principales innovations introduites par la NIS2 ?
La directive NIS2 réalise un véritable changement de vitesse sur le plan de la résilience numérique, en apportant notamment les innovations suivantes:
- Un important élargissement des secteurs d’activité concernés : les secteurs visés par la première directive NIS étaient au nombre de 10 : énergie, transport, banques, infrastructures des marchés financiers, secteur de la santé, fourniture et distribution d’eau potable, infrastructures numériques, marchés en ligne, moteurs de recherche, services « cloud », auxquels s’ajoutent avec NIS2: eaux usées, infrastructures numériques, gestion des services TIC, administration publique, espace, services postaux et d’expédition, gestion des déchets, fabrication, production et distribution de produits chimiques, production, transformation et distribution des denrées alimentaires, fabrication de dispositifs médicaux et de diagnostic, produits et équipements électroniques, informatiques et mécaniques, centres de recherche. Cette extension du champ d’application implique la mise en conformité de certains secteurs qui n’étaient jusqu’à présent pas concernés et ont peu de maturité sur le plan de la gestion des risques cyber.
- Des critères uniformes et transparents pour l’identification des entreprises concernées: au sein des secteurs ci-dessus mentionnés, entrent dans le périmètre d’application les entreprises ayant, a minima, une taille « moyenne » suivant la classification prévue par le droit de l’Union Européenne, c’est-à-dire celles qui remplissent un des critères alternatifs suivants : (1) l’entreprise emploie 50 (ou plus) salariés, ou bien (2) présente un chiffre d'affaires annuel et un total du bilan de plus de 10 millions d'euros. Cependant, certaines entreprises sont exclues de l’application du critère dimensionnel, et entrent dans le champ d’application de la directive indépendamment de leur taille, en raison de leurs activités ou d’autres caractéristiques permettant de les qualifier d’acteurs particulièrement sensibles: par exemple, les fournisseurs de services de confiance (ex : signatures électroniques) ou de services de noms de domaine, ou bien les opérateurs qui se trouveraient à être, dans un État membre, « le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques ».
- La responsabilité des organes de gestion : désormais, les organes de direction des entités concernées doivent approuver le plan des mesures de gestion des risques cyber et superviser sa mise en œuvre. La directive prévoit expressément que ces organes peuvent être tenus responsables d’éventuelles violations de la directive par l’entité.
- Le principe de l’évaluation des risques accompagné par un « catalogue minimum » de mesures de sécurité : les entreprises NIS2 devront adopter une véritable stratégie de gestion de risques, ce qui comporte d’analyser « les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services » et d’adopter des mesures techniques, opérationnelles et organisationnelles « appropriées et proportionnées » pour la gestion et pour la réduction de ce risque. La directive prévoit aussi un catalogue de mesures que les organisations doivent appliquer a minima. Par exemple :
• la mise en place de politiques de gestion des incidents et de continuité des activités, ainsi que de contrôle des accès ;
• un plan de cyber-hygiène et de formation relative au risque cyber ;
• des mesures de contrôle de la chaine d’approvisionnement ;
• l’éventuelle implémentation de systèmes d’authentification à plusieurs facteurs.
- Un nouveau régime de sanctions et de contrôles : celui-ci se rapproche du régime introduit par le RGPD, avec des sanctions potentiellement très élevées (jusqu’à 10 millions d’Euros ou 2 % du chiffre d’affaires annuel, pour les entités essentielles, 7 millions d’Euros ou 1,4 % du chiffre d’affaires annuel, pour les entités importantes). De plus, les autorités nationales de cybersécurité pourront donner des indications spécifiques, y compris de nature technique ou organisationnelle, pour la mise en conformité des services des entités, et même imposer des astreintes pour contraindre l’entité à s’y conformer.
Quelles démarches pour les entreprises concernées ?
Après la première étape de l’enregistrement auprès de l’Autorité, les entreprises devront notamment se concentrer sur la mise en place de politiques de gestion des incidents et d’un plan de mesures de gestion du risque de cybersécurité. En Italie, où la directive NIS2 a été transposée avec le Decreto Legislativo n. 138 du 4 septembre 2024, les échéances pour ces deux obligations sont prévues, respectivement, en janvier et en octobre 2026.
Qu’en est-il de la mise en application dans les autres Etats membres, et notamment en France ?
La directive prévoyait une date de transposition dans le droit des Etats de l’UE au plus tard le 17 octobre 2024 ; toutefois, une majorité des Pays est intervenue en retard par rapport à cette échéance, ce qui a conduit la Commission européenne, fin novembre 2024, à mettre en demeure 23 Etats membres afin qu’ils transposent la directive. En France, un projet de loi pour transposer la directive NIS2, la directive sur la résilience des entités critiques (directive « CER ») et le règlement applicable à la résilience numérique des entités financières (Règlement « DORA ») sont actuellement en discussion.
Vivian Grace Chammah
Sur le même sujet
L'annuaire 
L'agenda 
