Français
HOME > News > Blog >
Cybersécurité : entrée en vigueur de la directive NIS2

Article

Cybersécurité : entrée en vigueur de la directive NIS2

No items found.
Category:
Corporate
16/12/2024

La nouvelle frontière de la cybersécurité pour protéger les administrations publiques, les entreprises et les chaînes d’approvisionnement : enjeux et modalités d’adaptation à la directive imposant de nouvelles normes de cybersécurité.

Le 1er octobre 2024, le gouvernement italien a publié au Journal officiel le décret législatif transposant la directive NIS2. Cette directive vise à renforcer le niveau global de cybersécurité au sein des États membres de l’Union européenne en garantissant l’adoption de mesures techniques et organisationnelles adéquates face aux cyberrisques. Cela inclut le renforcement de la résilience des entreprises tout au long du processus de gestion des risques, de la prévention à la réduction de l’impact de tels incidents.

Le cadre de la sécurité des réseaux et des systèmes d’information (NIS) a été aligné sur d’autres réglementations européennes sectorielles telles que le Digital Operational Resilience Act (DORA), qui vise à renforcer les mesures de cybersécurité dans le secteur financier, ainsi que la directive Critical Entities Resilience (CER), destinée à réduire les vulnérabilités des infrastructures critiques telles que l’énergie, les transports et l’eau potable face aux attaques hybrides, aux catastrophes naturelles, aux menaces terroristes et aux urgences de santé publique.

Cette nouvelle législation intervient à un moment historique sans précédent : la pandémie de COVID-19 et le conflit entre la Russie et l’Ukraine ont remodelé le monde numérique, augmentant les vulnérabilités et les risques. NIS2 constitue ainsi une réponse stratégique et systématique visant à renforcer la résilience dans 18 secteurs hautement critiques, notamment l’énergie, les télécommunications, la logistique et la gestion des déchets.

La sécurité n’est pas seulement une obligation réglementaire ; elle constitue également un choix stratégique et peut représenter un avantage concurrentiel pour les entreprises : protéger son périmètre numérique garantit la stabilité et la capacité à être compétitif sur le marché.

Principales innovations de la directive NIS2

La directive exige que les États membres adoptent des plans nationaux de cybersécurité et créent ou désignent des autorités nationales compétentes, des autorités chargées de la gestion des incidents, des points de contact uniques ainsi que des mécanismes de contrôle et de sanction.

Une réponse rapide aux incidents majeurs ainsi qu’une collaboration entre les États membres sont également requises. La directive prévoit la création d’une équipe de réponse aux incidents de sécurité informatique (CSIRT – Computer Security Incident Response Team) afin de soutenir les États membres et les opérateurs économiques.

La directive introduit le concept de sécurité de la chaîne d’approvisionnement (Supply Chain Security) ainsi que les exigences qui y sont associées, en élargissant les catégories d’entités auxquelles elle s’applique : les entités essentielles (secteurs hautement critiques) et les entités importantes opérant dans des secteurs critiques, telles que les « opérateurs de services essentiels » et les « fournisseurs de services numériques ».

L’un des thèmes centraux est la protection de la chaîne d’approvisionnement : chaque acteur, des fournisseurs aux prestataires de maintenance, doit être sécurisé afin d’éviter qu’un seul maillon faible ne compromette l’ensemble du système.

L’Agence nationale italienne pour la cybersécurité travaille déjà à la définition, d’ici avril 2025, de mesures flexibles fondées sur le risque, en fournissant des lignes directrices pratiques pour se défendre contre des attaques de plus en plus sophistiquées.

Obligations et échéances de la directive NIS2

Le décret législatif 138/2024 introduit les obligations et les échéances relatives à la transposition de NIS2, détaillées ci-dessous :

Les entreprises et les administrations publiques doivent évaluer si elles sont soumises aux obligations prévues par la directive.

Du 1er décembre 2024 au 28 février 2025, les points de contact désignés doivent s’authentifier sur le portail de l’Agence nationale pour la cybersécurité (ACN) à l’aide de leurs identifiants SPID. Durant cette période, les personnes de contact doivent compléter une déclaration via le service NIS/Registration, en garantissant l’exactitude et la mise à jour des informations fournies.

Plus précisément, comme indiqué dans un guide DNV, les utilisateurs doivent :

  • indiquer si l’entité fait partie d’un groupe d’entreprises et fournir le code fiscal de la société mère, le cas échéant ;
  • répertorier les sociétés liées ainsi que leurs codes fiscaux ;
  • indiquer les codes Ateco décrivant l’activité de l’entité ;
  • préciser les réglementations sectorielles européennes pertinentes ;
  • fournir les données relatives au chiffre d’affaires, au bilan et aux effectifs afin de déterminer la catégorie de l’entreprise.

Au plus tard le 17 janvier 2025, les fournisseurs de services de système de noms de domaine (DNS), les opérateurs de registres de domaines de premier niveau, les fournisseurs de services d’enregistrement de noms de domaine, les fournisseurs de services de cloud computing, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services managés et de services de sécurité, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche et de plateformes de réseaux sociaux, doivent s’enregistrer sur la plateforme.

Au plus tard le 31 mars 2025, l’ACN établira une liste des entités essentielles et importantes sur la base des inscriptions effectuées sur la plateforme.

Entre le 1er et le 15 avril 2025, l’ACN notifiera aux entités concernées leur inclusion éventuelle dans la liste des entités essentielles ou importantes.

Au plus tard le 15 avril 2025, les entités notifiées devront désigner, par un acte spécifique, une personne responsable du respect des obligations prévues par le décret.

Les entités concernées par la directive devront satisfaire à des obligations supplémentaires, notamment la notification des incidents à compter du 1er janvier 2026 et la mise en conformité des organes de gouvernance ainsi que des mesures de sécurité au plus tard le 1er octobre 2026.

L’Agence nationale pour la cybersécurité mettra à jour chaque année la liste des entités concernées, et les entreprises ainsi que les administrations publiques auront la possibilité de s’enregistrer chaque année entre janvier et février si elles estiment relever du champ d’application de la directive.

À la suite de l’entrée en vigueur de NIS2 et de l’identification des opérateurs concernés, des audits aléatoires et des activités de surveillance pourront être menés afin de vérifier la conformité.

Le non-respect des exigences prévues pourrait entraîner des sanctions à l’encontre des entreprises concernées.

contact us

Read more

Related articles

Tesisquare announces its membership in Anitec-Assinform
Corporate
15/5/2026
Tesisquare rejoint Anitec-Assinform : une nouvelle étape dans l’innovation numérique de la supply chain
Tesisquare rejoint Anitec-Assinform pour accélérer l’innovation numérique, la collaboration supply chain et la transformation B2B.
read article
Partner
23/4/2026
Tesisquare et SOFT-CONSULT : une alliance stratégique pour accélérer la numérisation de la Supply Chain dans la région DACH
Tesisquare annonce un nouveau partenariat stratégique avec SOFT-CONSULT.
read article
Tesisquare et UNO Logística
Corporate
10/4/2026
Tesisquare et UNO Logística s’associent pour accélérer la digitalisation de la logistique en Espagne
Tesisquare a annoncé un partenariat stratégique avec UNO Logística, l’organisation de référence du secteur espagnol du logistique.
read article

Vous avez besoin d’informations supplémentaires?

Veuillez remplir le formulaire avec vos questions et n’hésitez pas à nous contacter