NIS2 en Italie

1. Aperçu rapide de l'applicabilité aux PME en Italie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité aux PME en Italie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Italie et, dans certains cas, aux prestataires numériques étrangers desservant le marché italien.

Les PME doivent évaluer leur qualification au regard du régime national de cybersécurité de l'Italie en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en oeuvre de NIS2 en Italie

L'Italie met en oeuvre la directive par des modifications de la loi sur le périmètre national de cybersécurité et des décrets connexes en matière de cybersécurité régissant les services essentiels et les infrastructures numériques.

Le cadre législatif révisé aligne le régime italien sur la Directive (EU) 2022/2555 et renforce les obligations relatives à la gouvernance, à la gestion des risques, à la notification des incidents et à la surveillance et au contrôle par les autorités.

L'Italie s'appuie sur son modèle établi de périmètre de cybersécurité, en intégrant les normes de la directive dans son architecture nationale de sécurité existante.

3. Champ d'application en Italie

La portée de l'Italie reflète les catégories sectorielles minimales de la directive, intégrées dans son périmètre national de cybersécurité.

4. Seuils de taille et applicabilité aux PME en Italie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités répondant aux deux critères dans les secteurs couverts entrent automatiquement dans le champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités italiennes conservent des pouvoirs de désignation formelle lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Italie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclassifier des entités lorsque l'impact opérationnel ou l'exposition aux risques justifie un renforcement de la supervision.

L'Italie applique le modèle de supervision à deux niveaux de la Directive au sein de son cadre national de sécurité établi.

6. Exigences de gestion des risques en cybersécurité en Italie

Le régime national de l'Italie est aligné sur le socle de la Directive pour la gestion des risques en cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 en Italie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur la norme ISO/IEC 27001 et les orientations italiennes en matière de cybersécurité est encouragé.

La surveillance de la chaîne d'approvisionnement comprend la diligence raisonnable des fournisseurs et des garanties contractuelles en matière de cybersécurité.

7. Responsabilité de la direction et gouvernance en Italie

Les organes de direction doivent approuver formellement les mesures de gestion des risques liés à la cybersécurité et en superviser la mise en œuvre.

Dans le cadre italien :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir une compétence suffisante en cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire de fonctions de direction peut être prévue par des mécanismes d'application alignés sur la directive.

Les attentes italiennes en matière de responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en Italie

9. Autorités de supervision et modèle d'exécution en Italie

Autorité principale : National Cybersecurity Agency (ACN).

L'Italie met en œuvre un modèle de supervision centralisé coordonné par l'ACN, avec la participation des autorités sectorielles, le cas échéant.

Les pouvoirs de supervision comprennent :

• Demandes d'informations et de documentation
• Audits de sécurité
• Inspections sur site
• Injonctions contraignantes de mise en conformité
• Participation aux mécanismes de coordination de l'UE en matière de cybersécurité

La structure d'exécution est conforme aux exigences de coopération prévues au niveau de la directive.

10. Amendes et sanctions NIS2 en Italie

L'Italie applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 en Italie peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale s'applique uniquement lorsqu'elle est expressément prévue par la législation italienne.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs NIS2 en Italie

Les entités doivent gérer l'exposition aux risques de cybersécurité des tiers via :

• Évaluations des risques fournisseurs
• Clauses contractuelles de cascade des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de l'Italie est alignée sur les attentes minimales de la Directive concernant la gestion des risques liés aux fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Italie

Les entités concernées doivent :

• S'enregistrer auprès des autorités compétentes
• Fournir les informations d'identification de l'entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les contacts de notification

Les délais procéduraux suivent le cadre de mise en œuvre italien. Au stade actuel de la transposition, l'Italie suit le cadre de base de la directive NIS2. Les modalités nationales de mise en œuvre peuvent préciser certaines obligations.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux.

13. Interaction avec le RGPD et d'autres lois en Italie

Le Règlement général sur la protection des données (RGPD) continue de s'appliquer en parallèle.

Les recoupements potentiels incluent :

• Notification d'une violation de données personnelles dans les 72 heures
• Coordination avec l'autorité de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation italienne spécifique au secteur en matière de cybersécurité

Un incident de cybersécurité peut entraîner des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se trouve en Italie sont supervisées par les autorités italiennes pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Italie peuvent être soumis à des obligations nationales selon la structure d'établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché italien.

15. Calendrier de mise en œuvre en Italie

• Adoption de la Directive : 2022
• Modifications législatives nationales : 2024–2025
• Entrée en vigueur : À la publication nationale
• Notification à la Commission : Conformément aux procédures de l'UE
• Jalon de conformité : Échéances alignées sur la directive

Le calendrier de transposition de l'Italie est aligné sur les exigences de mise en œuvre de l'UE.

16. Points clés pour les PME en Italie

• Les entités de taille moyenne des secteurs couverts entrent automatiquement dans le champ d’application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• Une supervision de la gouvernance au niveau du conseil d’administration est obligatoire.
• La notification des incidents suit des délais de 24 h / 72 h / 1 mois.
• Les sanctions financières peuvent atteindre €10 millions ou 2 % du chiffre d’affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• Une planification précoce de la conformité réduit l’exposition aux mesures d’application.

FAQ : Guide NIS2 pour les PME en Italie