NIS2 en Italie

1. Aperçu rapide de l'applicabilité aux PME en Italie

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité aux PME en Italie ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Italie et, dans certains cas, aux prestataires numériques étrangers desservant le marché italien.

Les PME doivent évaluer leur qualification au regard du régime national de cybersécurité de l'Italie en fonction de la classification sectorielle et des seuils légaux.

2. Aperçu de la mise en oeuvre de NIS2 en Italie

L'Italie a achevé la transposition de NIS2 par le décret législatif n° 138/2024 (4 septembre 2024), publié à la Gazzetta Ufficiale le 1er octobre 2024 et en vigueur depuis le 16 octobre 2024. Le décret remplace l'ancien régime NIS1 par un cadre cybersécurité autonome et complet.

L'Italie a élargi le champ d'application au-delà du minimum prévu par la directive grâce aux annexes III et IV nationales, qui couvrent des entités supplémentaires telles que les organismes du gouvernement central, les opérateurs de transport public local et les entités d'intérêt culturel. Une clause de sauvegarde (DPCM 221/2024, en vigueur depuis le 11 février 2025) permet aux filiales de groupe indépendantes en matière TIC de demander un traitement adapté. Le décret adopte également la terminologie plus large d'« organes de gouvernance et de direction » afin de clarifier les responsabilités.

La conformité repose sur le Cadre national pour la cybersécurité et la protection des données de l'ACN (mise à jour 2025, aligné sur NIST CSF 2.0). Les mesures techniques minimales étaient dues d'ici avril 2025 et les mesures à long terme d'ici avril 2026, la conformité totale aux mesures de sécurité étant requise au plus tard le 1er octobre 2026.

3. Champ d'application en Italie

L'Italie va au-delà du champ minimal de la directive grâce aux annexes III et IV nationales, qui couvrent des secteurs supplémentaires tels que l'administration centrale, le transport public local et les entités d'intérêt culturel. Les entreprises liées remplissant les critères pertinents sont également couvertes.

4. Seuils de taille et applicabilité aux PME en Italie

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités répondant aux deux critères dans les secteurs couverts entrent automatiquement dans le champ d'application.

Les petites et microentreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités italiennes conservent des pouvoirs de désignation formelle lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités en Italie

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclassifier des entités lorsque l'impact opérationnel ou l'exposition aux risques justifie un renforcement de la supervision.

L'Italie applique le modèle de supervision à deux niveaux de la Directive au sein de son cadre national de sécurité établi.

6. Exigences de gestion des risques en cybersécurité en Italie

Le régime national de l'Italie est aligné sur le socle de la Directive pour la gestion des risques en cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 en Italie
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition au risque de l'organisation. Le Cadre national pour la cybersécurité et la protection des données de l'Italie (aligné sur NIST CSF 2.0) et la résolution d'application d'avril 2025 de l'ACN définissent les mesures de sécurité minimales : l'annexe 1 s'applique aux entités importantes et l'annexe 2 aux entités essentielles. La norme ISO/IEC 27001 est également acceptée. La conformité totale aux mesures de sécurité est requise au plus tard le 1er octobre 2026.

La supervision de la chaîne d'approvisionnement comprend la due diligence des fournisseurs et des garanties contractuelles en matière de cybersécurité. Les entités doivent identifier annuellement leurs fournisseurs NIS pertinents via la plateforme de l'ACN.

7. Responsabilité de la direction et gouvernance en Italie

Les organes de direction doivent approuver formellement les mesures de gestion des risques liés à la cybersécurité et en superviser la mise en œuvre.

Dans le cadre italien :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir une compétence suffisante en cybersécurité.
• Des sanctions administratives peuvent viser des défaillances de gouvernance.
• La suspension temporaire de fonctions de direction peut être prévue par des mécanismes d'application alignés sur la directive.

Les attentes italiennes en matière de responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents en Italie

9. Autorités de supervision et modèle d'exécution en Italie

Autorité principale : National Cybersecurity Agency (ACN).

L'Italie met en œuvre un modèle de supervision centralisé coordonné par l'ACN, avec la participation des autorités sectorielles, le cas échéant.

Les pouvoirs de supervision comprennent :

• Demandes d'informations et de documentation
• Audits de sécurité
• Inspections sur site
• Injonctions contraignantes de mise en conformité
• Participation aux mécanismes de coordination de l'UE en matière de cybersécurité

La structure d'exécution est conforme aux exigences de coopération prévues au niveau de la directive.

10. Amendes et sanctions NIS2 en Italie

L'Italie applique des sanctions administratives alignées sur la directive.

L'application des amendes NIS2 en Italie peut également inclure :

• Injonctions correctives contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

La responsabilité pénale s'applique uniquement lorsqu'elle est expressément prévue par la législation italienne.

11. Sécurité de la chaîne d'approvisionnement et des fournisseurs NIS2 en Italie

Les entités doivent gérer l'exposition aux risques de cybersécurité des tiers via :

• Évaluations des risques fournisseurs
• Clauses contractuelles de cascade des exigences de sécurité
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L'approche de l'Italie est alignée sur les attentes minimales de la Directive concernant la gestion des risques liés aux fournisseurs.

12. Obligations d'enregistrement et d'auto-identification en Italie

Les entités concernées doivent :

• S'enregistrer auprès de l'ACN via son portail numérique dédié pendant la fenêtre annuelle d'enregistrement (1er janvier – 28 février). La première fenêtre d'enregistrement (1er décembre 2024 – 28 février 2025) et l'échéance antérieure pour les fournisseurs d'infrastructures numériques (17 janvier 2025) sont déjà passées.
• Fournir les informations d'identification de l'entité
• Communiquer leur classification sectorielle
• Maintenir à jour les contacts de notification

L'ACN publie chaque année la liste des entités dans le champ d'application avant le 31 mars et les notifie avant le 15 avril. La fenêtre annuelle de mise à jour court du 15 avril au 31 mai (prolongée jusqu'au 31 juillet pour la première année, 2025). À partir de 2026, les entités devront également communiquer leurs activités/services et leurs fournisseurs NIS pertinents entre le 1er mai et le 30 juin.

L'auto-identification est obligatoire lorsque les entités atteignent les seuils légaux. La clause de sauvegarde pour les filiales de groupe indépendantes en matière TIC peut également être demandée via la plateforme de l'ACN au moment de l'enregistrement.

13. Interaction avec le RGPD et d'autres lois en Italie

Le Règlement général sur la protection des données (RGPD) continue de s'appliquer en parallèle.

Les recoupements potentiels incluent :

• Notification d'une violation de données personnelles dans les 72 heures
• Coordination avec l'autorité de contrôle
• Enquêtes parallèles en cybersécurité et en protection des données
• Législation italienne spécifique au secteur en matière de cybersécurité

Un incident de cybersécurité peut entraîner des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se trouve en Italie sont supervisées par les autorités italiennes pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Italie peuvent être soumis à des obligations nationales selon la structure d'établissement.

Les exigences en matière de représentation suivent les normes de la directive pour les prestataires non-UE desservant le marché italien.

15. Calendrier de mise en œuvre en Italie

• Adoption de la Directive : 2022
• Modifications législatives nationales : D.Lgs. 138/2024 (Gazzetta Ufficiale 1er octobre 2024) ; DPCM 221/2024 (en vigueur depuis le 11 février 2025) ; résolution d'application d'avril 2025 de l'ACN ; Cadre national pour la cybersécurité et la protection des données (mise à jour 2025, aligné sur NIST CSF 2.0)
• Entrée en vigueur : 16 octobre 2024 (pas de période transitoire ; conformité par paliers)
• Notification à la Commission : Pleinement notifiée à la Commission européenne ; non concernée par un avis motivé en cours
• Jalons de conformité : Échéance d'enregistrement 28 février 2025 (passée) ; fournisseurs d'infrastructures numériques 17 janvier 2025 (passée) ; notification des incidents à compter du 1er janvier 2026 ; mises à jour annuelles d'information 15 avril – 31 mai ; activités et fournisseurs 1er mai – 30 juin ; conformité totale aux mesures de sécurité au plus tard le 1er octobre 2026

La transposition de l'Italie a été achevée le 16 octobre 2024. Si les premières échéances d'enregistrement sont déjà passées, le jalon majeur à venir est la conformité totale aux mesures de sécurité définies par l'ACN au plus tard le 1er octobre 2026. La notification obligatoire des incidents à l'ACN/CSIRT Italia est en vigueur depuis le 1er janvier 2026.

16. Points clés pour les PME en Italie

• Les entités de taille moyenne des secteurs couverts entrent automatiquement dans le champ d'application. Le champ italien dépasse le minimum de la directive grâce aux annexes III et IV nationales ; les filiales de groupe indépendantes en matière TIC peuvent demander la clause de sauvegarde via la plateforme de l'ACN.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• Une supervision de la gouvernance au niveau du conseil d'administration est obligatoire.
• La notification des incidents suit des délais de 24 h / 72 h / 1 mois. La notification obligatoire des incidents à l'ACN/CSIRT Italia est en vigueur depuis le 1er janvier 2026.
• Les sanctions financières peuvent atteindre €10 millions ou 2 % du chiffre d'affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• Une planification précoce de la conformité est essentielle — la conformité totale aux mesures de sécurité définies par l'ACN est requise au plus tard le 1er octobre 2026, et les enregistrements et mises à jour annuelles d'information doivent être effectués entre janvier et mai via le portail de l'ACN.

FAQ : Guide NIS2 pour les PME en Italie