NIS2 in Francia

1. Rapida istantanea di applicabilità alle PMI in Francia

NIS2 si applica alle PMI in Francia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica ai soggetti stabiliti in Francia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato francese.

Le PMI devono valutare se rientrano nel quadro nazionale di cybersicurezza della Francia in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell’attuazione di NIS2 in Francia

La Francia sta recependo NIS2 attraverso il Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (la «Loi Résilience»), che consolida la direttiva NIS2, la direttiva CER (resilienza delle infrastrutture critiche) e DORA in un unico pacchetto legislativo. Il disegno di legge è stato presentato al Consiglio dei ministri il 15 ottobre 2024, adottato dal Senato il 12 marzo 2025 e approvato dalla commissione speciale dell'Assemblea Nazionale il 10 settembre 2025. Ad aprile 2026, l'adozione definitiva da parte della plenaria dell'Assemblea Nazionale e la promulgazione restano in sospeso; la promulgazione è attesa nel corso del 2026, dopodiché i decreti attuativi specificheranno gli standard tecnici e le procedure di notifica.

Il quadro rivisto allinea il regime nazionale di cybersicurezza francese alla direttiva (UE) 2022/2555, ampliando gli obblighi in materia di governance, notifica degli incidenti, poteri di vigilanza e sanzioni. L'ambito di applicazione francese dovrebbe passare da circa 500 entità in regime NIS1 a 15.000–18.000 entità in 18 settori. Il disegno di legge introduce 20 obiettivi di sicurezza per le entità essenziali e 15 per le entità importanti come quadro di conformità, e conferma che la sola certificazione ISO 27001 non soddisfa la conformità NIS2 in Francia (copre solo 2 dei 20 obiettivi).

L'ANSSI ha attivato un portale di pre-registrazione (MonEspaceNIS2) per consentire alle future entità regolate di valutare il proprio ambito e prepararsi alla conformità prima dell'entrata in vigore formale. La Francia resta soggetta a un parere motivato della Commissione europea emesso il 7 maggio 2025 per mancata notifica della trasposizione completa, e continua a sviluppare il proprio modello preesistente di cybersicurezza integrando gli standard NIS2 in strutture di vigilanza consolidate.

3. Ambito di applicazione in Francia

L’ambito francese rispecchia le categorie minime della direttiva, integrate nel modello nazionale di sicurezza già consolidato.

4. Soglie dimensionali e applicabilità alle PMI in Francia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

I soggetti che soddisfano entrambi i criteri all’interno dei settori coperti rientrano automaticamente nel campo di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la stabilità nazionale o economica, la sicurezza pubblica o la continuità dei servizi essenziali.

Le autorità francesi mantengono poteri formali di designazione quando il rischio sistemico o considerazioni di sicurezza nazionale giustificano l’inclusione.

5. Quadro di classificazione dei soggetti in Francia

I soggetti sono classificati come:

• Entità essenziali — Soggette a vigilanza proattiva, incluse ispezioni, audit e monitoraggio strutturato della conformità.
• Entità importanti — Prevalentemente soggette a vigilanza reattiva attivata da incidenti significativi o criticità di conformità.

La classificazione è determinata da settore e dimensioni. Le autorità possono riclassificare i soggetti laddove l’impatto operativo o l’esposizione al rischio giustifichino una vigilanza rafforzata.

La struttura di classificazione della Francia è allineata al modello di vigilanza a due livelli della direttiva.

6. Requisiti di gestione del rischio di cybersicurezza in Francia

Il regime nazionale della Francia è allineato ai requisiti minimi (baseline) della direttiva per la gestione del rischio di cybersicurezza. I soggetti nell’ambito devono implementare misure tecniche e organizzative proporzionate che affrontino:

• Analisi dei rischi e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura ai sensi di NIS2 in Francia
• Acquisizione e sviluppo sicuri di sistemi ICT
• Controllo degli accessi e gestione delle identità
• Crittografia e misure di protezione crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale in materia di cybersicurezza

Le misure devono riflettere standard allo stato dell’arte e l’esposizione al rischio dell’organizzazione. È incoraggiato l’allineamento con ISO/IEC 27001 e con le linee guida francesi in materia di cybersicurezza.

La supervisione della catena di fornitura include due diligence sui fornitori e tutele contrattuali di cybersicurezza per mitigare il rischio di effetto domino.

7. Responsabilità della direzione e governance in Francia

Gli organi di amministrazione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e supervisionarne l’attuazione.

Nel quadro francese:

• I consigli di amministrazione sono responsabili della vigilanza sulla conformità.
• L’alta dirigenza deve garantire un’adeguata competenza in materia di cybersicurezza.
• Le sanzioni amministrative possono essere applicate in caso di carenze di governance.
• La sospensione temporanea delle funzioni manageriali può essere prevista nell’ambito dei meccanismi di applicazione allineati alla direttiva.

Le aspettative in materia di responsabilità manageriale NIS2 in Francia elevano la governance della cybersicurezza a responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Francia

9. Autorità di vigilanza e modello di applicazione in Francia

Autorità principale: Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI).

La Francia opera un modello centralizzato di vigilanza sulla cybersicurezza coordinato da ANSSI, integrato con le autorità regolatorie settoriali ove applicabile.

Supervisory powers include:

• Richieste di informazioni
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione al coordinamento dell'UE in materia di cibersicurezza

La struttura di applicazione riflette i requisiti di cooperazione previsti dalla direttiva.

10. Sanzioni e ammende NIS2 in Francia

La Francia applica sanzioni amministrative allineate alla direttiva.

L’applicazione delle sanzioni NIS2 in Francia può inoltre includere:

• Ordini vincolanti di adozione di misure correttive
• Identificazione pubblica dei soggetti non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione delle funzioni manageriali

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione francese.

11. Catena di fornitura e sicurezza dei fornitori in Francia

I soggetti devono gestire l’esposizione informatica dei terzi attraverso:

• Valutazioni del rischio dei fornitori
• Requisiti contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L’approccio della Francia è allineato alle aspettative minime della direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e autoidentificazione in Francia

Entities within scope must:

• Prepararsi alla registrazione presso l'ANSSI tramite la piattaforma di pre-registrazione MonEspaceNIS2 (monespacenis2.cyber.gouv.fr), già operativa. Le scadenze e le procedure formali di registrazione saranno definite con decreto a seguito della promulgazione della Loi Résilience.
• Fornire i dati identificativi dell'azienda
• Comunicare la classificazione settoriale
• Mantenere aggiornate le informazioni di contatto

Le scadenze formali di registrazione e le modalità procedurali saranno fissate con decreti attuativi a seguito della promulgazione della Loi Résilience. Nel frattempo, il portale MonEspaceNIS2 dell'ANSSI offre uno strumento di valutazione dell'ambito e consente di prepararsi in anticipo alla conformità. L'auto-identificazione diventerà obbligatoria una volta promulgata la legge; le entità sono invitate a utilizzare fin d'ora MonEspaceNIS2 per valutare la propria probabile classificazione come essenziali o importanti.

L'autoidentificazione è obbligatoria quando le entità soddisfano le soglie previste dalla legge.

13. Interazione con il GDPR e altre leggi in Francia

Il regolamento generale sulla protezione dei dati (GDPR) continua ad applicarsi in parallelo.

Aspetti di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento tra autorità di controllo
• Indagini parallele in materia di cybersicurezza e protezione dei dati
• Norme francesi di cybersicurezza specifiche di settore

Un singolo incidente informatico può attivare obblighi di segnalazione ai sensi di entrambi i regimi.

14. Applicabilità transfrontaliera

I soggetti con stabilimento principale in Francia sono vigilati dalle autorità francesi per i servizi transfrontalieri.

I fornitori digitali esteri che offrono servizi in Francia possono essere soggetti alla vigilanza francese a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della direttiva per i fornitori extra-UE che servono i mercati francesi.

15. Tempistica di attuazione in Francia

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: Loi Résilience presentata al Consiglio dei ministri il 15 ottobre 2024; adottata dal Senato il 12 marzo 2025; approvata dalla commissione speciale dell'Assemblea Nazionale il 10 settembre 2025; voto in plenaria e promulgazione ancora in sospeso
• Entrata in vigore: In attesa di promulgazione da parte del Presidente della Repubblica, attesa nel corso del 2026; i decreti attuativi (standard tecnici, procedure di notifica) seguiranno la promulgazione
• Notifica alla Commissione: Parere motivato della CE emesso il 7 maggio 2025 per mancata notifica della trasposizione completa; la Francia rimane in procedura d'infrazione
• Tappa di conformità: Da definire con decreti attuativi dopo la promulgazione; il portale di pre-registrazione MonEspaceNIS2 è già attivo; le scadenze formali di conformità dovrebbero seguire l'entrata in vigore di alcuni mesi

La Francia non ha rispettato il termine UE di trasposizione del 17 ottobre 2024 e rimane in procedura d'infrazione della CE. La promulgazione della Loi Résilience è attesa nel corso del 2026, seguita dai decreti attuativi. Le entità dovrebbero utilizzare il portale MonEspaceNIS2 dell'ANSSI per valutare il proprio ambito e avviare fin d'ora la preparazione alla conformità.

16. Punti chiave per le PMI in Francia

• Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito di applicazione.
• Le entità di piccole dimensioni possono essere designate se considerate operativamente critiche.
• La supervisione della governance a livello di consiglio di amministrazione è obbligatoria.
• La segnalazione degli incidenti segue le scadenze 24h / 72h / 1 mese.
• Le sanzioni pecuniarie possono raggiungere €10 million o il 2% del fatturato globale.
• La gestione dei rischi dei fornitori è un obbligo centrale.
• Una pianificazione anticipata della conformità è essenziale — utilizzate fin d'ora il portale MonEspaceNIS2 dell'ANSSI per valutare il vostro ambito. Si noti che la sola certificazione ISO 27001 non soddisfa i requisiti NIS2 della Francia: copre solo 2 dei 20 obiettivi di sicurezza definiti nel quadro del disegno di legge.

FAQ: Guida NIS2 Francia per PMI