ISGroup Conseil en Cybersécurité

ACN et la liste NIS2 : tout ce qu’il faut savoir sur la conformité à la directive NIS2 avant le 31 mars

La directive NIS2 a introduit une série de mesures strictes pour améliorer la cybersécurité des infrastructures critiques et des services essentiels dans toute l’Union européenne. En Italie, l’Agence pour la cybersécurité nationale (ACN) est l’organisme chargé de la mise en œuvre de la réglementation, avec pour mission de définir la liste définitive des entités devant se conformer.

Avec la date limite d’enregistrement fixée au 28 février 2025, de nombreuses entreprises sont désormais appelées à finaliser leur processus de mise en conformité. Toutefois, il est possible de compléter l’enregistrement jusqu’au 10 mars 2025, à condition d’avoir déjà effectué le recensement. D’ici le 31 mars 2025, l’ACN publiera la liste NIS2 définitive, identifiant officiellement les organisations tenues de respecter les nouvelles exigences de sécurité.

[Callforaction-NIS2]

Que prévoit la directive NIS2 ?

Par rapport à la directive NIS1 précédente, la NIS2 (Directive UE 2022/2555) impose des obligations plus rigoureuses en matière de gestion de la cybersécurité, d’identification des risques et de notification des incidents. Les principales nouveautés incluent :

  • Élargissement du public concerné, incluant non seulement les fournisseurs de services essentiels, mais aussi de nombreuses entreprises privées.
  • Attention accrue portée à la supply chain, avec des obligations de contrôle sur la sécurité des fournisseurs.
  • Obligations de signalement pour les incidents de sécurité dans des délais précis.
  • Sanctions élevées pour les contrevenants, avec des amendes pouvant atteindre 2 % du chiffre d’affaires annuel mondial.

ACN et liste NIS2 : les étapes de la mise en conformité

La mise en œuvre de la directive NIS2 a été divisée en trois phases principales :

  1. Phase de transposition (février 2023 – octobre 2024) : période nécessaire à l’adoption de la réglementation au niveau national.
  2. Première phase de mise en œuvre (octobre 2024 – avril 2025) : période durant laquelle les entreprises doivent s’enregistrer et se préparer à la mise en conformité.
  3. Deuxième phase de mise en œuvre (avril 2025 – avril 2026) : mise en œuvre pratique des mesures de sécurité.
  4. Troisième phase de mise en œuvre (à partir d’avril 2026) : pleine opérativité de la NIS2, avec des contrôles périodiques et des vérifications de conformité.

Le recensement et l’enregistrement obligatoire

Les entreprises soumises à la NIS2 sont tenues de s’enregistrer sur la plateforme numérique de l’ACN avant le 28 février 2025. Celles qui n’ont pas encore terminé la procédure disposent d’une dernière opportunité jusqu’au 10 mars 2025. Toutefois, pour bénéficier de cette prolongation, il est nécessaire d’avoir déjà effectué le recensement préliminaire avant la première échéance.

Publication de la liste définitive NIS2 le 31 mars 2025

L’un des moments clés du processus de mise en conformité est la publication de la liste définitive des entités devant se conformer. Cette liste, établie par l’ACN, sera publiée le 31 mars 2025 et inclura :

  • Les entreprises et les organismes publics tenus de respecter la réglementation.
  • Les catégories d’opérateurs essentiels qui entrent dans le périmètre NIS2.
  • Les obligations spécifiques pour chaque catégorie d’entité.

Une fois la liste publiée, les entreprises incluses auront jusqu’en avril 2026 pour mettre en œuvre les mesures de sécurité nécessaires.

Les principales mesures de conformité à la NIS2

Les entreprises figurant sur la liste NIS2 doivent adopter une série de mesures pour garantir leur conformité, notamment :

  1. Gestion du risque informatique : mettre en œuvre une approche structurée pour prévenir et atténuer les cyberattaques.
  2. Protection de la supply chain : vérifier la sécurité des fournisseurs et adopter des contrôles adéquats.
  3. Notification obligatoire des incidents : signaler rapidement toute violation ou cyberattaque à l’ACN et au CSIRT Italia. Pour les organisations incluses dans la liste, la désignation du référent CSIRT est l’une des obligations opérationnelles à remplir durant la phase de mise en œuvre.
  4. Audits et vérifications périodiques : se soumettre à des contrôles de sécurité réguliers pour éviter les sanctions.

Pour les organisations devant structurer ce parcours, il est utile de commencer par une évaluation de l’état actuel : le support à la conformité NIS2 d’ISGroup accompagne les entreprises de l’analyse des écarts jusqu’à la mise en œuvre des mesures exigées par la réglementation.

Sanctions en cas de non-conformité

Le non-respect de la directive NIS2 entraîne des sanctions sévères. En particulier, les entreprises non conformes risquent :

  • Des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
  • Des sanctions accessoires pour les dirigeants, incluant la suspension temporaire de leurs fonctions de responsabilité.
  • L’obligation d’adopter immédiatement des mesures correctives, avec des contrôles surprises potentiels.

Que faire maintenant si votre entreprise figure sur la liste NIS2

La directive NIS2 représente un tournant fondamental pour la cybersécurité en Europe. La liste NIS2 de l’ACN, publiée d’ici le 31 mars 2025, définit de manière définitive les entreprises et les organismes tenus de se conformer aux nouvelles règles.

Les entreprises qui n’ont pas encore entamé le processus de mise en conformité doivent agir immédiatement pour éviter les sanctions et garantir la protection de leurs infrastructures numériques.

La conformité à la NIS2 n’est pas seulement une obligation réglementaire, mais une stratégie essentielle pour garantir la résilience de l’entreprise face à des cybermenaces de plus en plus sophistiquées. Pour approfondir le cadre réglementaire de référence, le document officiel de la directive NIS2 est également disponible.

Questions fréquentes sur la conformité NIS2

  • Je figure sur la liste NIS2 publiée par l’ACN : par où dois-je commencer ?
  • Le point de départ est une analyse des écarts (gap analysis) par rapport aux exigences de la réglementation : gouvernance, gestion des risques, protection de la supply chain et procédures de notification des incidents. Ce n’est qu’après cette évaluation qu’il est possible de définir un plan de mise en œuvre réaliste avant l’échéance d’avril 2026.
  • Que se passe-t-il si je ne me suis pas enregistré avant les échéances de l’ACN ?
  • Le défaut d’enregistrement ne dispense pas de l’obligation de conformité si l’organisation répond aux critères dimensionnels et sectoriels prévus par la réglementation. L’ACN peut de toute façon inclure l’entité dans la liste d’office et lancer des vérifications. Il est conseillé de régulariser sa situation dès que possible.
  • D’ici quand dois-je mettre en œuvre les mesures de sécurité exigées par la NIS2 ?
  • Les entreprises incluses dans la liste définitive ont jusqu’en avril 2026 pour mettre en œuvre les mesures techniques et organisationnelles requises. À partir de cette date, les contrôles périodiques et les vérifications de conformité débuteront, avec les sanctions correspondantes en cas de manquement.

[Callforaction-NIS2-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *