La directive NIS 2 met à jour l'ancienne réglementation européenne en matière de cybersécurité et vise à renforcer le niveau de sécurité des infrastructures technologiques des États membres.

La nouvelle réglementation, adoptée en Italie en octobre dernier, établit de nouvelles exigences pour les entreprises tenues de garantir un haut niveau de sécurité informatique et élargit l'obligation à plusieurs secteurs qui n'étaient pas concernés par la directive NIS.

Pour se conformer à NIS 2, il sera nécessaire de mettre en œuvre des politiques d'analyse des risques et de sécurité des systèmes d'information, des procédures de gestion des incidents, ainsi que des solutions d'authentification multifactorielle et des systèmes de communication protégés.

NIS 2: Qu'est-ce que c'est et à quoi ça sert?

La NIS 2 (Directive UE 2022/2555) est une mise à jour significative de la précédente directive NIS qui vise à établir une stratégie communautaire en matière de cybersécurité.

La directive NIS 2 est entrée en vigueur le 17 janvier 2023 et a été transposée par le gouvernement italien avec la publication du Décret législatif n°138 du 4 septembre 2024. La nouvelle directive, qui vise à augmenter la sécurité des infrastructures technologiques européennes et à les rendre capables de faire face à des menaces cybernétiques de plus en plus sophistiquées, introduit un certain nombre de changements significatifs à la réglementation précédente.

La directive NIS 2 renforce les exigences de sécurité, introduit de nouvelles mesures de surveillance et élargit considérablement le nombre d'entités concernées. Aujourd'hui, des secteurs non inclus dans les anciennes listes des services essentiels (OSE), tels que les prestataires de services de confiance et les centres de données, sont considérés comme critiques pour le fonctionnement socio-économique de l'Union européenne.

NIS 2: Qui est concerné?

Conformément au décret 138/2024, entré en vigueur le 16 octobre, l'obligation de se conformer à la directive NIS 2 s'appliqu

Les secteurs hautement critiques incluent:

• Énergie (producteurs, gestionnaires et distributeurs d'électricité, de gaz, de pétrole, de chauffage urbain, d'hydrogène);
• Transports, y compris les transports routiers;
• Secteur bancaire;
• Infrastructures des marchés financiers;
• Santé (y compris les entités menant des recherches et produisant des médicaments);
• Eau potable;
• Eaux usées;
• Gestion des services TIC;
• Espace;
• Infrastructures numériques (incluant les fournisseurs de DNS, les gestionnaires de domaines de premier niveau, les fournisseurs de services de cloud computing, les centres de données, les réseaux de diffusion de contenu, les prestataires de services de confiance, les fournisseurs de réseaux publics de communication électronique et de services de communication accessibles au public).

À ceux-ci s'ajoutent d'autres secteurs considérés comme critiques, à savoir:

• Services postaux et de messagerie;
• Gestion des déchets;
• Fabrication, production et distribution de substances chimiques;
• Production, transformation et distribution de denrées alimentaires;
• Fabrication de dispositifs médicaux, d'ordinateurs, de produits électroniques et optiques, de machines et équipements, de véhicules et autres moyens de transport;
• Organisations de recherche;
• Fournisseurs de services numériques, tels que les fournisseurs de places de marché en ligne, de moteurs de recherche, de plateformes de réseaux sociaux, de services d'enregistrement de noms de domaine.

Comme spécifié dans l'annexe III, plusieurs entités publiques doivent également se conformer à la NIS 2, notamment la Présidence du Conseil, les ministères, les agences fiscales, les régions, les municipalités de plus de 100 000 habitants et les agences sanitaires locales.

Enfin, l'annexe IV énumère les autres entités concernées par les modifications apportées à la directive européenne, notamment les fournisseurs de services de transport public local, les établissements d'enseignement menant des recherches, les entités menant des activités d'intérêt culturel et les entreprises publiques ou sous contrôle public.

La NIS 2 s'applique-t-elle aux petites entreprises?

Dans certains cas, la réglementation s'applique également aux petites entreprises. Cela se produit lorsque l'entité concernée est identifiée comme fournisseur critique, par exemple si elle est:

• Fournisseur de réseaux publics de communication électronique;
• Fournisseur de services de communication électronique accessibles au public;
• Prestataire de services de confiance;
• Gestionnaire de registres de domaines de premier niveau ou fournisseur de services de système de noms de domaine;
• Fournisseur de services d'enregistrement de noms de domaine;
• Le seul fournisseur national d'un service essentiel;
• Fournisseur d'un service dont l'interruption pourrait poser un risque systémique significatif;
• Critique en raison de son importance au niveau national;
• Critique en tant qu'élément systémique de la chaîne d'approvisionnement des entités essentielles ou importantes.

Cette liste inclut également les entités déjà identifiées comme critiques dans la précédente directive NIS.