Cybersécurité: Qui sont les entités concernées par la nouvelle directive européenne et quelles sont les nouvelles exigences de sécurité à respecter?
La directive NIS 2 met à jour l'ancienne réglementation européenne en matière de cybersécurité et vise à renforcer le niveau de sécurité des infrastructures technologiques des États membres.
La nouvelle réglementation, adoptée en Italie en octobre dernier, établit de nouvelles exigences pour les entreprises tenues de garantir un haut niveau de sécurité informatique et élargit l'obligation à plusieurs secteurs qui n'étaient pas concernés par la directive NIS.
Pour se conformer à NIS 2, il sera nécessaire de mettre en œuvre des politiques d'analyse des risques et de sécurité des systèmes d'information, des procédures de gestion des incidents, ainsi que des solutions d'authentification multifactorielle et des systèmes de communication protégés.
La NIS 2 (Directive UE 2022/2555) est une mise à jour significative de la précédente directive NIS qui vise à établir une stratégie communautaire en matière de cybersécurité.
La directive NIS 2 est entrée en vigueur le 17 janvier 2023 et a été transposée par le gouvernement italien avec la publication du Décret législatif n°138 du 4 septembre 2024. La nouvelle directive, qui vise à augmenter la sécurité des infrastructures technologiques européennes et à les rendre capables de faire face à des menaces cybernétiques de plus en plus sophistiquées, introduit un certain nombre de changements significatifs à la réglementation précédente.
La directive NIS 2 renforce les exigences de sécurité, introduit de nouvelles mesures de surveillance et élargit considérablement le nombre d'entités concernées. Aujourd'hui, des secteurs non inclus dans les anciennes listes des services essentiels (OSE), tels que les prestataires de services de confiance et les centres de données, sont considérés comme critiques pour le fonctionnement socio-économique de l'Union européenne.
Conformément au décret 138/2024, entré en vigueur le 16 octobre, l'obligation de se conformer à la directive NIS 2 s'appliqu
Les secteurs hautement critiques incluent:
À ceux-ci s'ajoutent d'autres secteurs considérés comme critiques, à savoir:
Comme spécifié dans l'annexe III, plusieurs entités publiques doivent également se conformer à la NIS 2, notamment la Présidence du Conseil, les ministères, les agences fiscales, les régions, les municipalités de plus de 100 000 habitants et les agences sanitaires locales.
Enfin, l'annexe IV énumère les autres entités concernées par les modifications apportées à la directive européenne, notamment les fournisseurs de services de transport public local, les établissements d'enseignement menant des recherches, les entités menant des activités d'intérêt culturel et les entreprises publiques ou sous contrôle public.
Dans certains cas, la réglementation s'applique également aux petites entreprises. Cela se produit lorsque l'entité concernée est identifiée comme fournisseur critique, par exemple si elle est:
Cette liste inclut également les entités déjà identifiées comme critiques dans la précédente directive NIS.