La directive (UE) 2022/2555, mieux connue sous le nom de NIS2, marque un tournant décisif dans le paysage de la cybersécurité européenne, imposant de nouvelles obligations plus strictes à un grand nombre d'organisations, avec un accent particulier sur les grandes entreprises.

Recepito in Italia tramite il Decreto Legislativo n. 138 del 4 settembre 2024, il quadro normativo mira ad accrescere drasticamente il livello di resilienza digitale collettiva di fronte a minacce informatiche sempre più sofisticate e pervasive.

L'Italie a désigné l'Agence nationale pour la cybersécurité (ACN) comme centre névralgique du système de surveillance et comme point de contact principal, avec des compétences ministérielles spécifiques pour certains secteurs. Il est impératif pour chaque entreprise d'identifier avec précision l'autorité de référence pour son domaine d'activité.

Un rendez-vous crucial attend les sujets “essentiels” et “importants” : d'ici le 31 mai 2025, il est obligatoire de communiquer à l'ACN, via la plateforme numérique dédiée, une série d'informations actualisées.

Parmi ceux-ci, on trouve les données de contact des personnes légalement responsables et des organes de direction, la désignation d'un remplaçant pour le point de contact, la liste des adresses IP publiques et des noms de domaine utilisés, ainsi que l'éventuelle activité transfrontalière et la confirmation des données d'identification de l'entité, y compris les détails des membres des organes administratifs.

Le non-respect de ces obligations, ou des autres prescriptions de la NIS2, expose les entreprises à un régime de sanctions particulièrement sévère.

Pour les entités dites “ essentielles ”, les sanctions pécuniaires peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Pour les entités “ importantes ”, la limite est fixée à 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial.

Les violations sanctionnables incluent le défaut de mise en œuvre de mesures adéquates de gestion des risques cyber, la non-notification ou la notification tardive des incidents de sécurité et le non-respect des obligations de communication, comme la date limite du 31 mai.

À celles-ci s'ajoutent des sanctions accessoires possibles, telles que la suspension de certifications ou l'interdiction temporaire pour les responsables d'exercer des fonctions de direction.

Naviguer la complexité de la directive NIS2 exige une approche stratégique et proactive. Les entreprises sont invitées à consolider leur gouvernance interne en matière de cybersécurité, avec une implication directe et consciente de la direction de l'entreprise.

Il est également essentiel de procéder à des évaluations périodiques des risques et de mettre en œuvre des mesures de sécurité techniques, opérationnelles et organisationnelles proportionnées aux menaces. La sécurité de la chaîne d'approvisionnement, la mise en place de plans de réponse aux incidents et la tenue d'une documentation précise complètent le cadre des actions indispensables.

Morelli Bolzoni Studio Legale offre consulenza specialistica e assistenza qualificata alle aziende per affrontare con successo tutte le fasi di adeguamento alla Direttiva NIS2, dalla valutazione iniziale degli impatti, all’implementazione delle misure richieste, alla gestione continua della conformità.

Contactez-nous pour un support ciblé et pour transformer une obligation réglementaire en une opportunité de renforcer votre résilience numérique.