La directive NIS2 lance sa phase opérationnelle en Italie

La directive européenne NIS2 (UE 2022/2555) marque un tournant décisif dans le renforcement de la cybersécurité italienne, avec une entrée en vigueur prévue le 16 octobre 2024 via le décret législatif n°138. L'Agence nationale de cybersécurité italienne (ACN) a organisé une conférence majeure à l'Université La Sapienza pour sensibiliser les acteurs publics et privés aux nouvelles obligations et responsabilités introduites par cette directive. Bruno Frattasi, Directeur de l'ACN, souligne que cette nouvelle réglementation dépasse les faiblesses de la première directive NIS et établit une base solide pour une meilleure protection au niveau européen.

La mise en œuvre s'articule autour de trois phases distinctes : une première phase jusqu'en avril 2025 pour le recensement des entités concernées et la formalisation des obligations de base, une deuxième phase jusqu'à mi-avril 2026 pour l'implémentation et le suivi des obligations fondamentales, et une troisième phase au-delà d'avril 2026 pour finaliser les obligations à long terme. Une nouvelle plateforme d'enregistrement sera disponible dès le 1er décembre, avec une date limite fixée au 28 février pour l'inscription des entités concernées.

La directive met l'accent sur la responsabilité collective et la nécessité d'un changement culturel profond, comme le souligne Nunzia Ciardi, Vice-Directrice de l'ACN, qui insiste sur l'importance d'investir dans la formation et la sensibilisation. Les associations professionnelles expriment des préoccupations variées, notamment concernant les défis de mise en conformité pour les PME et les questions de souveraineté nationale dans le contexte de la cybersécurité.

Un point crucial concerne le soutien financier aux entreprises pour leur mise en conformité, particulièrement pour les PME qui perçoivent ces nouvelles obligations comme une contrainte coûteuse. Les associations professionnelles, dont Assintel et AIAD, appellent à des mesures de soutien financier et à une approche collaborative pour faciliter la transition.

La directive introduit également des obligations spécifiques en matière de notification des incidents, nécessitant des compétences appropriées au sein des organisations pour identifier et signaler efficacement les cyberattaques. Cette exigence s'inscrit dans une approche globale visant à renforcer la résilience numérique du pays, en coordination avec le cadre national de cybersécurité existant.

Source : Cybersecurity360