Mis à jour le 05/08/2024
/Avec son projet de loi sur les dispositions relatives au renforcement de la cybersécurité nationale, publiée fin juin 2024, le gouvernement italien souhaite répondre de manière adaptée à l’augmentation inquiétante des cyberattaques.
Vous trouverez ci-dessous des articles récents permettant d’avoir une bonne vision des objectifs de l’Italie en matière de cybersécurité :
- ” Le projet de loi sur la cybersécurité ” – Cybersecurity Italia, Massimo Canorro, 03/07/2024 ;
- ” Le cyber est enfin doté d’outils opérationnels pour repousser les cyberattaques ” – Cybersecurity Italia, 20/06/2024 ;
- ” NIS 2, premier oui du Conseil des ministres au décret d’application de la directive ” – Cybersecurity Italia, Piermario Boccellato, 11/06/2024 ;
- ” Projet de loi Cyber désormais au Sénat ” – Cybersecurity Italia, Luigi Garofalo, 29/05/2024 ;
- ” Cyber Capacity Building : un rôle de premier plan pour l’Italie sur l’échiquier cyber ” – Network Digital 360 ;
- ” Loi sur la cybersécurité : nouvelles obligations en matière de notification d’incidents ” – Network Digital 360, Ana Cataleta, 15/07/2024 ;
En complément, vous trouverez ci-dessous une note qui revient sur :
- Le projet de loi de l’Italie pour renforcer la cybersécurité nationale ;
- Un décret pour transposer la directive européenne NIS2 dans le droit national italien ;
- Des amendements pour attirer davantage d’experts en cybersécurité ;
- Les détails du Cyber Capacity Building ;
- Le panorama des cyberattaques en Italie en 2023.
L’Italie publie son projet de loi pour renforcer la cybersécurité nationale
L’Italie a enregistré 319 cyberattaques DDoS en 2023, soit une hausse de 625% par rapport à 2022. Ainsi, avec ce projet de loi sur la cybersécurité, le gouvernement italien veut protéger son infrastructure numérique en plaçant l’Italie à l’avant-garde de la prévention de la cybercriminalité.
Ce nouveau texte législatif, qui se compose de 24 articles, introduit plusieurs mesures décisives :
1/ consolidation des infrastructures avec de nouveaux protocoles de sécurité ;
2/ lutte contre la cybercriminalité avec le renforcement des sanctions contre les infractions telles que l’accès abusif aux systèmes informatiques et la corruption de données, ainsi que l’introduction de nouvelles infractions telles que l’extorsion informatique ;
3/ coopération internationale avec la promotion des accords et partenariats avec d’autres pays pour une réponse globale aux cybermenaces ;
et 4/ formation et sensibilisation, avec une série de programmes de formation pour les agents chargés de l’application de la loi et des campagnes d’information visant à sensibiliser le public à la cybersécurité.
La loi va donc imposer aux administrations publiques l’obligation de signaler les incidents de cybersécurité et de nommer un responsable de la cybersécurité, renforçant ainsi les capacités de prévention et d’intervention.
De plus, afin de garantir une protection adéquate et de se prémunir contre le risque d’accès non autorisé aux données contenues dans les systèmes d’information des administrations publiques, l’accès aux bases de données publiques par le personnel et les responsables des données va s’effectuer après l’utilisation de systèmes d’authentification informatique spécifiques basés sur l’utilisation combinée d’au moins 2 technologies d’authentification différentes, dont l’une doit être basée sur le traitement de caractéristiques biométriques.
Enfin, le projet de loi va aussi renforcer l’utilisation de la cryptographie en tant qu’outil de cyberdéfense et créer le Centre national de cryptographie au sein de l’Agence nationale de cybersécurité (ACN).
Un décret pour transposer la directive européenne NIS2 dans le droit national italien
Mi-juin 2024, le gouvernement italien a approuvé un décret législatif relatif à la transposition de la directive européenne NIS2 dans son droit national. Cette directive répond à la nécessité de renforcer la résilience et la sécurité des réseaux et des systèmes d’information dans l’UE, et introduit plusieurs nouveautés par rapport à la directive NIS1 :
1/ élargissement du champ d’application ;
2/ rationalisation des exigences minimales de sécurité et des procédures de notification obligatoire ;
3/ mise en place d’une réglementation relative à la divulgation coordonnée des vulnérabilités et les fonctions de coordination spécifiques attribuées aux CSIRT nationaux ;
4/ et mise en œuvre de mesures de coopération pour soutenir la gestion coordonnée des incidents et des crises de cybersécurité à grande échelle au niveau opérationnel.
La directive prévoit également un système de sanctions spécifique, plus strict et harmonisé au niveau européen, afin d’assurer une plus grande uniformité et dissuasion dans l’ensemble de l’UE. Les sanctions sont adaptées aux dispositions de la directive et prévoient des amendes administratives pouvant aller jusqu’à 10 M€.
Avec son décret de transposition de NIS2, le gouvernement italien ambitionne d’atteindre un niveau approprié d’harmonisation dans l’identification des secteurs, sous-secteurs et catégories de sujets qui sont qualifiés de critiques et de renforcer leur résilience.
Les domaines critiques identifiés par NIS2 sont : énergie, transports, banques, eau potable, eaux usées, production, transformation et distribution de denrées alimentaires, santé, espace, infrastructures des marchés financiers et infrastructures numériques, ainsi que les organismes de l’administration publique.
Les acteurs de ces domaines devront procéder à une évaluation des risques, prendre des mesures techniques, sécuritaires et organisationnelles appropriées et proportionnées pour assurer leur résilience, rétablir leurs capacités opérationnelles en cas d’incident, notifier sans délai à l’autorité compétente les incidents qui perturbent ou risquent de perturber la fourniture de services essentiels, prévoir l’adoption d’une stratégie et mettre en place des mesures permettant une réponse rapide et appropriée aux incidents.
Des amendements pour attirer davantage d’experts en cybersécurité
Alors qu’actuellement, un expert en cybersécurité des forces armées et des forces de police ayant l’opportunité de servir dans l’ACN risquerait de perdre son grade et n’aurait pas la certitude d’une progression de carrière s’il acceptait, des amendements visent à surmonter cette limitation et à attirer davantage d’experts en cybersécurité des forces armées et des forces de police au sein de l’ACN. Un de ces amendements propose d’appliquer la même réglementation émise pour les experts provenant des forces armées et des forces de police qui fournissent des services de renseignement, c’est-à-dire au Département d’information pour la sécurité, à l’Agence d’information et de sécurité externe et à l’Agence d’information et de sécurité interne.
Les détails du Cyber Capacity Building
À l’occasion de la 1ère Conférence nationale pour la création d’un écosystème de renforcement des capacités cybernétiques, 4 mesures de prévention des cyberconflits ont été annoncées, dont le Cyber Capacity Building, qui ambitionne de projeter l’Italie sur le plan international dans la cybersécurité. Cette mesure découle de la nécessité de renforcer les capacités de cybersécurité à travers la coopération internationale pour encourager la construction et le lancement de capacités nationales pour un usage éclairé et protégé des technologies numériques.
Elle consiste donc à soutenir les pays en développement d’un point de vue technique et opérationnel par les pays partenaires et les organisations supranationales. Le Cyber Capacity Building s’applique aux organisations et organismes du secteur public et privé de toute nature car il leur permet de se doter des connaissances, compétences et outils nécessaires à leur propre sécurité.
Panorama des cyberattaques en Italie en 2023
D’après le dernier rapport Clusit, le monde a été touché par 2.779 incidents graves de cybersécurité en 2023. Dans 81% des cas, la gravité des attaques est élevée ou critique. Dans ce contexte, l’Italie apparaît de plus en plus dans la ligne de mire des cybercriminels, comptabilisant 11% des attaques mondiales graves réussies (contre 7,6% en 2022), pour un total de 310 attaques (+65% par rapport à 2022). De plus, 56% des cyberattaques ont eu des conséquences critiques ou très graves.
Pour aller plus loin :