Italie NIS2 : La date limite de catégorisation ACN de juin 2026 est ouverte — Ce que les consultants IT doivent faire
Le 13 avril 2026, l'Agenzia per la Cybersicurezza Nazionale (ACN) italienne a adopté la détermination 155238/2026 — le cadre opérationnel qui indique à chaque organisation italienne enregistrée NIS2 exactement comment catégoriser ses activités et services. Depuis le 1er mai, le portail de soumission est ouvert. La date limite est le 30 juin 2026.
Si vous conseillez des entreprises italiennes ou gérez une infrastructure IT pour des organisations opérant en Italie, ce n'est pas un exercice réglementaire lointain. La catégorie qu'ACN attribue sur la base de ce dépôt détermine directement quelles mesures de sécurité s'appliquent — et quand. Une erreur ici signifie que vos clients font face à des obligations plus strictes que nécessaire. Manquer la date limite signifie des mesures de surveillance.
Voici ce que vous devez savoir.
L'Italie était en retard dans la transposition — mais avance rapidement maintenant
L'Italie a achevé sa transposition NIS2 le 23 décembre 2025 via le décret législatif 138/2024. La loi est entrée en vigueur le 1er janvier 2026, avec la date limite du 1er octobre 2026 fixée pour la conformité aux obligations de mesures de sécurité en vertu des articles 23, 24 et 29.
Ce calendrier serré signifie que les organisations italiennes ont moins de temps de préparation que la plupart de leurs homologues de l'UE. Le BSI allemand avait des mois de préparation avant que les dents de l'application n'apparaissent. L'ACN italienne passe directement de l'enregistrement à la catégorisation — puis directement à l'application — en l'espace d'une seule année civile.
Pour les consultants IT et les MSPs avec des clients italiens, ce n'est pas un exercice. L'horloge de conformité tourne.
Ce que fait réellement le cadre de catégorisation de l'ACN
La détermination ACN 155238/2026 introduit deux éléments structurels : 10 macro-domaines et 4 catégories de pertinence.
Les 10 macro-domaines sont des regroupements prédéfinis d'activités et de services. Chaque entité enregistrée NIS2 doit identifier quels macro-domaines décrivent ce qu'elle fait réellement. Ceux-ci couvrent l'ensemble des secteurs NIS2 : énergie, transport, infrastructures bancaires et des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC, administration publique et espace.
Les 4 catégories de pertinence expriment le niveau d'impact en cas d'incident : minimal, faible, moyen ou élevé. L'ACN attribue la pertinence en fonction de ce que l'entité dépose — taille, secteur, criticité et les interdépendances que l'organisation décrit dans sa soumission.
Pourquoi cela importe-t-il pour votre travail de conseil ? Parce que la catégorie de pertinence détermine la profondeur et la spécificité des obligations de sécurité que l'organisation doit respecter avant le 1er octobre. Une entité de catégorie "minimale" fait face à des exigences techniques plus légères qu'une entité de catégorie "élevée". La différence d'investissement en conformité peut être significative.
La fenêtre du portail : du 1er mai au 30 juin 2026
Le dépôt se fait exclusivement via la plateforme ACN (portale ACN). La fenêtre de soumission s'est ouverte le 1er mai 2026 et se ferme le 30 juin 2026. L'ACN doit fournir un retour dans les 90 jours suivant la soumission — prolongeable jusqu'à 60 jours supplémentaires pour les cas complexes.
Voici ce que la soumission exige : chaque entité doit identifier son ou ses macro-domaines, décrire ses activités et services, et auto-évaluer sa pertinence d'impact. L'ACN examine ensuite cela sur une base d'échantillonnage et compare avec des entités similaires dans le même secteur. Les écarts déclenchent un suivi.
Trois points pratiques pour les consultants :
1. La précision importe plus que le conservatisme. Les entités qui sous-estiment leur périmètre pour atterrir dans une catégorie de pertinence inférieure sont exposées. L'ACN examine explicitement les soumissions par rapport aux comparables sectoriels. Si un distributeur d'énergie dépose comme "minimal" alors que chaque entité comparable dépose comme "moyen", cela signale une inspection.
2. La soumission est la base de tout ce qui suit. Les mesures de sécurité, les obligations continues et l'audit de surveillance éventuel remontent tous à ce qui est déposé dans cette fenêtre. Documentez soigneusement le raisonnement.
3. Manquer la date limite du 30 juin a des conséquences. Le cadre d'application de l'ACN prévoit des mesures administratives et des actions de surveillance pour les entités qui ne déposent pas. Ce n'est pas une date limite souple.
Ce qui vient ensuite : 1er octobre 2026
Une fois la catégorisation terminée et les soumissions examinées par l'ACN, la date limite du 1er octobre 2026 entre en vigueur. À cette date, les entités NIS2 italiennes doivent se conformer à :
- Article 23 — gouvernance de la cybersécurité, incluant la responsabilité au niveau du conseil d'administration et des politiques de cybersécurité approuvées
- Article 24 — mesures de gestion des risques de sécurité de l'information (l'équivalent italien des obligations de l'Article 21 de NIS2)
- Article 29 — obligations de sécurité pour la base de données d'enregistrement des noms de domaine (pertinent pour les opérateurs DNS et les registraires)
L'ACN introduira également progressivement des obligations de cybersécurité "à long terme" supplémentaires dans les mois suivant octobre, calibrées par catégorie de pertinence. Les entités de catégorie "élevée" doivent s'attendre à une deuxième vague d'exigences plus exigeante au T1 2027.
Pour référence, le régime de sanctions de l'Italie reflète la directive NIS2 : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial total pour les entités essentielles, et jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires pour les entités importantes. L'ACN est habilitée à effectuer des inspections, une surveillance et des contrôles sur place.
Ce que la catégorisation signifie pour les MSPs fournissant des services à des clients italiens
Si vous êtes un MSP gérant l'infrastructure IT pour une organisation italienne entrant dans le champ d'application NIS2, il y a deux angles à surveiller.
Premièrement, votre client peut avoir besoin de votre aide pour le dépôt lui-même. La description du macro-domaine nécessite une documentation précise des services IT sur lesquels l'organisation s'appuie, y compris les fonctions externalisées. Si les systèmes critiques sont gérés par votre MSP, cette dépendance opérationnelle est pertinente pour l'évaluation de la catégorie de pertinence. Soyez prêt à fournir une documentation de service structurée.
Deuxièmement, votre propre organisation peut être dans le champ d'application. La gestion des services TIC pour les entités essentielles ou importantes est explicitement listée à l'Annexe II de la directive NIS2. Si vous gérez l'IT pour des organisations italiennes dans des secteurs réglementés, vérifiez si vous êtes enregistré comme entité NIS2 en Italie. Si vous n'êtes pas enregistré alors que vous devriez l'être, la fenêtre d'auto-enregistrement via le portail ACN reste ouverte.
Pour un aperçu plus large de la façon dont NIS2 affecte directement les MSPs, consultez notre article sur NIS2 pour les MSPs.
Comment aborder le dépôt de catégorisation : Une liste de contrôle pratique
Utilisez ceci comme point de départ pour les conversations avec les clients :
Étape 1 — Confirmer le statut d'enregistrement NIS2. L'entité doit être enregistrée auprès de l'ACN avant de pouvoir déposer la catégorisation. Si l'enregistrement est incomplet, c'est le premier problème à résoudre.
Étape 2 — Cartographier les activités par macro-domaines. Parcourez les 10 macro-domaines et identifiez ceux qui s'appliquent. La plupart des organisations s'adresseront à un ou deux. Documentez quels macro-domaines ont été considérés et exclus, et pourquoi.
Étape 3 — Auto-évaluer la pertinence. La pertinence est déterminée par des facteurs tels que la taille, la criticité pour le secteur, l'impact transfrontalier et la dépendance d'autres entités vis-à-vis des services de l'organisation. Soyez honnête et documentez le raisonnement.
Étape 4 — Rassembler la documentation de support. L'examen par échantillonnage de l'ACN signifie que les soumissions peuvent être auditées. Ayez des organigrammes, des catalogues de services et des évaluations d'impact des incidents disponibles.
Étape 5 — Soumettre avant le 15 juin. Prévoyez deux semaines de marge avant la date limite du 30 juin. Les problèmes techniques de dernière minute avec les portails gouvernementaux ne sont pas rares.
Étape 6 — Commencer immédiatement l'analyse des écarts pour les Articles 23/24. N'attendez pas le retour de l'ACN. La date limite du 1er octobre ne bouge pas. Commencez maintenant l'analyse des écarts par rapport aux obligations de mesures de sécurité, en utilisant la catégorie de pertinence que vous prévoyez de recevoir comme référence.
Si vos clients n'ont pas encore commencé ce processus, une analyse des écarts NIS2 structurée est le moyen le plus rapide d'identifier leur situation. Effectuez un scan rapide sur nis2certify.org/quick-scan pour obtenir un tableau de base de leur posture actuelle avant le dépôt du 30 juin.
Le tableau d'ensemble : L'Italie n'est pas seule
La date limite d'évaluation de conformité NIS2 de la Belgique est passée le 18 avril 2026 — la première date limite d'application ferme dans l'UE. Le BSI allemand est en mode de surveillance active depuis fin 2025. Le Portugal et la Pologne ont transposé NIS2 en 2025 et développent leurs cadres d'application.
L'Italie avance rapidement, mais le schéma est cohérent dans toute l'UE : enregistrement, catégorisation, mesures de sécurité, audit. La séquence est la même partout. Ce qui diffère, c'est le processus spécifique et le calendrier de l'autorité nationale.
Si vous gérez la conformité pour des organisations opérant dans plusieurs États membres de l'UE, la variation pays par pays dans les calendriers et les exigences des autorités est le défi opérationnel central. Une seule posture de conformité satisfaisant toutes les juridictions nécessite de cartographier les exigences spécifiques de chaque pays par rapport à un cadre de contrôle commun — généralement ISO 27001 ou un équivalent.
Pour une comparaison de la façon dont NIS2 s'aligne avec ISO 27001, consultez notre article sur NIS2 vs ISO 27001.
La date limite du 30 juin 2026 en Italie est l'élément le plus immédiatement actionnable pour les consultants avec des clients italiens. Ensuite, l'attention se portera sur octobre. Les organisations qui catégorisent avec précision, documentent soigneusement et commencent leur analyse des écarts maintenant arriveront au 1er octobre dans une position défendable. Celles qui traitent le dépôt de catégorisation comme un exercice de case à cocher seront prises sous-préparées lorsque l'activité de surveillance de l'ACN montera en puissance au T4.