Cybersécurité : intercommunalités et grandes villes veulent une mise en œuvre progressive de la directive NIS 2
France urbaine, Intercommunalités de France et les Interconnectés plaident pour une adaptation des nouvelles obligations cyber aux spécificités des collectivités dans le cadre de la transposition de la directive européenne NIS 2. Elles souhaitent que le critère de population ne soit pas le seul pris en compte et un accompagnement pour les structures concernées.
L'Agence nationale pour la sécurité des systèmes d'information (Anssi) a lancé fin 2023 ses consultations pour la transposition de la directive NIS 2 (Network and Information Security). Pour mémoire, et comme l'avait expliqué l'agence à l’occasion d'un webinaire en mai 2023 (voir notre article du 16 mai), cette directive va aboutir à une forte augmentation du nombre d'entités soumises à des obligations strictes en matière de cybersécurité avec de potentielles sanctions si elles ne les respectent pas. A minima 10.000 organisations devraient être impactées par NIS 2 contre 300 avec NIS 1. Les consultations menées par l'agence auprès des associations d'élus visent à déterminer les critères de sélection. Ils devront ensuite être validés par le Parlement qui devrait se prononcer sur un projet de transposition à l'automne 2024.
Tenir compte de la nature des services
Les associations France urbaine, Intercommunalités de France et les Interconnectés estiment dans un communiqué commun du 11 mars 2024 que le critère de population – plusieurs seuils ont circulés ces derniers mois dont celui de 50.000 habitants, évoqué par Déclic – "ne peut être le seul critère retenu" pour classer les collectivités dans les entités "essentielles" ou "importantes" soumises à régulation. Elles estiment que ces critères "doivent tenir compte des compétences et services publics effectivement exercés par les collectivités". Certains services publics non critiques pourraient par ailleurs échapper à la directive.
Accompagnement à la mise en œuvre
Sur le volet mise en œuvre, les trois associations plaident pour "une mise en conformité par étape, claire et progressive dans le temps, ainsi qu’un accompagnement technique et financier dédié et adapté, en particulier pour les communautés de communes et d'agglomération". Elles demandent aussi un renforcement et une "uniformisation" des financements affectés aux centres de réponse aux incidents cyber (C-SIRT) régionaux. Car elles constatent que ces centres, mis en place avec l'aide de l'Anssi, ont aujourd'hui des périmètres et des moyens disparates en fonction des régions.
Un seul point d'entrée
Parallèlement, les associations demandent la mise en place d'un "17 cyber", un centre d'appel "unique et simple" qui serait en mesure de répondre aux collectivités victimes de cyberattaque. Pour mémoire, les collectivités ont aujourd'hui une multitude d'interlocuteurs cyber. Si l'Anssi vient en appui aux grandes collectivités, les petites collectivités sont incitées à se tourner vers le GIP cybermalveillance et leur C-SIRT régional. Quant aux gendarmes, leur unité spécialisée intervient en prévention et pour les enquêtes après une cyberattaque.