Cybersécurité : la transposition de la directive NIS 2 examinée le 11 mars au Sénat
Après le DG de l'Anssi, le Sénat a auditionné la ministre déléguée chargée de l'intelligence artificielle et du numérique, Clara Chappaz, sur la transposition de la directive NIS 2. Elle a annoncé que le texte serait discuté le 11 mars 2025 et promis un accompagnement aux collectivités. Sans détailler la question des moyens.
© Capture vidéo Sénat/ Audition de Clara Chappaz
Après un report dû au changement de gouvernement, le processus législatif reprend son cours sur le projet de loi qui transpose trois directives européennes sur la cybersécurité, dont NIS 2 qui impacte directement les collectivités. Devant la commission spéciale mise en place par le Sénat pour examiner ce texte, Clara Chappaz, la ministre déléguée chargée de l'intelligence artificielle et du numérique a défendu une approche "ambitieuse et pragmatique" pour un texte qui vise à renforcer la résilience cyber des organisations dans un contexte où les attaques se multiplient et se diversifient. "La question n'est plus de savoir si une entité sera attaquée, mais plutôt quand elle le sera", a rappelé la ministre.
Proportionnalité des obligations
Le gouvernement souhaite une transposition "sans surtransposition", avec une attention particulière portée à la proportionnalité des obligations selon la taille et la criticité des entités concernées. La ministre a confirmé qu'environ 1.800 collectivités (le sénateur Patrick Chaize a mentionné le chiffre de 1.500) seront directement impactées par la directive en tant qu'entité importante. Les communes de moins de 30.000 habitants, a-t-elle précisé " ne seront concernées que via leur intercommunalité de rattachement". La ministre a reconnu l'ampleur du défi : "Nous sommes bien conscients des efforts que certaines collectivités devront faire", tout en soulignant qu'aucune des associations d'élus auditionnées par l'Anssi ne remet en cause le bien-fondé du texte.
10% du budget informatique à consacrer au cyber
Les sénateurs ont interrogé la ministre sur les moyens mis en œuvre pour l'accompagnement et la capacité de l'État à réagir à une cyberattaque de grande ampleur. Ils ont relayé les craintes du DG de l'Anssi qui avait fait état de besoins supplémentaires (voir notre article du 20 décembre 2024) pour gérer les 15.000 entités régulées sous NIS 2, dont 20% au titre des "entités essentielles" sous contrôle renforcé, contre 300 sous NIS 1. La ministre a reconnu que les structures concernées devront consacrer environ 10% de leur budget informatique à la cybersécurité pour remplir leurs nouvelles obligations, le coût d'une cyberattaque pouvant cependant être "100 fois plus élevé". Sur l'accompagnement proprement dit, elle s'est contentée de souligner l'étalement des obligations sur 3 ans et la mobilisation des réseaux d'acteurs de proximité (centres cyber régionaux, chambres de commerce, fédérations professionnelles…) ainsi que les guides et outils de l'Anssi comme "Mon espace NIS 2".
Il faut maintenant voir si les parlementaires suivront la logique du gouvernement de préférer la rapidité de transposition - en renvoyant les modalités pratiques à plus de 40 décrets - à un texte plus fouillé qui risque de mettre plusieurs mois à être finalisé.
