Cybersécurité : le Sénat inscrit l'accompagnement des collectivités dans le texte

C'est au moment même où l'Anssi publiait son bilan annuel indiquant qu'un quart des victimes de cyberattaques sont des collectivités (voir notre article du 11 mars 2025) qu'est arrivée au Sénat la discussion du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Transposition de trois directives européennes (REC, NIS 2 et Dora), elle se fixe pour ambition d'améliorer la capacité de l'ensemble du tissu économique et social à anticiper, résister et se remettre rapidement des cyberattaques.

Clarification du périmètre

Alors que NIS 1 concernait environ 500 opérateurs d'importance vitale, le nouveau texte étend les obligations de cybersécurité à près de 15.000 entités, dont 1.500 collectivités territoriales. La commission spéciale du Sénat a avalisé cette extension aux collectivités en l'estimant "ambitieuse mais nécessaire".

Le Sénat a clarifié la liste des entités publiques concernées par la directive (lire l'encadré ci-dessous). Toutes les grandes collectivités sont concernées. Le Sénat a cependant exclu les communautés d’agglomération ne comprenant pas au moins une commune de plus de 30.000 habitants du périmètre des entités essentielles, comme le défendait l'AMF. Le texte précise également les secteurs économiques concernés, il s'applique notamment aux réseaux de chaleur et de froid, à l'hydrogène et l'assainissement.

L'accompagnement inscrit dans le texte

Face aux défis humain, technique et financier que soulève la mise en œuvre de la directive pour les territoires, les sénateurs ont inscrit leur accompagnement dans le texte. Le nouvel article imposant la définition d'une stratégie nationale de cybersécurité inclura ainsi "les modalités de soutien aux collectivités territoriales et à leurs groupements". 

Un amendement visant à clarifier "le cadre d'intervention et le rôle des CSIRT territoriaux [centres de réponse aux incidents cyber] dans la politique de cybersécurité, leur financement et leur déploiement sur le territoire en hexagone comme en outre-mer" a en revanche été rejeté. La ministre Clara Chappaz a reconnu les difficultés de positionnement de certains CSIRT tout en soulignant que "ces dispositifs en sont pour la plupart à leur première année d'existence" et que "certains ont déjà trouvé leur modèle économique", renvoyant le sujet financement des CSIRT aux futurs débats budgétaires.

Transition de trois ans

La question des compétences cyber, soulevée par de nombreux élus, a également été prise en compte avec l'adoption d'un amendement intégrant "l'identification et le renforcement des compétences et formations nécessaires sur l'ensemble du territoire" dans la stratégie nationale.

Une période de transition de trois ans est enfin prévue, durant laquelle "s'appliqueront uniquement des contrôles blancs, dépourvus de sanctions et réalisés dans une visée éducative", selon la ministre. Le texte entérine enfin la dispense de sanctions financières des collectivités en cas de manquement à leurs obligations de sécurisation des systèmes d'information. "Elles ne sont ni financées ni assurées dans les mêmes conditions qu'un organisme privé", a reconnu Clara Chappaz.

Le texte a été transmis à l'Assemblée nationale qui a annoncé la mise en place d'une commission spéciale pour instruire sa discussion. "Le texte, déjà bien clarifié par le Sénat, va pouvoir être encore amélioré", se félicite-t-on à l'Avicca. Tout l'enjeu est d'éviter de mauvaises surprises avec les quelques 40 décrets prévus dans la loi.