Cybersécurité : le Sénat inscrit l'accompagnement des collectivités dans le texte

Le Sénat a adopté le 12 mars le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transposant trois directives européennes, dont NIS 2 qui impacte directement les collectivités. Le Sénat a clarifié le périmètre d'application du texte au secteur public local et contraint le gouvernement à prévoir un accompagnement des collectivités.

C'est au moment même où l'Anssi publiait son bilan annuel indiquant qu'un quart des victimes de cyberattaques sont des collectivités (voir notre article du 11 mars 2025) qu'est arrivée au Sénat la discussion du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Transposition de trois directives européennes (REC, NIS 2 et Dora), elle se fixe pour ambition d'améliorer la capacité de l'ensemble du tissu économique et social à anticiper, résister et se remettre rapidement des cyberattaques.

Clarification du périmètre

Alors que NIS 1 concernait environ 500 opérateurs d'importance vitale, le nouveau texte étend les obligations de cybersécurité à près de 15.000 entités, dont 1.500 collectivités territoriales. La commission spéciale du Sénat a avalisé cette extension aux collectivités en l'estimant "ambitieuse mais nécessaire".

Le Sénat a clarifié la liste des entités publiques concernées par la directive (lire l'encadré ci-dessous). Toutes les grandes collectivités sont concernées. Le Sénat a cependant exclu les communautés d’agglomération ne comprenant pas au moins une commune de plus de 30.000 habitants du périmètre des entités essentielles, comme le défendait l'AMF. Le texte précise également les secteurs économiques concernés, il s'applique notamment aux réseaux de chaleur et de froid, à l'hydrogène et l'assainissement.

L'accompagnement inscrit dans le texte

Face aux défis humain, technique et financier que soulève la mise en œuvre de la directive pour les territoires, les sénateurs ont inscrit leur accompagnement dans le texte. Le nouvel article imposant la définition d'une stratégie nationale de cybersécurité inclura ainsi "les modalités de soutien aux collectivités territoriales et à leurs groupements". 

Un amendement visant à clarifier "le cadre d'intervention et le rôle des CSIRT territoriaux [centres de réponse aux incidents cyber] dans la politique de cybersécurité, leur financement et leur déploiement sur le territoire en hexagone comme en outre-mer" a en revanche été rejeté. La ministre Clara Chappaz a reconnu les difficultés de positionnement de certains CSIRT tout en soulignant que "ces dispositifs en sont pour la plupart à leur première année d'existence" et que "certains ont déjà trouvé leur modèle économique", renvoyant le sujet financement des CSIRT aux futurs débats budgétaires.

Transition de trois ans

La question des compétences cyber, soulevée par de nombreux élus, a également été prise en compte avec l'adoption d'un amendement intégrant "l'identification et le renforcement des compétences et formations nécessaires sur l'ensemble du territoire" dans la stratégie nationale.

Une période de transition de trois ans est enfin prévue, durant laquelle "s'appliqueront uniquement des contrôles blancs, dépourvus de sanctions et réalisés dans une visée éducative", selon la ministre. Le texte entérine enfin la dispense de sanctions financières des collectivités en cas de manquement à leurs obligations de sécurisation des systèmes d'information. "Elles ne sont ni financées ni assurées dans les mêmes conditions qu'un organisme privé", a reconnu Clara Chappaz.

Le texte a été transmis à l'Assemblée nationale qui a annoncé la mise en place d'une commission spéciale pour instruire sa discussion. "Le texte, déjà bien clarifié par le Sénat, va pouvoir être encore amélioré", se félicite-t-on à l'Avicca. Tout l'enjeu est d'éviter de mauvaises surprises avec les quelques 40 décrets prévus dans la loi.

› Périmètre d'application des obligations cyber

Entités essentielles

1. Régions, départements et communes de plus de 30.000 habitants.
2. Communautés urbaines, métropoles, communautés d'agglomération comprenant au moins une commune de plus de 30.000 habitants et syndicats dont les activités s'inscrivent dans des secteurs critiques et dont la population est supérieure à 30.000 habitants.
3. Services départementaux d'incendie et de secours et centres de gestion.
4. Institutions et organismes interdépartementaux dont les activités s'inscrivent dans des secteurs critiques.

Entités importantes

1. Communautés d'agglomération ne comprenant pas au moins une commune de plus de 30.000 habitants.
2. Communautés de communes et leurs établissements publics administratifs dont les activités s'inscrivent dans des secteurs critiques.
3. Établissements publics à caractère industriel et commercial et régies dotées de l'autonomie financière opérant dans des secteurs critiques ou employant au moins 50 personnes ou dont bilan annuel excède 10 millions d'euros.

 

Pour aller plus loin

Voir aussi

Abonnez-vous à Localtis !

Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

Découvrir Localtis