Directive NIS 2 : l'Ansi va consulter sur le périmètre des entités concernées
À l'occasion d'un webinaire organisé le 16 mai 2023, l'Agence nationale pour la sécurité pour la sécurité des systèmes d’information a fait un point de méthode sur la mise en œuvre de la directive NIS 2. En restant très prudente sur le cas des collectivités territoriales.
La France a jusqu'au 17 octobre 2024 pour mettre en œuvre la nouvelle directive Network and Information Security (NIS 2) – ou directive sécurité des réseaux et système d’information (SRI) – adoptée en décembre 2023 par l’Union européenne. Avec six mois de moins pour la transposer que pour la directive NIS 1 qu’elle remplace, le timing s'avère très serré pour l'Agence nationale pour la sécurité pour la sécurité des systèmes d’information (Ansi). Car l'enjeu pour la France est de passer de quelque 300 entités régulées par NIS 1 à "probablement plus de 10.000", a déclaré Yves Verhoeven, sous-directeur en charge de la Stratégie à l'Anssi à l'occasion d'un webinaire sur ce sujet (prochainement accessible en replay). Ce passage à "une cybersécurité de masse" va impliquer de lourds changements pour l'agence.
De nombreux cas particuliers
Pourquoi le chiffre des entités régulées n'est-il pas plus précis ? Car la directive a beau lister une série de secteurs concernés – 11 "essentiels" et 7 "importants" – et de critères de tailles – seules les entités moyennes, intermédiaires et grandes sont concernées – il reste de très nombreux cas particuliers. NIS 2 laisse aussi la possibilité aux États membres de décider que telle ou telle entité, même si elle n'entre pas formellement dans le champ de la directive, soit régulée car elle exerce une activité jugée stratégique par l'État membre. Les collectivités font partie de ces cas particuliers ; le texte européen renvoyant aux États membres le soin de les intégrer, ou non, et de définir s’il s’agit d’opérateurs "essentiels" ou "importants".
Au Parlement de décider
"Du point de vue de l'Anssi, on constate que les collectivités sont particulièrement exposées aux cyberattaques. Ce serait dommage de ne pas saisir l'opportunité d’emmener aussi les collectivités dans une démarche d'amélioration de leur niveau de protection", assure Yves Verhoeven. L'agence rappelle cependant qu’il reviendra au Parlement de fixer les critères (taille, nombre d’agents…), le seuil européen pour qualifier une entreprise de "moyenne" étant, par comparaison, de 50 salariés ou 50 millions d’euros de chiffre d’affaires ou un bilan supérieur à 43 millions d’euros. Un critère à croiser cependant avec la nature des activités exercées…. Car on peut être "moyen" voire "petit" mais exercer une compétence dans un secteur "essentiel" parmi lesquels l’énergie, les transports, l’eau potable, les eaux usées et les infrastructures numériques… Qu'en sera-t-il pour une collectivité exerçant la compétence de gestion de l'eau ? L'agglomération ayant posé la question n'a pas obtenu de réponse, tant le sujet pourrait évoluer au cours de la transposition. Car le projet de transposition va devoir passer par une phase de consultation, puis sera soumis au Conseil d'État avant d’être discuté au Parlement. Et ensuite il y aura les décrets d'application.
Recherche d'un impact réel
Pour les mois qui viennent, et d’ici la fin de l’année 2023, l'Anssi va mener une phase de concertation par secteur, en priorité avec les associations professionnelles, dans l'objectif de travailler sur les (nombreux) textes réglementaires qui accompagneront la loi. Même si elles n’ont pas été citées par les intervenants au webinaire, on peut penser qu’il en sera de même avec les associations d'élus. Ces concertations sectorielles seront l'occasion de fixer les périmètres comme les obligations qui vont avec. "Ce qui nous importe ce n’est pas de mettre en place des obligations administratives mais d'avoir un impact réel sur la sécurisation des entités", a martelé Yves Verhoeven. Il s'est également déclaré attaché au principe de "proportionnalité", visant à définir pour chaque catégorie d’entité des obligations atteignables eu égard aux moyens dont elles disposent.
Services en ligne et CSIRT
Enfin, si l'Anssi affiche haut et fort son désir d'accompagner au mieux les entités dans leur sécurisation, la forme de cet accompagnement va nécessairement devoir évoluer par rapport à la configuration actuelle qui vise 300 opérateurs d'importance vitale. Il passera davantage par des structures locales, notamment les centres régionaux de réponse aux incidents (CSIRT) mis en place avec l’appui des conseils régionaux, mais aussi davantage de services en ligne prêts à l'emploi, sur le registre de "mon service sécurisé". Enfin, parmi les sujets qui ne manqueront pas d’être débattus, celui des délais de mise en œuvre à inscrire dans le marbre des textes. Contrairement à NIS 1, ces délais seront plus précis et différenciés par catégorie d’obligation. Pour les entités concernées, ce sera aussi un moyen d’atténuer l’effet NIS 2 sur leurs finances.