La Belle Alliance plaide pour une application progressive de la directive NIS 2
Les huit associations d'élus de la Belle Alliance ont écrit à la secrétaire d'État au numérique pour que la transposition de la directive NIS 2 associe des moyens aux nouvelles obligations cyber qu'elle entend imposer aux collectivités.
Les huit associations d'élus de la Belle Alliance (1), collectif créé en 2021 pour porter leurs ambitions numériques, ont écrit le 22 avril 2024 à la secrétaire d'État au numérique, Marina Ferrari, pour partager leur vision de la transposition de la directive Network Information Security, dite NIS 2. Ce courrier intervient alors qu'une version provisoire du projet de loi NIS 2 a fuité dans la presse (voir notre article du 12 avril 2024). En l'état, le texte propose un seuil de 30.000 habitants et des critères fixés par le Conseil d'État pour soumettre les collectivités à des obligations cyber renforcées.
Progressivité, acculturation et étude d'impact
La Belle Alliance entend ainsi "travailler à une transposition la plus efficace et pérenne possible, donnant les moyens et le temps suffisants à chaque niveau de collectivité, pour respecter le futur référentiel de cybersécurité". Elle insiste surtout sur "l'appropriation par tous et à l'application par tous des nouvelles obligations en matière de cybersécurité". Les associations font par ailleurs de la "progressivité dans la mise en œuvre de la future loi", "la pierre angulaire de la réussite de cette transposition".
Les associations demandent aussi une "étude d'impact précise" pour "qualifier les risques, les menaces, les coûts financiers, administratifs, démocratiques des attaques, ainsi que l’importance de "prévenir plutôt que guérir"." Une étude qui permettrait notamment d'évaluer les ressources humaines à mobiliser pour atteindre les objectifs fixés par la directive dans un contexte où les compétences cyber sont "rares et chères".
Prolongation du financement des CSIRT
Les collectivités demandent ensuite "une prolongation des financements et une évolution du rôle des centres de réponses à incidents cyber (CSIRT). Pour mémoire les CSIRT ont été créés dans le cadre du plan de relance avec une aide de l'État de 1 million d'euro pour financer les trois ans de démarrage de ces organismes censés accompagner les petites entreprises et collectivités dans l'appréhension, la détection et l'éradication des menaces cyber. La Belle Alliance estime que les CSIRT pourraient avoir comme mission "la consolidation des écosystèmes cyber régionaux, le partage des bonnes pratiques, la formation et la labellisation d'experts cyber, en lien avec les Campus Cyber". On notera que le courrier ne mentionne pas le GIP Cybermalveillance auquel sont dévolues une partie de ces missions de formation et de labellisation. La Belle Alliance demande en revanche une "gouvernance clairement établie et identifiée au niveau de l'État", allusion à l'enchevêtrement des compétences entre l'agence nationale pour la sécurité des systèmes d'information (Anssi), le commandement cyber de la gendarmerie nationale et le GIP Acyma.
(1) Région de France, Départements de France, Association des maires de France, France urbaine, Intercommunalité de France, les Interconnectés, l'Avicca et la FNCCR.