L'Anssi se donne trois ans pour la pleine application de la directive NIS 2

"Le 17 octobre, il ne va pas se passer grand-chose de spécial en tout cas dans le domaine de NIS 2", a déclaré Vincent Strubel à Monaco aux assises de la cybersécurité qui se sont déroulées du 9 au 11 octobre 2024. Car si le projet de loi de transposition est prêt depuis le printemps, il n'a pu être examiné. Cela n'empêche pas la directive d'entrer en vigueur à cette date.

Concrètement, la transposition va devoir trouver un créneau dans l'agenda législatif. "On se donnera au moins trois ans avant d’exiger une conformité complète au cadre une fois qu’il sera posé, avant d’envisager des sanctions pour les manquements", a assuré le DG de l'Anssi. Il a appelé à un "effort collectif" pour définir les standards et s'assurer qu'ils soient "réalistes" et adaptés aux capacités des organisations. À court terme, l'agence va demander aux entités concernées de s'auto-déclarer sur la plateforme https://monespacenis2.cyber.gouv.fr. La déclaration en ligne d'incidents cyber sera également bientôt possible.

Vincent Strubel a également fait valoir les succès obtenus dans la préparation des JO (548 événements détectés) : "À aucun moment une cyberattaque n'est venue perturber ni le déroulement des Jeux, ni la confiance des innombrables délégations et spectateurs du monde entiers." Et d'ajouter que le soutien apporté par l'agence aux petites structures, telles que les collectivités locales et les fédérations sportives, avait porté ses fruits. Un accompagnement dont l'agence a promis de tirer les leçons, car l'enjeu de NIS 2 est bien "d’arriver à embarquer des milliers d’entités qui aujourd’hui ne se sentent pas concernées par la cybersécurité".