NIS 2 : le projet de loi enfin sur les rails
Le projet de loi transposant la directive européenne NIS 2 (Network and information security) a enfin été présenté en conseil des ministres le 15 octobre, soit deux jours avant la date à laquelle la France était censée avoir transposé la directive. Au total, environ 15.000 entités publiques et privées vont être concernées, parmi lesquelles 1.500 collectivités, en tant qu'"entités essentielles". Le Parlement doit à présent examiner le texte. La question désormais est de savoir quand.
© Capture vidéo @gouvernement/ Maud Bregeon
La directive européenne NIS 2 devait être transposée en droit français avant le 17 octobre 2024. Mais la dissolution de l'Assemblée nationale en juin dernier est passée par là et ce n'est que mardi 15 octobre que le projet de loi a été présenté en conseil des ministres et déposé au Sénat dans la foulée. L'exécutif a fait savoir par la porte-parole du gouvernement, Maud Bregeon, qu'il engageait la procédure accélérée pour ce projet de loi : l'examen parlementaire sera donc limité à une lecture par chambre. Le texte est sur le périmètre de plusieurs ministres : le ministre de l’Économie, des Finances et de l’Industrie Antoine Armand, le ministre de l'Enseignement supérieur et de la Recherche Patrick Hetzel et la secrétaire d'État chargée de l’intelligence artificielle et du numérique Clara Chappaz.
62 articles répartis en trois titres
Le projet de loi transpose en fait non pas une mais trois directives européennes visant à renforcer les dispositifs nationaux de sécurisation des activités d'importance vitale et de lutte contre les menaces cyber. Le texte comprend 62 articles répartis en trois titres : "Résilience des activités d’importance vitale", "Cybersécurité" et "Résilience opérationnelle numérique du secteur financier".
La directive dite "REC" du 14 décembre 2022 sur la résilience des entités critiques a pour objet d'améliorer la fourniture, au sein de l'Europe, de services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales. Cette directive renforce la résilience des infrastructures considérées comme critiques par les pays européens dans plusieurs secteurs d'activité (énergie, transports, secteur bancaire, santé, eau, denrées alimentaires, infrastructures numériques, administration publique, espace…).
La fameuse directive dite "NIS 2" du 14 décembre 2022 a donc pour but d'assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union. La directive intéresse certaines entités qualifiées d'"essentielles" ou d'"importantes" en raison des services qu'elles fournissent et de leur taille. Le texte prolonge la directive NIS 1 du 6 juillet 2016 en l'étendant à de nouvelles entités. Le dernier avis de la Commission supérieure du numérique et des postes (CSNP) estime que 1.489 collectivités territoriales, groupements de collectivités et certains organismes sous leur tutelle devraient être concernés en tant qu'entités "essentielles", soumises à une conformité stricte et 992 communautés de communes, en métropole et outre-mer, seront concernées en tant qu'entités "importantes". Au total, ce sont 15.000 entités publiques et privées qui vont être concernées (notre article du 4 octobre 2024).
Enfin la directive du 14 décembre 2022 accompagnant le règlement Digital Operational Resilience Act (Dora) du 14 décembre 2022 doit améliorer les exigences liées à l'encadrement des risques induits par l'emploi des technologies de l'information et de la communication (TIC) dans le secteur financier.
Un défi pour les entités concernées
Le Conseil d'Etat, qui a rendu un avis sur le projet de loi, observe quant à lui concernant la partie transposition de NIS 2 que le texte ne "comporte pas de dispositions transitoires ou d'entrée en vigueur différée alors qu'il impose à de nombreuses entités de nouvelles obligations". "La charge pour les entités qui devront s'identifier elles-mêmes et se mettre en conformité sera un défi pour nombre d'entre elles", rappelle le Conseil d'Etat, faisant référence tant à l'aspect financier qu'aux "compétences à acquérir ou développer". Le Conseil d'Etat rappelle qu'il "ne remet pas en cause ce choix" [...] mais qu'il "estime toutefois indispensable, dans ce contexte, un effort d'information et d’accompagnement soutenu et réactif de l’Etat au profit des entités concernées".
"La transposition doit s'inscrire dans une logique de transition progressive", a rappelé pour sa part Patrick Molinoz, maire et co-président de la commission numérique de l'Association des maires de France (AMF). Marc Bothorel, référent cybersécurité au sein de la Confédération des petites et moyennes entreprises (CPME), demande lui à disposer de "trois à cinq ans de mise en oeuvre progressive". Tous deux sonnent aussi l'alarme sur les moyens financiers et humains nécessaires à la mise en conformité.
Le Sénat doit à présent examiner le texte. A une date encore inconnue.
