NIS 2 : la Commission supérieure du numérique et des postes émet ses recommandations alors que son examen approche au Sénat

Le projet de loi relatif à la résilience des activités d'importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, transposition de la directive NIS 2, s'apprête à être examiné au Sénat qui vient de désigner une commission spéciale.

2.481 collectivités concernées

Quelques jours auparavant, la Commission supérieure du numérique et des postes (CSNP) avait publié un avis sur ce texte qui représente selon elle "un changement de paradigme en instaurant un niveau de sécurité collectif".  Car selon les calculs de l'Anssi révélés par ce document, en partant du seuil de 30.000 habitants, au moins 2.481collectivités seront concernées. 
Dans le détail : 
- 1.489 collectivités territoriales, groupements et certains organismes sous leur tutelle devraient être concernés au titre des "entités essentielles",
- 992 communautés de communes métropolitaines et d'outre-mer seront, quant à elles, concernées au titre des "entités importantes". 
Côté entreprises, on devrait passer de 500 à 15.000 "entités régulées". Des chiffres à affiner car les critères précis seront fixés par décret, ce que regrette la commission qui propose de les intégrer dans la loi. 

Communiquer et positiver

Le premier défi de NIS 2 sera donc le passage à l'échelle. La CSNP souligne qu'une large campagne de communication est nécessaire pour informer les nouvelles entités et collectivités locales de leurs nouvelles obligations. Car, de fait, certaines entités sont dans l'ignorance de ce qui les attend. Cette communication, la commission incite à la concentrer sur les avantages de la directive NIS 2, notamment l'augmentation du niveau de sécurité numérique et la protection des données des usagers. Elle suggère aussi de créer "un label" valorisant les entités volontaristes. Elle demande que les obligations de conformité soient hiérarchisées afin de s'attaquer en priorité aux failles les plus critiques. 

100.000 à 200.000 euros

La CSNP s'interroge ensuite sur la capacité des entités à faire face et invite à mettre en œuvre un "accompagnement financier pour les entités ne disposant pas des moyens nécessaires à leur mise en conformité". Car celle-ci va coûter cher : l'Anssi l'a évaluée de 100.000 à 200.000 euros pour une structure partant de zéro. Les collectivités ont estimé de leur côté qu'un budget de 50.000 à 100.000 euros pour une collectivité moyenne était "difficile à financer". La CSNP demande que ces chiffres soient affinés par l'Anssi. Elle propose aussi de revoir les délais de mise en conformité au 31 décembre 2027 pour étaler les investissements.

Mieux coordonner les acteurs cyber

La CSNP converge ensuite avec les associations d'élus sur la nécessité d'une remise à plat de l'organisation cyber. Elle demande un renforcement de la présence de l'Anssi en région et recommande aussi de clarifier le positionnement des CSIRT régionaux (centres de réponse aux incidents) dans le dispositif d'accompagnement. La CSNP recommande aussi d'introduire dans le projet de loi un dispositif d'accompagnement territorial coordonné par l'Anssi et les services de l'Etat. Celui-ci articulerait les différents organismes publics et privés proposant un accompagnement, notamment les organismes consulaires, le GIP Acyma, les CSIRT, les Campus cyber, les organisations professionnelles et les associations d'élus.

Il reste maintenant à savoir ce que reprendront les sénateurs dans ces propositions.