NIS 2 : le périmètre et le calendrier sont-ils réalistes ?
Après le DG de l'Anssi et la ministre Clara Chappaz ce 4 février, c'était au tour des grandes associations d'élus d'être auditionnées par le Sénat sur la transposition de la directive NIS 2. Si ses objectifs de renforcement de la cybersécurité sont pleinement partagés, le calendrier semble peu réaliste eu égard au périmètre visé et aux moyens affectés.
© Captures vidéos Sénat/ Constance Nebbula, Marlène Le Dieu de Ville et Michel Sauvade
1.500 collectivités seront concernées par NIS 2, régions, départements et grandes intercommunalités l'étant au titre des "entités essentielles". Mais au-delà de ce chiffre, les impacts précis de la directive sont mal connus "faute d'étude d'impact", comme l'ont déploré les associations d'élus auditionnées par les sénateurs le 4 février 2025. Une chose est certaine, cela va coûter cher, de l'ordre de 690 millions d'euros par an et 105 millions pour les RH selon une étude de l'Idate cité par Michel Sauvade qui représentait l'Association des maires de France (AMF) et Départements de France. S'y ajoutent des inquiétudes sur la disponibilité de compétences alors que l'heure est aux restrictions budgétaires et aux tensions sur les métiers de la cybersécurité.
Un texte facile à appliquer ?
Ce manque de moyens, les intercommunalités sont les premières à le mesurer. Pour preuve ? "Si seulement 10% des communautés de communes ont bénéficié d'un accompagnement de l'Anssi, c'est que l'agence le conditionnait à la présence d'un DSI (directeur des systèmes d'information, ndlr). Or celui-ci fait défaut dans la plupart des intercommunalités", a relevé Marlène Le Dieu de Ville, représentante d'Intercommunalités de France. L'Anssi lui a certes affirmé que la directive serait "facile" à appliquer… l'élue attend de juger sur pièce. L'association a du reste annoncé la création de groupes de travail avec l'Anssi et les trois catégories d'intercos pour préparer dès à présent le volet réglementaire de la loi. Un volet réglementaire qui s'annonce conséquent, le gouvernement ayant décidé de ne pas vouloir "surtransposer" (voir notre article du 30 janvier 2025).
Accompagnement dans la durée et progressivité
L'accompagnement – et les financements qui vont avec - sera la clef, tant le cyber est peu entré dans les mœurs. La dernière étude Data publica a été ainsi rappelée aux sénateurs : elle a révélé qu'un quart des décideurs informatiques de collectivités n'ont jamais entendu parler de NIS 2. Le sujet cyber est également peu compris par certains élus. Constance Nebbula, représentante de Régions de France, a illustré ce manque de culture en citant le refus d'une commune de quitter son adresse Gmail alors que la protection du domaine des collectivités apparaît comme un rempart contre les cyberattaques.
Un accompagnement que les élus souhaitent dans la durée, pour dépasser le sujet mise en conformité et intégrer l'aide aux victimes. Une sénatrice s'est par exemple interrogée sur le mode opératoire (papier) à mettre en œuvre en cas d'attaques impactant les logiciels d'état civil.
En tout état de cause, l'AMF et Intercommunalités de France demandent une "transition progressive", comprendre un délai plus important pour les petites collectivités que les 3 ans annoncés par l'Anssi.
Régions missionnées sans compétence cyber
Les élus ont également demandé des clarifications, notamment sur le périmètre d'application de NIS 2. Car la ministre Clara Chappaz a évoqué des communes impactées via leur adhésion à un EPCI. "Que se passe-t-il en cas de mutualisation du système informatique ? Quelle est la responsabilité des maires ?", s'est interrogé Michel Sauvade.
Du côté de région de France, Constance Nebbula constate que les régions ont été missionnées via la mise en œuvre des campus cyber et des centres régionaux de réponse aux incidents (C-Sirt) "sans concertation, sans même que les régions soient compétentes sur le cyber". Or, alors que les restrictions budgétaires se confirment, le financement des C-Sirt n'est pas assuré au-delà du million d'euros par entité dont ils ont bénéficié pour leur mise en place. L'élue ligérienne s'est également interrogée sur l'opportunité de créer le 17cyber (voir notre article du 18 décembre 2024), ce centre d'appel national faisant à ses yeux doublon avec ceux mis en place par les régions. Un désordre imputé à l'absence de stratégie de cybersécurité de l'État, ce domaine étant à cheval entre les ministères de la Défense et l'Intérieur, avec un défaut de portage politique.
Sur le volet sanctions, les élus ont également demandé une clarification, la ministre faisant "deux poids deux mesure" selon Michel Sauvade, en insinuant que l'État serait exonéré de sanctions applicables aux collectivités. Les élus jugent également "inacceptables" que les contrôles conduits par l'Anssi soient à la charge des entités contrôlées. "Quand bien même les contrôles ne seraient menés qu'en cas de suspicion forte, il s'agirait alors d'une sanction par avance" a déclaré Constance Nebbula.
