NIS 2 : petit coup de pression de la Commission supérieure du numérique et des postes pour que l'Anssi désigne les collectivités soumises
Le 17 octobre 2024, la directive européenne NIS 2 sur la cybersécurité entrera en vigueur et les quelque 15.000 entités concernées devront être en conformité d'ici le 31 décembre 2027. Face à ces échéances, la Commission supérieure du numérique et des postes (CSNP) préconise de clarifier au plus vite les obligations des collectivités.
La Commission supérieure du numérique et des postes (CSNP) vient de publier un nouvel avis sur la cybersécurité alors que l'entrée en vigueur de la directive NIS 2 est programmée pour le 17 octobre 2024. La CSNP s'était déjà exprimée en mai sur le projet de loi retranscrivant (entre autres) la directive NIS 2, texte dont l'examen a été stoppé net par la dissolution. Cet avis avait révélé que 1.489 collectivités territoriales, groupements de collectivités et certains organismes sous leur tutelle devraient être concernés en tant qu'entités "essentielles", soumises à une conformité stricte. De plus, 992 communautés de communes, en métropole et outre-mer, seront concernées en tant qu'entités "importantes". Les parlementaires y avaient exprimé des inquiétudes quant aux délais de mise en conformité et avaient déploré l’absence d’étude d’impact sur les coûts et ressources nécessaires à sa mise en œuvre.
Lever les ambiguïtés
Dans ce nouvel avis, la CSNP fait 32 recommandations, au premier rang desquelles l'urgence à communiquer en lançant sans délai une campagne de sensibilisation auprès des 15.000 entités publiques et privées concernées. Sur la transposition, la CSNP insiste sur la nécessité de limiter au maximum le renvoi à des décrets en Conseil d’État pour clarifier les obligations dès le texte de loi, éviter les ambiguïtés et les retards d'application. Il est aussi préconisé de confier à l'Agence nationale de la sécurité des systèmes d'information (Anssi) la responsabilité de désigner les collectivités locales soumises à la directive NIS 2 pour clarifier leur statut (entité essentielle ou importante) et assurer que les collectivités concernées soient effectivement informées. Le rapport recommande également de préciser dans la loi la notion d'"incident important" en publiant une liste de critères objectivables.
Accompagnement technique et financier
La CSNP invite ensuite à allouer des financements spécifiques pour soutenir les collectivités et autres entités ne disposant pas des ressources nécessaires pour se conformer. Elle propose de faire auditer par l'Anssi le niveau de préparation des collectivités locales concernées afin de vérifier leur capacité à respecter le calendrier. Face à des entités manquant de maturité cyber, elle suggère que le texte introduise une "progressivité" dans le respect des obligations et prévoit un accompagnement technique. Elle propose de renforcer le rôle des centres de réponse aux incidents cyber régionaux (C-Sirt) tout comme la présence de l'Anssi en région. Elle suggère de missionner les préfets pour accompagner la mise en œuvre de la directive dans les territoires. Enfin, compte tenu du calendrier resserré, elle invite à "accorder de la souplesse" dans l'appréciation du respect des obligations jusqu'au 31 décembre 2027.