Soumission à NIS 2 : l'Anssi propose un seuil de 30.000 habitants et des critères définis par décret
Le projet de transposition de la directive network and information security dite NIS 2 a fuité dans la presse. Il s'agit d'une version provisoire élaborée par l'Anssi après consultation des parties prenantes, dont les associations d'élus. Dire quelles collectivités seront effectivement impactées est cependant difficile à déterminer : le seuil de population proposé est à croiser avec des critères tranchés ultérieurement par le Conseil d'État.
Le projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité, et à la résilience opérationnelle numérique du secteur financier est la transposition en droit national de la directive sur la sécurité des réseaux dite NIS 2. Un titre à l'image du caractère touffu de ce texte de 41 pages révélé par nos confrères de Contexte et que Localtis a pu consulter. Ce projet a été rédigé par l'Agence nationale de la sécurité des systèmes d'information (Anssi) après consultation des représentants des différents secteurs, dont les principales associations d'élus.
Entités essentielles et importantes
Si ce texte apparait comme très fidèle à la directive européenne, il était très attendu sur les quelques points restant à la main des États, dont la fixation du sort des collectivités territoriales. Il revient en effet aux États d'affiner la liste des "entités essentielles" et "entités importantes" distinguées par NIS 2. Pour mémoire, les entités essentielles opèrent dans une vingtaine de secteurs critiques dont font partie, a minima, les administrations de l'État. Elles doivent mettre en œuvre des mesures de gestion des risques adaptées aux menaces susceptibles d'affecter la sécurité de leur réseau et de leurs systèmes d'information, incluant l'utilisation de protocoles de cybersécurité, des contrôles réguliers et des mécanismes de signalement des incidents. Elles doivent se doter d'une organisation humaine adaptée et sont soumises à la supervision de l'Anssi qui pourra mener des visites sur site.
Les entités importantes sont soumises globalement aux mêmes règles mais avec un mécanisme de contrôle plus souple, essentiellement déclaratif et réalisé à distance.
Obligations cyber pour toutes les intercommunalités
C'est l'article 8 du projet de loi qui précise les entités concernées. Mais pour les collectivités, c'est une sélection par déduction. L'article 8 stipule en effet que ne sont pas soumises aux règles pesant sur les entités essentielles "des communes d'une population inférieure à 30.000 habitants, des communautés de communes, des établissements publics de coopération intercommunale sans fiscalité propre dont les activités ne s'inscrivent pas dans un des secteurs d'activité hautement critiques ou critiques fixés par décret en Conseil d'État et dont les effectifs n'excèdent pas les seuils définis par voie réglementaire ainsi que d'autres établissements publics administratifs sous tutelle d'une collectivité territoriale". En d'autres termes, sans connaitre les critères du décret, il est difficile de dire qui sera effectivement considéré comme entité essentielle.
Néanmoins, si les communes de moins de 30.000 habitants échappent à des obligations cyber, ce n'est pas le cas des intercommunalités. Le même article 8 désigne en effet que les communautés de communes (et seulement elles) ayant échappé au qualificatif d'entité essentielle sont considérées comme "entités importantes". Les associations urbaines (notre article du 11 mars 2024) qui souhaitaient que seule la criticité des services et des systèmes soit prise en compte n'ont donc été que très partiellement entendues par l'Anssi.
Pas de sanctions pour les administrations
Concernant le volet répressif prévu par NIS 2, le texte exempte les administrations, collectivités territoriales et établissements publics des sanctions que peuvent encourir les entités essentielles en cas de manquement (jusqu'à 10 millions d'euros d'amende).
Le projet de loi va devoir maintenant entamer son parcours législatif. Il est clair que sur le volet collectivités, les parlementaires pourraient le modifier sensiblement, notamment sous l'effet d'un contexte budgétaire peu favorable à l'imposition de nouvelles obligations aux territoires. La Commission supérieure du numérique et des postes (CSNP), qui associe 7 députés et 7 sénateurs, a mené des auditions début avril sur cette transposition : on ne manquera pas d'être attentif à ses préconisations pour la sphère locale. Côté calendrier, le Parlement a jusqu'au 17 octobre 2024 pour discuter le projet de loi, le texte entrant en vigueur le lendemain. Le directeur général de l'Anssi a cependant d'ores et déjà annoncé "une période transitoire de 3 ans" avant d'endosser pleinement son nouveau rôle de gendarme (notre article du 2 avril 2024).