France : les législateurs présentent enfin le projet de loi de transposition de NIS 2

Le projet de loi sur « la résilience des infrastructures critiques et le renforcement de la cybersécurité » a été présenté, le 15 octobre 2024 en conseil des ministres. Ce texte doit transposer dans le droit français plusieurs directives européennes liées à la cybersécurité :

• la directive sur la résilience des entités critiques ;
• les directives accompagnant le règlement Dora (Digital Operational Resilience Act) ;
• la directive NIS 2, révision de NIS (Network and information security), qui impose un niveau de cybersécurité minimum aux entités jugées « essentielles » et « importantes ».

L’Union européenne a fixé au 18 octobre 2024 la date limite pour transposer NIS2 dans le droit des états membres. La loi présentée au gouvernement est en projet depuis le printemps 2024, mais la dissolution de l’Assemblée nationale avait reportée son examen sine die. Le vote du texte n’est pas attendu avant le début de l’année 2025.

NIS 2 augmente fortement le nombre d’entités considérées comme « essentielles » et
« importantes », et rehausse le niveau de cyber-protection exigé pour chacune. L’Anssi a d’ailleurs mis en ligne un portail d’informations et d’accompagnement destiné aux organisations privées qui devront respecter NIS 2 en France. L’agence évalue leur nombre à 10 000, réparties sur 18 secteurs d’activité.

Cette plateforme propose tout d’abord un test pour déterminer si une entité « est régulée par la directive NIS 2 et à quelle catégorie elle appartient ». L’agence détaille ensuite les trois principales obligations que NIS2 imposera aux organisations françaises concernées :

• fournir des informations à l’Anssi ;
• mettre en place « des mesures de gestion des risques adaptées » ;
• signaler tout incident de cybersécurité.

L’Anssi précise aussi qu’en cas de non-respect de ce cadre, les organisations risquent une amende allant jusqu’à 2 % de leur chiffre d’affaires annuel.