France : le Sénat examine la loi de transposition des directives NIS2, REC et DORA

Le Sénat français va examiner, les 11 et 12 mars 2025, le projet de loi « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », qui transpose dans le droit français les directives européennes REC, NIS2 et DORA. Ces trois textes-cadres, adoptés conjointement le 14 décembre 2022 par le Parlement et le Conseil européens, entendent répondre à la hausse de la cybercriminalité dans l’Union européenne.

La ministre déléguée en charge de l’Intelligence artificielle et du numérique, Clara Chappaz, a déposé le projet de loi au Sénat le 15 octobre 2024. L’intérêt « transversal » du texte a conduit la chambre haute à constituer, le 12 novembre 2024, une commission spéciale, qui a étudié et légèrement amendé le texte, jusqu’à l’adopter le 4 mars 2025.

Dans le détail, le projet de loi va donc transposer la directive REC sur la « résilience des entités critiques », via une actualisation du « dispositif de sécurité des activités d’importance vitale ». Cette transposition actera le passage d’une logique se concentrant exclusivement sur la protection des infrastructures vers une approche axée également sur la résilience

La transposition de la directive NIS2, quant à elle, étendra considérablement le nombre d’infrastructures françaises soumises à une obligation de cyber-sécurisation. Limitée à 500 entités « critiques » dans NIS1, cette obligation concernera désormais également 15 000 infrastructures « essentielles » et « importantes ». Le gouvernement a d’ailleurs inclus dans cette liste près de 1 500 collectivités territoriales et instituts de recherche que la directive européenne n’imposait pas de protéger.

Enfin, la transposition de la directive DORA sur la résilience opérationnelle numérique du secteur financier imposera un encadrement plus rigoureux des organisations de ce secteur.