Pointant un défaut majeur d’information, la CSNP plaide pour une loi plus claire.

La Commission supérieure du numérique et des postes (CSNP) du parlement français a publié, le 21 mai 2024, un avis critique sur la transposition en droit français de la directive européenne NIS 2. Cette révision de la directive sur la « sécurité des réseaux et de l’information » élargit le périmètre des organisations sensibles contraintes de respecter des normes minimales de cybersécurité. Elle renforce également les obligations des structures déjà concernées.

Le 6 juin 2024, le gouvernement français va présenter au conseil des ministres un projet de loi de transposition. NIS 2 doit entrer en vigueur en France au plus tard le 17 octobre 2024. Les membres de la CSNP – députés, sénateurs et personnalités qualifiées – alertent sur un manque d’information persistant, et sur un projet de loi répondant mal à l’urgence de la situation. Ils proposent quatorze recommandations pour le corriger.

« Il est plus que vraisemblable que de très nombreuses entreprises et collectivités locales ne sont pas pleinement informées de l’existence de cette entrée en vigueur, des nouvelles obligations qui pèseront sur elles et des mesures qu’elles devront prendre pour s’y conformer », lit-on ainsi dans l’avis. La CSNP réclame donc une « véritable campagne de communication » sur le sujet, à destination des entreprises et collectivités concernées, voire du grand public.

Les membres de la CSNP pointent également le flou entourant toujours le périmètre d’application de NIS 2. Certes, l’Anssi a établi une liste de 1 489 collectivités locales et d’environ 14 000 entreprises concernées, considérées comme des entités « essentielles » ou « importantes ». Mais les organisations professionnelles estiment que ce chiffre pourrait être au final plus élevé. 

Or, en l’état, le projet de loi ne tranche pas cette question. Il renvoie « à des décrets en Conseil d’État et des décrets simples la liste des secteurs économiques critiques et hautement critiques ainsi que les seuils déterminant les entreprises soumises au projet de loi (nombre de salariés, chiffre d’affaires et bilan), pourtant précisés dans la directive NIS 2 », lit-on dans l’avis. Les membres de la CSNP réclament donc la réintégration de ces informations dans la loi.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.