![[Transposition de NIS 2] : une commission parlementaire alerte le législateur](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-offers-shield-2024-2160x735.jpg)
Transposition de NIS 2 : une commission parlementaire alerte le législateur
La Commission supérieure du numérique et des postes (CSNP) du parlement français a publié, le 21 mai 2024, un avis critique sur la transposition en droit français de la directive européenne NIS 2. Cette révision de la directive sur la « sécurité des réseaux et de l’information » élargit le périmètre des organisations sensibles contraintes de respecter des normes minimales de cybersécurité. Elle renforce également les obligations des structures déjà concernées.
Le 6 juin 2024, le gouvernement français va présenter au conseil des ministres un projet de loi de transposition. NIS 2 doit entrer en vigueur en France au plus tard le 17 octobre 2024. Les membres de la CSNP – députés, sénateurs et personnalités qualifiées – alertent sur un manque d’information persistant, et sur un projet de loi répondant mal à l’urgence de la situation. Ils proposent quatorze recommandations pour le corriger.
« Il est plus que vraisemblable que de très nombreuses entreprises et collectivités locales ne sont pas pleinement informées de l’existence de cette entrée en vigueur, des nouvelles obligations qui pèseront sur elles et des mesures qu’elles devront prendre pour s’y conformer », lit-on ainsi dans l’avis. La CSNP réclame donc une « véritable campagne de communication » sur le sujet, à destination des entreprises et collectivités concernées, voire du grand public.
Les membres de la CSNP pointent également le flou entourant toujours le périmètre d’application de NIS 2. Certes, l’Anssi a établi une liste de 1 489 collectivités locales et d’environ 14 000 entreprises concernées, considérées comme des entités « essentielles » ou « importantes ». Mais les organisations professionnelles estiment que ce chiffre pourrait être au final plus élevé.
Or, en l’état, le projet de loi ne tranche pas cette question. Il renvoie « à des décrets en Conseil d’État et des décrets simples la liste des secteurs économiques critiques et hautement critiques ainsi que les seuils déterminant les entreprises soumises au projet de loi (nombre de salariés, chiffre d’affaires et bilan), pourtant précisés dans la directive NIS 2 », lit-on dans l’avis. Les membres de la CSNP réclament donc la réintégration de ces informations dans la loi.