Après une phase de consultation ayant duré plusieurs mois, l’ANSSI a dévoilé le projet de loi lié à la transposition de la directive NIS2 en droit français. Les associations d’élus et les fédérations professionnelles ont réagi, faisant remonter leurs suggestions... et inquiétudes.

Élaboré par l’ANSSI, le projet de loi relatif à la transposition en droit français de la directive NIS2, baptisé « Résilience », est sur les rails. Ce projet de loi transpose également deux autres directives européennes : la directive sur la résilience des entités critiques (REC) et celle sur la résilience opérationnelle numérique (DORA). « Comme tout projet de loi, il s’agit d’une ébauche qui doit encore être présentée aux ministères concernés puis au Parlement. C’est donc un premier projet qui peut encore bouger », explique l’avocate Claire Poirson, qui a pu se le procurer. 

Des associations d’élus pour défendre les intérêts des collectivités territoriales 

Dans son ensemble, la démarche de consultation menée par l’ANSSI depuis des mois auprès des associations d’élus et des fédérations professionnelles a été bien accueillie. Mais dès le 11 mars dernier, trois associations d’élus (Intercommunalités de France, France urbaine et Les Interconnectés) ont publié un communiqué pour alerter le Gouvernement et le législateur sur le « risque d’ineffectivité des objectifs et des obligations de la directive NIS2 si sa transposition en droit français ne se fait pas en bonne intelligence avec les collectivités territoriales ». Un mois plus tard (le 22 avril 2024), d’autres associations d’élus les ont rejointes, adressant à Marina Ferrari, la secrétaire d’État chargée du Numérique, un courrier allant dans le même sens.

En jeu, le seuil de 30 000 habitants au-delà duquel les collectivités devraient appliquer NIS2. Or, selon les associations d’élus, « en fonction de leur nombre d’habitants, de leur statut et de leurs compétences, toutes les intercommunalités ne disposent pas des mêmes leviers et ne sont pas exposées à des risques de la même intensité. La catégorisation des intercommunalités en entités dites essentielles et importantes, soumises à des niveaux d’obligations distincts, doit donc tenir compte des compétences et services publics effectivement exercés par les collectivités. Le nombre d’habitants ne peut être le seul critère du degré d’obligations imposées ».

La raison pour laquelle le projet de loi inclut les collectivités territoriales dans le champ d’application de NIS2 est simple : elles représentent 17 % de l’ensemble des incidents de cybersécurité traités par l’ANSSI entre janvier 2022 et juin 2023, selon une note publiée fin octobre 2023. « L’objectif est de mettre en place une approche proportionnée, adaptée à la maturité et aux moyens des collectivités. Au total, 661 collectivités territoriales ou groupements devraient être concernées en tant qu’entités essentielles : 22 régions, 97 départements, 263 métropoles et 279 communes de plus de 30 000 habitants. Les 992 communautés de communes seront quant à elles concernées en tant qu’entités importantes », précise Laure Martin-Tervonen, directrice de la marque et des affaires publiques de Cloud Temple, acteur français du cloud de confiance.

« Leur besoin de soutien et d’accompagnement a été entendu : les parcours de cybersécurité, mis en place dans le cadre de France Relance, seront accélérés. Un budget de transition sera aussi envisagé, pour financer le coût moyen estimatif de 400 000 euros nécessaires pour la mise en conformité d’une collectivité », ajoute-t-elle. 

Acteurs du numérique : un satisfecit prudent

Du côté des fédérations professionnelles, et plus spécifiquement des acteurs du numérique, la position est celle d’un satisfecit prudent, voire légèrement inquiet. « L’ANSSI a plutôt bien entendu ce qui a été remonté de la part de nos adhérents. Les constats qu’elle tire sont les mêmes que les nôtres. Maintenant, la question du ‘comment’ seront traitées les incertitudes actuelles reste très ouverte. La seule certitude que nous ayons aujourd’hui est qu’il existe une bonne volonté de l’ANSSI à traiter ces points », déclare Paul Pastor, Délégué aux affaires juridiques et à la cybersécurité au sein de Numeum, syndicat professionnel représentant l’écosystème numérique français.

Un des points de préoccupation est la capacité, pour les grands groupes, à se mettre en conformité dans tous les États membres de manière uniforme, sachant que le risque est non-négligeable d’être confronté à des disparités nationales, c’est-à-dire des versions différentes de la directive dues à des transpositions localisées. « C’est un gros point de vigilance pour nous, mais il est également partagé par l’ANSSI et les pouvoirs publics, ce qui est plutôt rassurant. L’enjeu est en effet de ne pas être confronté à 27 transpositions différentes de la directive. C’est la cohésion même du marché intérieur qui est en jeu », note Paul Pastor.

Quant aux modalités de mise en conformité des futures entités régulées, Paul Pastor se veut rassurant : « L’ANSSI a bien conscience qu’elle ne pourra pas reproduire – avec 15 000 entités NIS2 – ce qu’elle a fait avec 500 entités dans le cadre de NIS1. Une période plus ou moins longue de mise en conformité sera donc tolérée, et la proportionnalité sera encore mieux analysée, en faveur des entreprises, sur une première période qui pourrait être d’une, deux ou trois années après la transposition. Le terme ‘passage à l’échelle’ est actuellement dans toutes les bouches ». 

NIS2 : des enjeux stratégiques du même ordre que ceux du RGPD

Pour mémoire, les obligations de la directive NIS2 prévoient pour les entités concernées la mise en place d’une gouvernance garantissant que le risque cyber est pris en compte au plus haut niveau de l’entité, la mise en œuvre de mesures de protection des SI, des obligations d’information en cas d’incident et le déploiement de capacités de défense et de résilience. 

« Ces obligations sont relativement lourdes et doivent être financées. C’est d’ailleurs un vrai sujet politique car, avec NIS1, l’Europe a constaté une réelle hétérogénéité dans les systèmes de protection des États membres, alors que les cybermenaces sont toujours plus sophistiquées et impactantes et qu’elles relèvent de plus en plus fréquemment d’enjeux de géopolitique », commente Claire Poirson.

Le caractère hautement stratégique de NIS2 est également souligné par Patrick Amazouz, Avocat Associé chez KPMG Avocats / KPMG en France : « La transposition de NIS2 va entraîner l’instauration d’une responsabilité des organes de direction ainsi qu’un renforcement des sanctions encourues. Les organisations doivent se préparer sans attendre à un changement comparable à l’entrée en vigueur du RGPD. Elles seront bientôt confrontées à de nouvelles obligations et à l’émergence de l’ANSSI comme régulateur pouvant mettre en œuvre des contrôles et prononcer des sanctions allant jusqu’à 2 % du chiffre d’affaires annuel mondial ». 

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.