Le gouvernement français a présenté le 15 octobre un projet de loi afin de transposer la Directive NIS 2 et deux autres textes européens. Cette transposition avait été retardée par la dissolution de l’Assemblée nationale.
Un projet de loi pour trois Directives européennes
Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité présenté par le gouvernement vise à transposer trois Directives européennes. Ce texte comprend 62 articles répartis en trois titres : Titre 1 « Résilience des activités d’importance vitale », Titre 2 « Cybersécurité » et Titre 3 « Résilience opérationnelle numérique du secteur financier ».
- La Directive dite « REC » du 14 décembre 2022 sur la résilience des entités critiques – Transposée dans le titre 1 du projet de loi
Cette Directive a pour objectif de renforcer la protection et la résilience des infrastructures essentielles en Europe, comme l’énergie, la santé, les transports et l’eau. Elle impose aux Etats membres de mieux identifier et protéger les infrastructures face aux menaces physiques et cyber.
- La Directive dite « NIS 2 » du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union – Transposée dans le titre 2 du projet de loi
Cette Directive vise à renforcer la cybersécurité des infrastructures critiques, en incluant des secteurs comme la santé et les services numériques. Elle impose des normes de sécurité strictes, une gestion des risques renforcée, et exige que les incidents majeurs soient signalés sous 24 heures. En harmonisant les pratiques de cybersécurité, elle devrait permettre d’améliorer la résilience de l’UE face aux cyber-menaces. Elle fait suite à la Directive NIS 1 de 2016.
- La Directive du 14 décembre 2022 accompagnant le Règlement Digital Operational Resilience Act (DORA) du 14 décembre 2022 – Transposée dans le titre 3 du projet de loi
Le Règlement DORA permet de renforcer la résilience opérationnelle numérique des institutions financières face aux cyber-menaces. Il impose des normes strictes en matière de gestion des risques informatiques pour les banques, les assurances, les gestionnaires d’actifs, et toute autre entité financière, afin de garantir leur capacité à résister et à répondre aux incidents de sécurité numérique.
Application de la Directive NIS 2 : un défi pour les collectivités
Les collectivités auront un rôle à jouer dans la mise en place de cette Directive. Selon l’avis de la Commission supérieure du numérique et des postes (CSNP), « 1 489 collectivités territoriales, groupements de collectivités et certains organismes sous leur tutelle devraient être concernés en tant qu’entités « essentielles », soumis à une conformité stricte » et « 992 communautés de communes, en métropole et outre-mer, seront concernées en tant qu’entités « importantes » ».
La CSNP invite donc à allouer des financements spécifiques pour soutenir les collectivités et autres entités ne disposant pas des ressources nécessaires pour se conformer.
Une enquête sur la maturité des communes de moins de 25 000 habitants avait été lancée jusqu’au 4 octobre par l’Anssi, Cybermalveillance, l’ANCT, la Banque des territoires et plusieurs associations d’élus afin de faire un état des lieux des incidents, des protections existantes et de la « culture cyber » des petites collectivités. Les résultats de cette enquête seront présentés le 19 novembre lors du salon des maires.
Par ailleurs, en attendant une transposition de la Directive NIS 2, l’Anssi a mis en place une version bêta d’une plateforme d’information à destination des entreprises. Les entreprises pourront y retrouver un simulateur afin de vérifier si elles sont concernées par la nouvelle Directive.
Plus d'information:
