Malgré la dissolution de l’Assemblée nationale et les changements de gouvernement qui ont perturbé le calendrier législatif, le projet de loi transposant la directive européenne NIS2 en droit national a été présenté en conseil des ministres à la mi-octobre. Il a ensuite été déposé au Sénat, où Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’organisme chargé de sa mise en œuvre, a été auditionné. « La genèse de cette directive repose sur l’évolution des menaces (…) Nous sommes confrontés à une menace systémique nouvelle, liée au crime organisé, qui peut entraîner la paralysie d’hôpitaux, d’entreprises ou encore de secteurs publics », a-t-il souligné.
Élargissement des entités et secteurs régulés
Pour rappel, cette seconde version de la directive sur la sécurité des réseaux et des systèmes d’information (NIS) a pour objectif de renforcer la cybersécurité des acteurs fournissant des services jugés « essentiels » ou « importants », en fonction de leur taille et de la nature de leurs missions. En France, cette évolution se traduit par une augmentation significative du nombre d’entités régulées, qui passe de 500 à près de 15 000, et par une extension des secteurs concernés, passant de 6 à 18. Une petite révolution, puisque ce nouveau cadre élargit considérablement le champ des acteurs et des secteurs régulés depuis l’entrée en vigueur de NIS1 en 2016.
Par ailleurs, NIS2 introduit des sanctions administratives et financières particulièrement dissuasives en cas de non-conformité. Les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel global de l’entité concernée.
Une mise en œuvre progressive et réaliste
Vincent Strubel s’est cependant montré rassurant. « Il n’y aura pas de surtransposition par rapport aux autres États membres. Nous rechercherons une approche proportionnée, avec des exigences économiquement soutenables et réalistes. » Et d’insister sur la nécessité de prendre le temps pour une mise en œuvre progressive des dispositions : « Une conformité complète ne pourra être exigée qu’au bout d’environ trois ans, notamment en raison des délais nécessaires pour investir et renouveler les contrats existants ». Pour les entités nécessitant des investissements plus modestes, ce délai sera réduit à six mois.
Lire aussi sur L’Essor de la Sécurité : NIS 2 : une plateforme pour bien comprendre les enjeux de la directive
Le projet de loi apporte également des précisions importantes sur les définitions des entités « essentielles » et « importantes », qui devront, selon leur classification, répondre à des obligations spécifiques. Pour les administrations publiques, les régions, départements et communes de plus de 30 000 habitants entrent dans la catégorie des « entités essentielles » et auront des exigences renforcées par rapport aux entités importantes. Ces dernières incluent notamment les communautés de communes et leurs établissements publics administratifs.
