Adopté le 12 mars 2025, ce projet de loi marque une étape clé dans la transposition des trois directives européennes de 2022, consolidant ainsi la protection des infrastructures critiques et le renforcement de la cybersécurité du pays.
REC, NIS2, DORA…
La première, la directive REC (Résilience des Entités Critiques), vise à renforcer la capacité des infrastructures essentielles à anticiper, résister et se rétablir face aux menaces, qu’elles soient naturelles ou d’origine humaine. Elle modernise ainsi le cadre de protection des secteurs vitaux tels que l’énergie, les transports et la santé, en instaurant des mesures harmonisées au sein de l’Union européenne.
La deuxième directive, NIS2 (Network and Information Security), renforce la cybersécurité au sein de l’Union européenne en étendant les exigences de sécurité à un plus grand nombre de secteurs et d’entités. En France, ce sont désormais quelque 15 000 entités jugées essentielles ou importantes qui devront se conformer à ces nouvelles exigences.
Enfin, la directive DORA (Digital Operational Resilience Act) cible spécifiquement le secteur financier, particulièrement vulnérable aux cybermenaces. Elle impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication, de tests de résilience et de supervision des prestataires tiers, afin d’assurer la continuité et la sécurité des services financiers face aux perturbations numériques.
Un texte amendé et adapté aux collectivités territoriales
Sous l’impulsion d’Olivier Cadic, sénateur des Français établis hors de France, la commission spéciale du Sénat a amendé le texte pour le rendre plus précis et équilibré. Il s’agissait de clarifier les obligations pesant sur les entités concernées, d’éviter des disparités de traitement entre les entreprises et d’alléger certaines contraintes administratives. L’objectif : une mise en application efficace sans alourdir inutilement la charge pesant sur les acteurs économiques et publics.
Un soin particulier a été apporté aux collectivités territoriales. Le Sénat a revu la liste des entités concernées, épargnant certaines communautés d’agglomération d’obligations trop lourdes. Pour leur laisser le temps de s’adapter, une période de transition de trois ans a été instaurée : durant cette phase, seuls des contrôles à visée pédagogique seront menés, sans sanctions.
Le texte est désormais entre les mains de l’Assemblée nationale, où il poursuivra son parcours législatif.
Lire aussi sur L’Essor de la Sécurité : Cybersécurité : quelques enjeux clés en 2025
Pour rappel, entre 2022 et 2023, les cyberattaques, et notamment celles par rançongiciel, ont bondi de 30 %. TPE et PME sont les premières victimes, représentant 34 % des attaques recensées. Mais les collectivités territoriales (24 %), les entreprises stratégiques (10 %), les établissements de santé (10 %) et les universités (9 %) subissent également de plein fouet cette vague de cybercriminalité.
