Cybersécurité : les associations d'élus attendent des « garanties préalables » à la transposition de la directive NIS2
Par Lucile Bonnin
La directive du 14 décembre 2022 dite « NIS 2 » visant à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union doit être transposée en France avant le 17 octobre 2024. Le périmètre d'application de la directive pour les collectivités n'est pas encore définitivement arrêté.
Pour mémoire, la première réglementation européenne en matière de cybersécurité a été publiée en 2016 et concernait 500 entités « Opérateurs de services essentiels ». Les communes et les EPCI n’étaient pas concernés jusqu’à maintenant. « La directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1, marque un changement de paradigme » , peut-on lire sur le site de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Les administrations publiques seront désormais concernées par la mise en place de nouvelles pratiques en faveur d’une meilleure cybersécurité.
La directive NIS2, qui vise à collectivement atteindre une immunité cyber nationale, distingue deux types d’acteurs qui vont être soumis à des obligations différentes : les entités essentielles et celles dites importantes (les essentielles auront davantage d'objectifs à remplir).
Périmètre d’application
Si au début de l’année rien n’était acté concernant la classification des collectivités dans les entités essentielles ou importantes l'avant-projet de loi évoque désormais le seuil de 30 000 habitants pour distinguer les entités « essentielles » des « importantes » (lire Maire info du 12 mars). Concernant la répartition, les entités « essentielles » comprendraient 556 communes et EPCI à fiscalité propre et les « importantes » concerneraient 992 communautés de communes.
Il est possible que lorsque le projet de loi sera étudié par les parlementaires, le seuil des 30 000 habitants évolue. En attendant le début des travaux législatifs, les associations d’élus formant la Belle Alliance (Association des maires de France et des présidents d’intercommunalité, Régions de France, Intercommunalités de France, Avicca, Départements de France, France Urbaine, Fédération nationale des collectivités concédantes et régies, Interconnectés) ont adressé un courrier à la secrétaire d’État chargée du Numérique, Marina Ferrari, dans le but de « travailler à une transposition la plus efficace et pérenne possible, donnant les moyens et le temps suffisants à chaque niveau de collectivité, pour respecter le futur référentiel de cybersécurité ».
« Progressivité »
Pour des enjeux d’accompagnement et de financement, les associations d’élus attendent une entrée en application des nouvelles obligations progressive : « La progressivité dans la mise en œuvre de la future loi sera la pierre angulaire de la réussite de cette transposition. Elle implique d’accompagner de manière réaliste chaque niveau de collectivité et leur groupement, étape par étape, à se hisser aux futures obligations techniques ».
Par ailleurs les associations d’élus sont dans l’attente depuis plusieurs mois d’une étude d’impact « pour qualifier les risques, les menaces, les coûts financiers, administratifs, démocratiques des attaques, ainsi que l’importance de « prévenir plutôt que guérir » » . Comme le soulignait Patrick Molinoz, coprésident de la Commission numérique de l’AMF, en février dernier, le but est de trouver un équilibre entre « deux injonctions contradictoires » : suivre l'ambition légitime d'une meilleure cybersécurité des communes mais prendre en compte les moyens financiers et humains disponibles pour le faire (lire Maire info du 16 février). La maturité numérique au sein des équipes est inégale d’une commune à l’autre et les recrutements sont particulièrement difficiles dans un contexte de crise de la filière. Tous ces paramètres seront à prendre en compte lorsqu’une première étude d’impact sera communiquée par l’Anssi.
Donner des moyens aux collectivités
Les associations d’élus demandent aussi dans ce courrier que soient consolidés les « relais et acteurs territoriaux, publics comme privés » et notamment les CSIRTs régionaux (Centres de réponses à incidents cyber).
« Alors que l’impulsion de l’État en matière de couverture en cybersécurité sur tout le territoire national n’aura jamais été aussi nécessaire » , leurs financements nationaux vont arriver à terme en 2024. Les associations d’élus demandent donc « une prolongation des financements et une évolution du rôle des CSIRTs » afin de saisir « l’opportunité à moindre coût d’accélérer la consolidation des écosystèmes cyber régionaux, le partage des bonnes pratiques, la formation et la labellisation d’experts cyber, en lien avec les Campus Cyber, alors que tous les acteurs anticipent une explosion de la demande d’accompagnement dès l’entrée en vigueur de la future loi de transposition ».
Les représentants des collectivités soulignent que la montée en compétence cyber du pays « doit respecter les capacités humaines, techniques et financières des collectivités territoriales » . La Belle Alliance indique au gouvernement vouloir lui présenter des propositions prochainement dans le cadre du « travail de préparation du projet de loi » et des « débats relatifs à la transposition, prévus dans les prochaines semaines, à l’Assemblée nationale ».
Consulter le courrier de la Belle Alliance.
Suivez Maire info sur Twitter : @Maireinfo2