Il est enfin arrivé au Sénat.  Le projet de loi de transposition de la directive européenne « NIS 2 »   qui a été présenté en Conseil des ministres début octobre (lire Maire info du 18 octobre), est en cours d’examen au Palais du Luxembourg depuis hier. 

Ce projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité »  est composé de trois titres, correspondant chacun à la transposition d’une directive européenne. Le premier titre est consacré à la directive sur « la résilience des entités critiques »   (REC) ; le deuxième, à la « cyber-résilience »   – il s’agit de la transposition de la fameuse directive NIS 2, déjà souvent évoquée dans nos colonnes ; le troisième titre enfin concerne la résilience du secteur financier.

Toutes les intercommunalités, métropoles et communes de 30 000 habitants et plus devraient être concernées par ces nouvelles règles de cybersécurité. Comme l’a rappelé hier en séance publique Patrick Chaize, sénateur de l’Ain et rapporteur chargé de l’examen de la transposition de la directive NIS 2, cette nouvelle réglementation « aura des impacts financiers importants pour les collectivités concernées ». L’introduction de garde-fous et de précisions dans ce texte sera déterminante pour que « les nouvelles obligations tiennent compte des moyens humains et financiers »  dont disposent les collectivités. 

Deux premiers amendements pour accompagner les collectivités 

C’est hier soir que les sénateurs ont commencé à se pencher sur l’examen des premiers articles du projet de loi et ce jusqu’à minuit et demi. Pour ce qui concerne NIS 2, les articles 5, 6 et 7 ont été discutés et 4 amendements ont été adoptés. 

Deux amendements adoptés sont particulièrement intéressants pour les collectivités, parce qu’ils visent à décliner plus précisément dans le texte ce que pourrait être un plan d’accompagnement local dans l’application de cette directive. 

L’amendement 42 à l’article 5 bis rappelle que « les exigences accrues en cybersécurité risquent de peser lourdement particulièrement pour les nouvelles entités concernées : le coût de mise en conformité est estimé à 2 milliards d’euros, dont 1,3 milliard pour les entreprises de taille moyenne et à 690 millions d’euros par an pour les collectivités (hors coût des recrutements rendus nécessaires). La réussite de la mise en œuvre des exigences renforcées de cybersécurité, dans un temps que l'on souhaite le plus court possible, est donc subordonnée à la capacité de l’État à accompagner ces nouvelles entités. »  Ainsi, cet amendement du groupe SER propose de compléter la stratégie nationale en matière de cybersécurité prévue par la commission spéciale pour renforcer les besoins d'accompagnement des collectivités nouvellement soumises à des exigences renforcées de cybersécurité et particulièrement l’accompagnement financier. Les modalités de soutien sont donc mentionnées dans le texte mais il reste à définir comment ce soutien va être apporté, de manière concrète.

L’amendement 34, toujours porté par le groupe SER, propose de compléter la stratégie nationale en matière de cybersécurité par un volet compétences et formations nécessaires sur l'ensemble du territoire. Les sénateurs rappellent en effet que « certaines des entités nouvellement soumises aux dispositions de la directive sont moins dotées en ressources humaines, techniques et financières. Et au-delà des coûts, certains territoires ne disposent tout simplement pas des ressources humaines ou de prestataires compétents en matière de cybersécurité pour accompagner les nouvelles entités essentielles ou importantes au sens de la directive NIS 2. » 

Communautés de communes et mise en œuvre progressive 

L’AMF est particulièrement mobilisée sur le sujet. Michel Sauvade, coprésident de la commission numérique de l’associations avait d’ailleurs été auditionné en février dernier par la Commission spéciale résilience cybersécurité du Sénat aux côtés d’autres représentants d’associations d’élus. Il plaidait alors pour que « le législateur [tienne] compte de la réalité des communes et EPCI afin que la mise en œuvre [de la directive NIS2] soit supportable et faisable »  (lire Maire info du 5 février).

Vendredi dernier, avant le début de cet examen au Sénat, le président de l’AMF, David Lisnard, a adressé un courrier au Premier ministre François Bayrou. 

Il faut rappeler que le projet de loi prévoit que les « entités essentielles »  et les « entités importantes »  devront, selon leur classification, répondre à certaines obligations. Les régions, les départements, les métropoles, les communautés urbaines et d’agglomérations et les communes d’une population supérieure à 30 000 habitants correspondent au spectre des « entités essentielles »  (elles auront davantage d’objectifs à remplir que les entités importantes). Pour les entités importantes, sont notamment concernés « les communautés de communes et leurs établissements publics administratifs dont les activités s’inscrivent dans un des secteurs d’activité hautement critiques ou critiques » . Ainsi, en l’état, la majorité des communes qui seront concernées par les nouvelles obligations ne le seront que par leur intercommunalité de rattachement.

David Lisnard, dans la lettre au Premier ministre, indique que l'AMF regrette l'absence d'étude d'impact sur les conséquences de la transposition, surtout dans le contexte actuel d'incertitude financière. « Les freins sont nombreux, qu’il s’agisse des contraintes budgétaires des communes et des EPCI, de la tension sur les métiers cyber, de l’absence d’ingénierie publique ou de l’absence de visibilité sur les mesures d’accompagnement de l’État » , pointe le président de l’association.

Sur ce projet de loi, l’AMF propose d’abord une redéfinition du périmètre d’application en excluant les communautés de communes des règles au titre d’entités importantes et en assujettissant les communautés d’agglomération dont aucune commune membre n’a 30 000 habitants et plus, aux règles des entités importants et non plus à celles des entités essentielles.

« L’AMF propose également une mise en œuvre progressive de la loi pour les communes et EPCI assujettis à NIS 2 en métropole et dans les outre-mer ». Cette dernière devrait se faire par étape, tenant compte des contraintes auxquelles les collectivités locales seront confrontées. 

Maire info reviendra sur l’examen de cette transposition qui devrait prendre fin ce jour au Sénat. 

Suivez Maire info sur Twitter : @Maireinfo2