Mieux vaut tard que jamais.  Le 17 octobre, c’est-à-dire hier, chaque pays de l’Union européenne devait avoir transposé la directive NIS 2 dans sa législation nationale. Retardée par les remous politiques actuels, cette transposition va enfin pouvoir débuter son parcours législatif. 

Ainsi, mardi, le ministre de l’Économie, des Finances et de l’Industrie, le ministre de l’Enseignement supérieur et de la Recherche, et la secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, ont présenté un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Trois transpositions en une 

Trois directives européennes adoptées le 14 décembre 2022 vont être transposées via un projet de loi « visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber ». Parmi ces directives, l’une concerne les « infrastructures critiques »  ; l’autre concerne le secteur économique et enfin l’une concerne les entreprises et les collectivités (NIS 2). 

L’exposé des motifs et le projet de loi ont déjà été publiés. Ainsi, le texte rappelle que « la directive NIS1 avait établi les bases d’une cybersécurité renforcée sur un ensemble de secteurs d’activité sur le territoire de l’Union européenne. Depuis 2016, la menace cyber a fortement évolué, devenant systémique. Alors que les cyber-attaquants se concentraient jusqu’à il y a quelques années sur les acteurs et opérateurs stratégiques, ils ciblent désormais l’ensemble du tissu social et économique. »  On observe d’ailleurs une recrudescence des attaques à l’encontre des collectivités : de la petite commune rurale à la grande métropole. 

L’entrée en vigueur de NIS 2 vient donc renforcer le niveau commun de cybersécurité. Concrètement, certaines mesures seront à mettre en place « pour certaines entités qualifiées comme essentielles ou importantes, en raison des services qu’elles fournissent et de leur taille. »  Ce nouveau règlement « élargit ainsi considérablement le périmètre des acteurs et secteurs régulés par la directive. En France, cela se traduit par une augmentation estimée du nombre d’entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18. » 

Quid des collectivités ? 

La présentation de ce texte intervient quelques jours après la présentation du rapport de la Commission supérieure du numérique et des postes (CSNP) (lire Maire info du 4 octobre). Les sénateurs et députés auteurs de ce rapport insistaient sur la nécessité d'adapter les règles pour les collectivités.

Le projet de loi apporte des précisions sur les définitions des entités essentielles et importantes, qui devront selon leur classification répondre à certaines obligations. Le texte confirme que, notamment, les régions, les départements et les communes d’une population supérieure à 30 000 habitants correspondent au spectre des « entités essentielles »  (elles auront davantage d’objectifs à remplir que les entités importantes). Pour les entités importantes, sont notamment concernés « les communautés de communes et leurs établissements publics administratifs » .  Enfin il a été confirmé dans ce projet de loi que l’Anssi, ne souhaite pas voir les collectivités être soumises à des sanctions en cas de non-conformité. 

Mais rien n’est fixé. Il est possible que lorsque le projet de loi sera étudié prochainement par les parlementaires, le seuil des 30 000 habitants évolue par exemple. 

Besoin d’accompagnement 

Du côté des associations d’élus on espère qu’il sera donné aux collectivités concernées les moyens et le temps suffisants pour respecter le futur référentiel de cybersécurité. Le rapport de la CSNP insiste sur « la nécessité d’un accompagnement spécifique des collectivités locales » . La commission recommande d’abord de « faire auditer par l’Anssi le degré de maturité des collectivités qui seront soumises à la directive ». Elle plaide pour qu’un accompagnement « spécifique, technique et financier »  soit prévu pour les collectivités n’ayant pas les moyens nécessaires : « La mobilisation de financements de la stratégie nationale d’accélération cyber vers des outils intégrés conformes aux exigences posées par l’Anssi doit être étudiée ». 

A l’occasion d’une question écrite publiée hier, la sénatrice du Finistère Nadège Havet demande au gouvernement « de prendre le temps d'envisager un accompagnement spécifique, technique et financier des collectivités territoriales les moins avancées sur la question de lutte contre les cyberattaques et de prévoir un délai de mise en conformité soutenable. »  Le délai de mise en conformité est pour le moment fixé à trois ans, ce qui paraît court pour certaines collectivités qui partent de loin sur ces problématiques de cybersécurité... 

Reste à savoir quand ce projet de loi va être examiné par le Parlement et comment les principales mesures concernant les collectivités vont évoluer durant la navette parlementaire. 

Suivez Maire info sur Twitter : @Maireinfo2