« Une collectivité sur 10 déclare avoir déjà été victime d’une ou plusieurs attaques au cours des 12 derniers mois, notamment d’hameçonnage à 46 % », selon Cybermalveillance.gouv.fr. C’est dans ce contexte que la directive du 14 décembre 2022 dite « NIS 2 »   doit être transposée en France avant le 17 octobre 2024. 

Pour mémoire, la première réglementation européenne en matière de cybersécurité a été publiée en 2016 et concernait 300 entités « Opérateurs de services essentiels ». Les communes et les EPCI n’étaient pas concernés jusqu’à maintenant. « La directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1, marque un changement de paradigme », peut-on lire sur le site de l'Anssi. En effet, les administrations publiques seront désormais concernées par la mise en place de nouvelles pratiques en faveur d’une meilleure cybersécurité. Ainsi, certaines mesures seront applicables aux collectivités. 

Sur son site, l’Anssi indique qu’elle « communiquera sur la directive NIS 2 tout au long de sa transposition à l’échelle nationale, partageant à l’ensemble des parties prenantes le fruit de ses travaux. »  Pour les entreprises et collectivités qui vont être concernées par ces nouvelles règles, un site internet vient d’ouvrir. 

Mon Espace NIS 2

La plateforme MonEspaceNIS2 développée par l’Anssi propose des informations sur la directive NIS2. On retrouve notamment sur le site internet un test pour savoir si votre entité est concernée ou non par cette directive. Le test est pour le moment focalisé sur les entreprises privées ou publiques et « sera par la suite disponible pour les administrations publiques ». En effet, rappelons que, pour le moment, les informations sur le cadrage de la directive et son périmètre d’application ne sont pas encore fixées. 

Obligations à respecter, démarches à entreprendre, accompagnements proposés par l’Anssi : plusieurs informations très utiles pour les élus sont à découvrir sur le site. Par ailleurs, il est possible de s’inscrire à une newsletter qui propose un suivi détaillé des évolutions du contexte réglementaire et ce que devra faire votre entité pour se protéger des cyber-menaces.

Toujours dans l’attente d’une loi 

Selon Franceinfo, à ce jour, seuls 3 pays sur les 27 (la Belgique, la Croatie et la Hongrie) ont publié leur loi de transposition. En effet, rappelons que pour les directives, chaque État membre doit adopter des lois pour adapter dans chaque pays les principes généraux contenus dans le texte européen. Avec la dissolution de l’Assemblée nationale, le processus a été considérablement ralenti. 

Certains points particulièrement importants restent à éclaircir – notamment les critères pour distinguer les entités essentielles et celles dites importantes (les essentielles auront davantage d’objectif à remplir). 

Le projet de loi soumis au Conseil national d’évaluation des normes au mois de mai 2024 prévoyait une classification pour les communes et les EPCI pour distinguer les entités « essentielles »  des « importantes ». Pour cette répartition, les entités « essentielles »  comprenaient toutes les métropoles, toutes les communautés urbaines, toutes les communautés d’agglomération et toutes les communes de plus de 30 000 habitants et les « importantes »  concernaient toutes les communautés de communes. 

Il est possible que lorsque le projet de loi sera étudié par les parlementaires, le seuil des 30 000 habitants évolue. Les associations d’élus formant la Belle Alliance (Association des maires de France et des présidents d’intercommunalité, Régions de France, Intercommunalités de France, Avicca, Départements de France, France Urbaine, Fédération nationale des collectivités concédantes et régies, Interconnectés) ont adressé un courrier à la secrétaire d’État chargée du Numérique, Marina Ferrari, en avril dernier, dans le but de « travailler à une transposition la plus efficace et pérenne possible, donnant les moyens et le temps suffisants à chaque niveau de collectivité, pour respecter le futur référentiel de cybersécurité ».

Il est certain que le retard accumulé va devoir être rattrapé rapidement puisque le 17 octobre prochain, les règles du jeu devront être définitivement fixées. 

Suivez Maire info sur Twitter : @Maireinfo2