La directive du 14 décembre 2022 dite « NIS 2 »  devait être transposée en France avant le 17 octobre 2024. La première réglementation européenne en matière de cybersécurité a été publiée en 2016 et concernait 300 entités « Opérateurs de services essentiels ». Les communes et les EPCI n’étaient pas concernés jusqu’à maintenant. « La directive NIS 2, qui s’appuie sur les acquis de la directive NIS 1, marque un changement de paradigme », peut-on lire sur le site de l'Anssi. Les administrations publiques seront désormais concernées par la mise en place de nouvelles pratiques en faveur d’une meilleure cybersécurité. Ainsi, certaines mesures seront applicables aux collectivités.

Hier, au Sénat, les membres de la Commission supérieure du numérique et des postes (CSNP) ont présenté un rapport après avoir auditionné une quarantaine d’acteurs concernés dont les associations d’élus. Ils attirent l’attention sur les défis face auxquels les entités, notamment les collectivités, vont se retrouver une fois régies par les dispositions de NIS 2 et formulent des recommandations pour l’étude du projet de loi. 

« Aucune visibilité » 

A ce jour, seuls 3 pays sur les 27 (la Belgique, la Croatie et la Hongrie) ont publié leur loi de transposition. Rappelons que pour les directives, chaque État membre doit adopter des lois pour adapter dans chaque pays les principes généraux contenus dans le texte européen. 

Avec la dissolution de l’Assemblée nationale, le processus a été « perturbé », introduit Damien Michallet, sénateur de l’Isère et président de la CSNP. « Nous n’avons aujourd’hui aucune visibilité sur le texte dont le parcours législatif s’est stoppé net, explique Anne le Henanff, députée du Morbihan et rapporteure. Le travail réalisé par l’Anssi est quelque part à Matignon… ». 

Ce silence est inquiétant. « Nous ne sommes pas à l’abri d’une transposition in extenso du texte européen », alerte la rapporteure. Le gouvernement a en effet la possibilité de légiférer par ordonnance sur la question. 

Cette voie serait dommageable pour les collectivités. « Il est nécessaire de provoquer des débats au sein des deux chambres notamment pour échelonner dans le temps le délai de mise en œuvre et adapter chaque disposition à la structure que cela soit une collectivité ou une entreprise » , insiste la députée du Morbihan. 

« Ce rapport vise à faire gagner du temps à la nouvelle ministre, lance Anne le Henanff. Il est au plus près de la réalité et des attentes des acteurs. Quand on n’est pas un élu local, on ne peut pas tout mesurer et ce rapport existe pour contrôler ou réorienter si nécessaire les travaux législatifs sur la directive NIS 2 qui aura forcément des effets de bord sur la société toute entière ». 

Quatre recommandations pour les collectivités 

Dans son projet d’étude d’impact, l’Anssi estime que 1 489 collectivités territoriales, groupements de collectivités et certains organismes sous leur tutelle devraient être concernés au titre des entités essentielles. 992 communautés de communes métropolitaines et d’outre-mer seront, quant à elles, concernées au titre des entités importantes. 

Les collectivités sont donc concernées au premier chef par cette directive « même si elles n’en n’ont pas toujours conscience », précise le président. La rapporteure ajoute que les « collectivités savent s’adapter mais qu’elles ont besoin de savoir comment faire et avec qui. Si c’est descendant de Paris, ça va crisper dans les territoires. Par ailleurs, il faut avoir conscience que certaines collectivités n’ont jamais entendu parler de cybersécurité. Certains échelons sont plus avancés que d’autres mais dans les mairies c’est plus compliqué. » 

Une partie du rapport insiste sur « la nécessité d’un accompagnement spécifique des collectivités locales ». La commission recommande d’abord de « faire auditer par l’Anssi le degré de maturité des collectivités qui seront soumises à la directive » . Elle plaide pour qu’un accompagnement « spécifique, technique et financier »  soit prévu pour les collectivités n’ayant pas les moyens nécessaires : « La mobilisation de financements de la stratégie nationale d’accélération cyber vers des outils intégrés conformes aux exigences posées par l’Anssi doit être étudiée ». 

Les membres de la CSNP s’alignent également sur les demandes des associations d’élus concernant la réalisation d’une étude d’impact plus précise pour qualifier les risques, les menaces et les coûts financiers, administratifs, démocratique des cyberattaques pesant sur les collectivités. 

La question des ressources humaines étant « cruciale »  pour les collectivités, la commission propose d’inciter les collectivités à faire le choix d’une solution dite SaaS afin de maintenir le meilleur niveau de cybersécurité possible. La solution Software as a service (SaaS) se distingue de ce que la plupart des collectivités font actuellement, c’est-à-dire avoir un logiciel hébergé et maintenu par le propre service informatique de la collectivité. Déléguer à un fournisseur de service serait, selon la commission, une meilleure solution. Encore faut-il en avoir les moyens financiers... 

Enfin, la rapporteure insiste sur l’importance de renforcer le rôle des préfets de département dans l’accompagnement à se conformer à ces futures nouvelles obligations. « Tous les préfets n’ont pas cette sensibilité mais il va falloir désigner des personnes en capacité de vérifier cette mise en conformité pour la sécurité intérieure » , ajoute la députée. 

Calendrier d’application et sanctions

« La directive NIS 2 ne traite pas des délais, c’est un angle mort de ce texte, cependant il est nécessaire que le législateur en tienne compte lors des débats » , peut-on lire dans le rapport. La CSNP propose un délai de mise en conformité similaire à celui du RGDP, c’est-à-dire de trois ans. Présents hier lors de la présentation du rapport, Jean-Luc Sallaberry, chef du département numérique à la FNCCR et Marlène Le Dieu de Ville, vice-présidente en charge du numérique d’Intercommunalités de France, avertissent que le délai de trois ans serait trop court pour les collectivités. « Certains partent de zéro » , rappelle Marlène Le Dieu de Ville et « une progressivité sur cinq années serait plus adaptée », recommande la FNCCR. 

Étant donné que pour le moment la transposition a pris du retard, la CSNP propose d’accorder « une certaine souplesse dans l’appréciation sur infractions aux obligations et les sanctions relatives jusqu’au 31 décembre 2027 ». 

En ce qui concerne les collectivités, le rapport abonde dans le sens de l’Anssi « qui ne souhaite pas voir les collectivités être soumises à des sanctions en cas de non-conformité ». Pour inciter les collectivités à mettre ne place ces bonnes pratiques, Anne le Henanff est favorable à ce qu’il puisse y avoir un moyen de valoriser « les bons élèves »  en matière de cybersécurité en passant notamment par une certification délivrée par l’Anssi qui indiquerait que la collectivité est en train de se conformer à cette directive ou qu’elle est conforme aux obligations. 

On ne sait pas encore si c'est Clara Chappaz, secrétaire d'État à l'Intelligence artificielle et au Numérique, qui sera chargée du dossier. Les décrets d'attribution n'ont, à ce jour, pas encore été publiés. 

Suivez Maire info sur Twitter : @Maireinfo2