L’examen de ce long texte visant à transposer trois directives européennes différentes a débuté mardi soir. Les sénateurs avaient alors commencé à se pencher sur l’examen des premiers articles du projet de loi, et notamment du titre II de ce dernier qui concerne la directive NIS 2 (lire Maire info d’hier). 

Pour rappel, cette directive vise à collectivement atteindre une immunité cyber nationale et distingue deux types d’acteurs qui vont être soumis à des obligations différentes : les entités essentielles et celles dites importantes (les essentielles auront davantage d’objectif à remplir). 

Il y a un an, plusieurs associations d'élus dont l’AMF appelaient à une « transposition intelligente » , invitant les parlementaires à tenir compte « des compétences et services publics effectivement exercés par les collectivités »  et de leurs moyens humains et financiers. 

La semaine dernière, le président de l’AMF, David Lisnard, avait adressé un courrier au Premier ministre François Bayrou, formulant deux propositions concrètes : ajuster le périmètre d’application des règles de NIS 2 et prévoir une mise en œuvre progressive de la loi pour les collectivités. 

Deux amendements introduits mardi dans la nuit proposent de renforcer les besoins d'accompagnement des collectivités nouvellement soumises à des exigences renforcées de cybersécurité et particulièrement l’accompagnement financier. Hier, les sénateurs ont à nouveau adopté des amendements qui concernent les collectivités, dont plusieurs satisfont les attentes de l’AMF. 

Redéfinition du périmètre d’application 

Sur ce projet de loi, l’AMF proposait une redéfinition du périmètre d’application en excluant les communautés de communes des règles au titre d’entités importantes et en assujettissant les communautés d’agglomération dont aucune commune membre n’a 30 000 habitants et plus, aux règles des entités importantes et non plus à celles des entités essentielles.

Plusieurs amendements allant dans ce sens ont été adoptés par les sénateurs. 

D’abord, trois amendements ont proposé d’exclure du périmètre des entités essentielles les communautés d’agglomération dont aucune commune membre n’a ce statut (c’est-à-dire dont aucune commune membre n’a 30 000 habitants et plus). Dans la notice d’un ces amendements, on peut lire que « si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée. (…) Ces inquiétudes sont notamment pointées pour des communautés de communes et les communautés d’agglomération. Cela concernerait 120 communautés d’agglomération qui seraient alors intégrées dans le périmètre des entités importantes. En revanche, 110 communautés d’agglomération, qui comptent au moins une commune de plus de 30 000 habitants, resteraient soumises aux règles applicables aux entités essentielles. Cette mesure de concordance vise à éviter des distorsions pour l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être très coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des entités essentielles. » 

Pour compléter, un amendement du sénateur Patrick Chaize a été adopté afin d’inclure les communautés d'agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants dans la catégorie des entités importantes

Néanmoins, les communautés de communes et leurs établissements publics administratifs dont les activités s’inscrivent dans un des secteurs d’activité « hautement critiques ou critiques »  restent considérées comme étant des entités importantes. Un amendement proposé par l’AMF et porté par les membres du groupe communiste, qui visait à retirer les communautés de communes du périmètre des entités importantes, considérant que leurs moyens financiers et en ingénierie sont insuffisants pour appliquer les exigences du texte et du projet de référentiel dans le contexte actuel a finalement été retiré.

Contrôles effectués par l’Anssi : information et coûts financiers  

Le projet de loi a également été modifié en séance publique afin de fixer un cadre plus strict concernant notamment l’application de ces nouvelles règles et leurs contrôles. Il faut rappeler que les 15 000 entités concernées (essentielles et importantes) devront s’enregistrer auprès de l’Anssi et indiquer elles-mêmes leur catégorie d’entité ; autant donc être bien informé.

Le projet de loi adopté hier prévoit qu’une consultation des entités concernées et des associations d'élus ait lieu avant l'adoption du référentiel applicable aux entités régulées. C’est en effet un décret qui déterminera les conditions d'élaboration, de modification et de publication du référentiel d'exigences techniques et organisationnelles de NIS 2. 

Les entités essentielles et les entités importantes auront l’obligation de notifier « sans retard injustifié à l’Anssi tout incident ayant un impact important sur la fourniture de leurs services. »  Un amendement proposé par le gouvernement et adopté précise les types d’incidents importants que les entités devront notifier : ceux « ayant un impact direct sur les destinataires de leurs services, notamment lorsqu’ils ont causé ou sont susceptibles de causer l’extraction de données sensibles de ces derniers, ou de causer la mort ou des dommages considérables à la santé d’une personne physique destinataire, ou qu’ils consistent en un accès non autorisé effectif au réseau et aux systèmes d’information de l’entité, susceptible d’être malveillant et de causer une perturbation opérationnelle grave pour le destinataire ».

Enfin, l’article 29 du projet de loi prévoit que des audits de sécurité réguliers de l’Anssi pourront avoir lieu et que le coût de ces mesures de contrôle sera à la charge de l’entité contrôlée. Un amendement du gouvernement adopté en séance prévoit explicitement que le coût du contrôle ne soit imputé à l'organisation que pour des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant. « Il n’était pas concevable que des entités auxquelles la loi impose désormais le respect d’un certain nombre de normes en matière de cybersécurité doivent au surplus supporter le coût des contrôles qui leur seront imposés pour s’assurer du respect des normes en question » , a estimé Patrick Chaize dans l’hémicycle hier. 

Reste que la question de la mise en œuvre de la loi en termes de délais n’a pas été précisée dans le texte adopté au Palais du Luxembourg et sera sûrement fixé par un décret en Conseil d’État mentionné à l’article 14 du projet de loi. L’AMF demande, de son côté, à ce que cette mise en œuvre se fasse de manière progressive pour les communes et EPCI en métropole et dans les outre-mer, tenant compte des contraintes auxquelles les collectivités locales seront confrontées.

Suivez Maire info sur Twitter : @Maireinfo2