Transposition de NIS2 : que contient le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité ?

Le projet de loi du texte de transposition de NIS2 a été déposé sur le bureau du Sénat en vue de sa première lecture. Baptisé “Résilience”, le projet de loi a pour objectif de construire un cadre global en transposant également deux autres directives européennes : la directive sur la résilience des entités critiques (REC) et la directive sur la résilience opérationnelle numérique (DORA). Focus sur les dispositions du texte relatives à NIS 2.

Trois directives transposées en un seul texte de loi. C’est l’ambition du projet de loi présenté le 15 octobre 2024, qui vise à mettre en place une politique globale et cohérente relative à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier. 

Simplification, harmonisation et proportionnalité

L’ANSSI saisit l’opportunité de ce projet de loi pour mener un travail de simplification des règles de sécurité des SI, en limitant l’empilement des exigences réglementaires.  Elle veille à maintenir le caractère proportionné des futures règles, en termes d’exigences imposées et de sanctions.

L’extension du périmètre des entités pour résister à la menace cyber

En réponse à l’évolution rapide et à l’intensification de la menace cyber, la directive européenne NIS 2, qui succède à NIS 1, vise à élever considérablement les standards de cybersécurité à travers l’Union européenne. Elle couvre ainsi un champ plus étendu d’entités et de secteurs. En France, 10 000 entités publiques et privées sont visées et a minima 18 secteurs sont concernés. La directive inclut des secteurs liés aux infrastructures électriques et numériques, à la santé et aux transports, mais elle intègre également des secteurs jusqu’alors hors périmètre comme l’éducation, l’agro-alimentaire, l’administration publique et les fournisseurs de services numériques. En parallèle, le texte élargit le périmètre des systèmes d’information à sécuriser, en s’appliquant à l’ensemble des SI des entités visées, et non seulement à leur SI essentiels.

Essentielles et importantes : deux niveaux d’entités régulées

Le principe de proportionnalité passe par la création de deux catégories d’entités, classées selon leur degré de criticité, leur taille et – pour les entreprises – leur chiffre d’affaires. Le texte distingue les “entités essentielles” des “entités importantes”. Les premières, déjà familières avec les contraintes de sécurité en raison de leur criticité, se voient imposer des normes plus strictes tandis que les secondes sont soumises à des exigences de base, qui visent à améliorer leur hygiène numérique sans engendrer des coûts disproportionnés. L’ANSSI a mis en place un portail afin de permettre aux entités de savoir si elles sont régulées et, le cas échéant, à quelle catégorie elles appartiennent. Le portail permet d’accompagner les entités concernées dans la mise en œuvre de leurs 3 obligations majeures : fournir des informations à l’ANSSI, mettre en place des mesures de gestion des risques adaptées et signaler tout incident de cybersécurité. 

Quatre objectifs de sécurité

Les entités concernées doivent mettre place des mesures afin de garantir un niveau de sécurité adapté et proportionné au risque existant.  Le référentiel d’exigences en cours de construction s’appuie sur des objectifs de sécurité organisés autour de quatre axes :

• Se doter d’une gouvernance ad hoc qui garantit que le risque cyber est pris en compte au plus haut niveau de l’entité
• Mettre en place des mesures de protection des SI
• Se doter de capacités de défense pour accélérer la réaction aux incidents et limiter leur impact
• Se doter de capacités de résilience afin de faciliter la continuité et la reprise de l’activité

Des sanctions très dissuasives

Un régime de sanctions est également prévu, aligné sur des standards élevés similaires à ceux du RGPD, avec des amendes pouvant atteindre jusqu’à 2 % du chiffre d’affaires mondial pour les entités essentielles et 1,4 % pour les entités importantes. Ce dispositif vise à dissuader les manquements et à encourager les investissements en cybersécurité, matérialisant ainsi le coût réel, toujours plus élevé, des attaques cyber. Toutefois, les administrations et collectivités publiques seront exemptées de sanctions.

Une mise en œuvre co-construite et progressive

De nombreuses consultations préalables ont été conduites pour définir les exigences, avec les fédérations professionnelles, les collectivités locales et les ministères.  Le calendrier d’entrée en vigueur des nouvelles obligations sera cadencé pour laisser aux acteurs visés le temps de se mettre en conformité. Enfin, l’ANSSI mettra à disposition des entités régulées une offre de services pour les aider à atteindre le niveau de protection requis dans une démarche progressive.

Le cas particulier des collectivités territoriales

Prenant en compte la vulnérabilité des collectivités territoriales, – qui représentent  17% de l’ensemble des incidents cyber traités par l’’ANSSI, le projet de loi les inclut dans le champ d’application de NIS2. L’objectif est de mettre en place une approche proportionnée, adaptée à la maturité et aux moyens des collectivités. 
Au total, 661 collectivités territoriales ou groupements devraient être concernées en tant qu’entités essentielles : 22 régions, 97 départements, 263 métropoles et 279 communes de plus de 30 000 habitants. Les 992 communautés de communes seront quant à elles concernées en tant qu’entités importantes. 
Leur besoin de soutien et d’accompagnement a été entendu : les parcours de cybersécurité, mis en place dans le cadre de France Relance, seront accélérés. Un budget de transition sera aussi envisagé, pour financer le coût moyen estimatif de 400 000 € nécessaire pour la mise en conformité cyber d’une collectivité.

Article mis à jour le 17 décembre 2024