La première ébauche du texte de transposition de NIS2 a été présentée par l’ANSSI. Baptisé “Résilience”, le projet de loi a pour objectif de construire un cadre global en transposant également deux autres directives européennes : la directive sur la résilience des entités critiques (REC) et la directive sur la résilience opérationnelle numérique (DORA). Focus sur les dispositions du texte relatives à NIS2.
Trois directives transposées en un seul texte de loi. C’est l’ambition du projet de loi présenté le 15 mars 2024 par l’ANSSI, qui vise à mettre en place une politique globale et cohérente relative à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier.
Passer à l’échelle pour résister à la menace cyber
En réponse à l’évolution rapide et à l’intensification de la menace cyber, la directive européenne NIS2, qui succède à NIS1, vise à élever considérablement les standards de cybersécurité à travers l’Union européenne. Elle couvre ainsi un champ plus étendu d’entités et de secteurs. En France, le nombre d’acteurs régulés est multiplié par 30 – de 500 à environ 15 000 – et les secteurs concernés passent de 6 à 18. La directive inclut des secteurs liés aux infrastructures électriques et numériques, à la santé et aux transports, mais elle intègre également des secteurs jusqu’alors hors périmètre comme l’éducation, l’agro-alimentaire, l’administration publique et les fournisseurs de services numériques. En parallèle, le texte élargit le périmètre des systèmes d’information à sécuriser, en s’appliquant à l’ensemble des SI des entités visées, et non seulement à leur SI essentiels.
Simplification, harmonisation et proportionnalité
L’ANSSI saisit l’opportunité de ce projet de loi pour mener un travail de simplification des règles de sécurité des SI, en limitant l’empilement des exigences réglementaires. L’Agence avance également en concertation avec les autorités des autres États membres de façon à assurer un traitement équivalent dans toute l’Union européenne. Enfin, elle veille à maintenir le caractère proportionné des futures règles, en termes d’exigences imposées et de sanctions.
Essentielles et importantes : deux niveaux d’entités régulées
Le principe de proportionnalité passe par la création de deux catégories d’entités, classées selon leur degré de criticité, leur taille et – pour les entreprises – leur chiffre d’affaires. Le texte distingue les “entités essentielles” des “entités importantes”. Les premières, déjà familières avec les contraintes de sécurité en raison de leur criticité, se voient imposer des normes plus strictes tandis que les secondes sont soumises à des exigences de base, qui visent à améliorer leur hygiène numérique sans engendrer des coûts disproportionnés.
Quatre objectifs de sécurité
Adapté aux risques, aux enjeux et aux spécificités de chaque secteur, le référentiel d’exigences en cours de construction s’appuie sur des objectifs de sécurité organisés autour de quatre axes :
- Se doter d’une gouvernance ad hoc qui garantit que le risque cyber est pris en compte au plus haut niveau de l’entité
- Mettre en place des mesures de protection des SI
- Se doter de capacités de défense pour accélérer la réaction aux incidents et limiter leur impact
- Se doter de capacités de résilience afin de faciliter la continuité et la reprise de l’activité
Des sanctions très dissuasives
Un régime de sanctions est également prévu, aligné sur des standards élevés similaires à ceux du RGPD, avec des amendes pouvant atteindre jusqu’à 2 % du chiffre d’affaires mondial pour les entités essentielles et 1,4 % pour les entités importantes. Ce dispositif vise à dissuader les manquements et à encourager les investissements en cybersécurité, matérialisant ainsi le coût réel, toujours plus élevé, des attaques cyber. Toutefois, les administrations et collectivités publiques seront exemptées de sanctions.
Une mise en œuvre co-construite et progressive
De nombreuses consultations préalables ont été conduites pour définir les exigences, avec les fédérations professionnelles, les collectivités locales et les ministères. Elles se poursuivront tout au long des travaux de transposition, sous le contrôle des représentants du corps législatif.
Le calendrier d’entrée en vigueur des nouvelles obligations sera cadencé pour laisser aux acteurs visés le temps de se mettre en conformité.
Enfin, l’ANSSI mettra à disposition des entités régulées une offre de services pour les aider à atteindre le niveau de protection requis dans une démarche progressive.
Le cas particulier des collectivités territoriales
Prenant en compte la vulnérabilité des collectivités territoriales, – qui représentent en 17% de l’ensemble des incidents cyber traités par l’’ANSSI, le projet de loi les inclut dans le champ d’application de NIS2. L’objectif est de mettre en place une approche proportionnée, adaptée à la maturité et aux moyens des collectivités.
Au total, 661 collectivités territoriales ou groupements devraient être concernées en tant qu’entités essentielles : 22 régions, 97 départements, 263 métropoles et 279 communes de plus de 30 000 habitants. Les 992 communautés de communes seront quant à elles concernées en tant qu’entités importantes.
Leur besoin de soutien et d’accompagnement a été entendu : les parcours de cybersécurité, mis en place dans le cadre de France Relance, seront accélérés. Un budget de transition sera aussi envisagé, pour financer le coût moyen estimatif de 400 000 € nécessaire pour la mise en conformité cyber d’une collectivité.
Cette première version du projet est désormais entre les mains des ministères pour arbitrages, et sera transmise au Parlement pour un examen parlementaire approfondi, d’autant plus indispensable que les conséquences du texte seront fortes pour les acteurs économiques et les collectivités. Le vote du projet de loi et son entrée en vigueur sont attendus à l’automne 2024, avant la date butoir du 17 octobre.