«NIS 2» : une directive européenne pour renforcer la cybersécurité mais avec des zones d’ombre

74
NIS2 EU Cybersecurity Directive EU-wide legislation

PME, mairies, collectivités locales: avec l’entrée en vigueur d’une directive européenne pour renforcer la cybersécurité, des dizaines de milliers d’entités doivent se préparer à une petite révolution mais de nombreuses zones d’ombre demeurent. «NIS 2», le nom de cette directive européenne, enfonce le clou du 1er volet (NIS, pour «network information security» ou «sécurité des systèmes d’information»), entré en vigueur en 2018 pour harmoniser et renforcer les exigences en matière de cybersécurité. Mais le jour de sa mise en application officielle, le 17 octobre, «NIS 2» n’était pas encore transposée en France. Tout juste un projet de loi avait-il été présenté la veille en conseil des ministres, sans précision sur son calendrier d’adoption, après avoir été retardé par la dissolution de l’Assemblée nationale en juin. Pour les entités concernées, le texte exige notamment «une gouvernance en cybersécurité, une politique de sécurité des systèmes d’information», des obligations de «notifications des incidents» ou encore des contrôles assortis de potentielles sanctions, résume Garance Mathias, avocate spécialisée en droit du numérique. La nouvelle directive opère un changement d’échelle massif: elle s’étend à 18 secteurs d’activité, contre moins d’une dizaine auparavant, et concerne des structures de plus petite taille, PME et collectivités locales en tête. Or les collectivités locales, les TPE-PME et les entreprises de taille intermédiaire comptaient pour 58% des victimes de rançongiciels en 2023, selon les chiffres de l’Agence nationale de la sécurité des systèmes d’information (Anssi). C’est «une vraie transformation», commente la députée Anne Le Hénanff (Horizons), rapporteure d’un texte sur les enjeux de la transposition de «NIS 2». Là où quelques centaines d’organisations étaient concernées par le 1er volet, la nouvelle directive pourrait toucher 15.000 entités. Mais le chiffre n’est pour l’heure pas définitif: le périmètre des secteurs concernés doit encore être précisé dans la loi française. Un rapport parlementaire, présenté début octobre par la Commission supérieure du numérique et des postes (CSNP), recommande ainsi que les collectivités locales soient expressément désignées par l’Anssi. Une mise au clair d’autant plus importante que, selon le même rapport, «il est plus que vraisemblable que de très nombreuses entreprises et collectivités locales ne soient pas pleinement informées» de l’entrée en vigueur de «NIS 2». Des inquiétudes planent aussi sur les délais dans lesquels les entités visées devront se mettre en conformité avec les exigences du texte, une question qualifiée d’«angle mort» de la directive par le rapport de la CSNP. Or, si la majorité des grandes entreprises et collectivités apparaissent «déjà sensibilisées» à la cybersécurité, l’extension à de plus petites structures, privées comme publiques, s’annonce comme un «changement majeur», souligne l’instance. Le Conseil d’Etat, qui a rendu un avis sur le projet de loi, observe quant à lui qu’il ne «comporte pas de dispositions transitoires ou d’entrée en vigueur différée alors qu’il impose à de nombreuses entités de nouvelles obligations». Marc Bothorel, référent cybersécurité au sein de la Confédération des petites et moyennes entreprises (CPME), demande à disposer de «3 à 5 ans de mise en oeuvre progressive». Les deux organisations, touchées au 1er chef par l’extension des entités concernées, sonnent aussi l’alarme sur les moyens financiers et humains nécessaires à la mise en conformité. «Il y a vraiment besoin que le gouvernement réfléchisse à une façon d’accompagner les entreprises», insiste Marc Bothorel.