Trois membres du gouvernement ont présenté, au Conseil des ministres du 15 octobre 2024, un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. « En constante évolution et de plus en plus présente dans le quotidien, la menace cyber peut avoir des conséquences particulièrement préjudiciables pour nos concitoyens, les services publics et, plus largement, la continuité de la vie économique et sociale. Son coût, croissant, se chiffre en milliards d’euros pour nos entreprises et nos administrations publiques », ont expliqué Antoine Armand, ministre de l’Économie, des Finances et de l’Industrie, Patrick Hetzel, ministre de l’Enseignement supérieur et de la Recherche, et sa secrétaire d’État chargée de l’Intelligence artificielle et du Numérique, Clara Chappaz.
Avec ce projet de loi, la France va transposer trois directives européennes du 14 décembre 2022 visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber. Sont concernées :
- la directive (UE) 2022/2557 sur la résilience des entités critiques (dite directive « REC »), qui vise à améliorer la fourniture, dans le marché intérieur européen, de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales. Elle renforce la résilience des infrastructures considérées comme critiques par les États membres, dans une série de secteurs d’activité (notamment l’énergie, les transports, le secteur bancaire, la santé, l’eau, les denrées alimentaires, les infrastructures numériques, l’administration publique et l’espace) ;
- la directive (UE) 2022/2555 (dite directive « NIS2 »), qui vise à assurer un niveau commun de cybersécurité dans l’ensemble de l’Union européenne pour certaines entités qualifiées comme essentielles ou importantes, en raison des services qu’elles fournissent et de leur taille ;
- la directive (UE) 2022/2556, accompagnant le règlement DORA (Digital Operational Resilience Act), qui vise à améliorer les exigences liées à l’encadrement des risques induits par l’emploi des technologies de l’information et de la communication (TIC) dans le secteur financier.
La directive « NIS2 », qui prolonge la directive « NIS1 » en l’étendant à de nouvelles entités, dont les grandes collectivités territoriales, définit un nouveau cadre juridique. Celui-ci comporte des exigences renforcées en matière de mesures de gestion des risques et de partage d’informations, élargit considérablement le périmètre des secteurs d’activités régulés et des entités concernées, dont le nombre pour la France passera ainsi d’environ 600 à 15 000, désormais classées en « entités essentielles » et « entités importantes ». Il élargit également le champ des systèmes d’information de ces entités soumis à ces exigences. Il prévoit de soumettre ces entités à des obligations tendant à assurer la sécurité des réseaux et systèmes d’information, par la mise en place de mesures de gestion des risques, à caractère technique, opérationnel et organisationnel, ainsi que par la notification des incidents et des vulnérabilités qui ont été détectées.
Cette nouvelle directive européenne concerne donc directement les collectivités territoriales. En effet, le projet de loi « mobilise dans un sens extensif les possibilités d’options offertes par la directive », dixit le Conseil d’État, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements, ainsi que les communes et groupements de communes de plus de 30 000 habitants. « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du gouvernement d’assurer en France un haut niveau de cybersécurité », observe le Conseil d’État.
À noter L’article 41 de la directive « NIS2 » prévoit que les dispositions nécessaires à sa transposition devaient être publiées… au plus tard le 17 octobre 2024 en vue d’une application à compter du lendemain. |