PME, mairies, collectivités locales : avec l’entrée en vigueur d’une directive européenne pour renforcer la cybersécurité, des dizaines de milliers d’entités doivent se préparer à une petite révolution mais de nombreuses zones d’ombre demeurent.
« NIS 2 », nom de cette directive européenne, enfonce le clou du premier volet (NIS, pour « sécurité de l’information sur les réseaux » ou « sécurité des systèmes d’information »), entré en vigueur en 2018 pour harmoniser et renforcer les exigences en matière de sécurité des systèmes d’information. la cybersécurité est importante.
Mais au jour de sa mise en œuvre officielle, le 17 octobre, « NIS 2 » n’était pas encore transposé en France. Seul un projet de loi avait été présenté la veille en Conseil des ministres, sans préciser son calendrier d’adoption, après avoir été retardé par la dissolution de l’Assemblée nationale en juin.
Pour les entités concernées, le texte exige notamment « une gouvernance de la cybersécurité, une politique de sécurité des systèmes d’information », des obligations de « notification des incidents » ou encore des contrôles accompagnés de sanctions potentielles, résume Garance Mathias, avocate spécialisée en droit du numérique.
– Changement d’échelle –
La nouvelle directive apporte un changement d’échelle massif : elle s’étend à 18 secteurs d’activité, contre moins de dix auparavant, et concerne les plus petites structures, PME et collectivités locales en tête.
Or, les collectivités territoriales, les TPE-PME et les entreprises de taille moyenne représentaient 58 % des victimes de ransomwares en 2023, selon les chiffres de l’Agence nationale de la sécurité des systèmes d’information (Anssi).
C’est « une vraie transformation », commente auprès de l’AFP la députée Anne Le Hénaff (Horizons), rapporteur d’un texte sur les enjeux de la transposition de « NIS 2 ».
Là où quelques centaines d’organisations étaient concernées par le premier volet, la nouvelle directive pourrait concerner 15 000 entités. Mais le chiffre n’est pas encore définitif : le périmètre des secteurs concernés doit encore être précisé dans la loi française.
Un rapport parlementaire, présenté début octobre par la Commission supérieure du numérique et des postes (CSNP), recommande que les collectivités territoriales soient expressément désignées par l’Anssi.
Cette précision est d’autant plus importante que, selon le même rapport, « il est plus que probable que de nombreuses entreprises et autorités locales ne soient pas pleinement informées » de l’entrée en vigueur de « NIS 2 ».
– Une « transition progressive » s’impose –
Les inquiétudes portent également sur les délais dans lesquels les entités concernées devront se conformer aux exigences du texte, une question qualifiée de « point mort » de la directive par le rapport CSNP.
Toutefois, si la majorité des grandes entreprises et des collectivités apparaissent « déjà sensibilisées » à la cybersécurité, l’extension à des structures plus petites, privées comme publiques, s’annonce comme un « changement majeur », souligne l’instance.
Le Conseil d’Etat, qui a rendu son avis sur le projet de loi, observe qu’il « ne comporte pas de dispositions transitoires ni d’entrée en vigueur différée alors qu’il impose de nouvelles obligations à de nombreuses entités ».
« La transposition doit s’inscrire dans une logique de transition progressive », plaide Patrick Molinoz, maire et co-président de la commission numérique de l’Association des maires de France (AMF). Marc Bothorel, référent cybersécurité au sein de la Confédération des petites et moyennes entreprises (CPME), lui demande de disposer de « trois à cinq ans de mise en œuvre progressive ».
Les deux organisations, touchées au premier chef par l’élargissement des entités concernées, tirent également la sonnette d’alarme sur les ressources financières et humaines nécessaires à la mise en conformité.
« Il y a une réelle nécessité que le gouvernement réfléchisse à une manière de soutenir les entreprises », insiste Marc Bothorel.
publié le 28 octobre à 7h22, AFP
