"NIS 2", une révolution encore floue pour la cybersécurité
PME, mairies, collectivités locales: avec l'entrée en vigueur d'une directive européenne pour renforcer la cybersécurité, des dizaines de milliers d'entités doivent se préparer à une petite révolution mais de nombreuses zones d'ombre demeurent.
"NIS 2", le nom de cette directive européenne, enfonce le clou du premier volet (NIS, pour "network information security" ou "sécurité des systèmes d'information"), entré en vigueur en 2018 pour harmoniser et renforcer les exigences en matière de cybersécurité.
Mais le jour de sa mise en application officielle, le 17 octobre, "NIS 2" n'était pas encore transposée en France. Tout juste un projet de loi avait-il été présenté la veille en conseil des ministres, sans précision sur son calendrier d'adoption, après avoir été retardé par la dissolution de l'Assemblée nationale en juin.
Pour les entités concernées, le texte exige notamment "une gouvernance en cybersécurité, une politique de sécurité des systèmes d'information", des obligations de "notifications des incidents" ou encore des contrôles assortis de potentielles sanctions, résume Garance Mathias, avocate spécialisée en droit du numérique.
- Changement d'échelle -
La nouvelle directive opère un changement d'échelle massif: elle s'étend à 18 secteurs d'activité, contre moins d'une dizaine auparavant, et concerne des structures de plus petite taille, PME et collectivités locales en tête.
Or les collectivités locales, les TPE-PME et les entreprises de taille intermédiaire comptaient pour 58% des victimes de rançongiciels en 2023, selon les chiffres de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
C'est "une vraie transformation", commente auprès de l'AFP la députée Anne Le Hénaff (Horizons), rapporteure d'un texte sur les enjeux de la transposition de "NIS 2".
Là où quelques centaines d'organisations étaient concernées par le premier volet, la nouvelle directive pourrait toucher 15.000 entités. Mais le chiffre n'est pour l'heure pas définitif: le périmètre des secteurs concernés doit encore être précisé dans la loi française.
Un rapport parlementaire, présenté début octobre par la Commission supérieure du numérique et des postes (CSNP), recommande ainsi que les collectivités locales soient expressément désignées par l'Anssi.
Une mise au clair d'autant plus importante que, selon le même rapport, "il est plus que vraisemblable que de très nombreuses entreprises et collectivités locales ne soient pas pleinement informées" de l'entrée en vigueur de "NIS 2".
- Une "transition progressive" réclamée -
Des inquiétudes planent aussi sur les délais dans lesquels les entités visées devront se mettre en conformité avec les exigences du texte, une question qualifiée d'"angle mort" de la directive par le rapport de la CSNP.
Or, si la majorité des grandes entreprises et collectivités apparaissent "déjà sensibilisées" à la cybersécurité, l'extension à de plus petites structures, privées comme publiques, s'annonce comme un "changement majeur", souligne l'instance.
Le Conseil d'Etat, qui a rendu un avis sur le projet de loi, observe quant à lui qu'il ne "comporte pas de dispositions transitoires ou d'entrée en vigueur différée alors qu'il impose à de nombreuses entités de nouvelles obligations".
"La transposition doit s'inscrire dans une logique de transition progressive", plaide Patrick Molinoz, maire et co-président de la commission numérique de l'Association des maires de France (AMF). Marc Bothorel, référent cybersécurité au sein de la Confédération des petites et moyennes entreprises (CPME), demande lui à disposer de "trois à cinq ans de mise en œuvre progressive".
Les deux organisations, touchées au premier chef par l'extension des entités concernées, sonnent aussi l'alarme sur les moyens financiers et humains nécessaires à la mise en conformité.
"Il y a vraiment besoin que le gouvernement réfléchisse à une façon d'accompagner les entreprises", insiste Marc Bothorel.
P.Meier--HHA