LE MAGAZINE DES VILLES ET DES TERRITOIRES CONNECTÉS ET DURABLES

Cybersécurité : le Sénat entérine la transposition de la directive NIS2

Cybersécurité

Reportée en raison des turbulences institutionnelles que notre pays a traversées l’année dernière, la transposition de la directive européenne NIS2 a débuté. Le projet de loi a été voté par le Sénat avant d’être examiné par l’Assemblée nationale. Explications.

Rimg0
Crédit Photo Homepage : Anssi - Crédit Photo article: Pixabay

La transposition dans le droit français de la directive européenne NIS2 (Network and Information Security 2) a franchi une étape importante jeudi dernier. En effet, le Sénat a adopté en première lecture ce projet de loi qui vise, globalement, à renforcer le cadre réglementaire s’appliquant aux entreprises et aux collectivités en matière de cybersécurité.

 

Initialement prévue pour la fin de l’année dernière, cette procédure législative avait été reportée suite à la dissolution de l’Assemblée nationale et à la censure du gouvernement Barnier. Pour rappel, NIS2 fait suite à la directive NIS1 qui fixait déjà des préconisations en matière de cybersécurité, mais uniquement pour le secteur privé et sans contraintes. Cette dernière n’ayant pas été réellement suivie d’effets, et compte tenu de l’évolution de la menace cyber, l’Union européenne a décidé de durcir le cadre réglementaire avec cette nouvelle mouture.

 

Pour ce faire, Bruxelles a scindé les organisations concernées en deux catégories : les entités essentielles et les entités importantes. Les collectivités territoriales font partie des premières nommées puisqu’elles agissent dans des secteurs d'activité considérés comme essentiels (la santé, les transports, l'énergie, l’eau…). Elles vont donc devoir appliquer des préconisations garantissant un niveau minimum de sécurité informatique. Rien de révolutionnaire en la matière puisque celles-ci recoupent pour l'essentiel les recommandations de l’ANSSI (firewalling, solutions de type EDR et NDR, recours à des SOC managés, formation en interne…).

 

Un seuil à 30 000 habitants

« Le texte entériné par le Sénat fixe à 30 000 habitants le seuil au-dessus duquel les collectivités sont concernées », explique Jean-Luc Sallaberry, chef du département numérique de la FNCCR, « cela inclut bien sûr les régions, les départements et les métropoles, mais les agglomérations sont retirées du dispositif si elles ne comportent pas de communes de plus de 30 000 habitants ». Toutefois, ces dernières ne sont pas exonérées de contraintes mais ne se voient appliquer que les obligations pesant sur les entités importantes, au même titre que les communautés de communes.

 

« Il ne faut pas oublier non plus les syndicats techniques dont les sujets concernent les secteurs essentiels, ils sont eux aussi soumis à la loi à partir du moment où ils couvrent une population de plus de 30 000 habitants, ce qui est souvent le cas », poursuit Jean-Luc Sallaberry. Par ailleurs, les centres de gestion sont également inclus, tout comme les SDIS et les opérateurs publics (régies d’eau, d’assainissement, de production d’énergie renouvelable, de bornes de recharge électriques…). Ainsi, seules les communes de moins de 30 000 habitants sont totalement exonérées du cadre réglementaire fixé par NIS2.

 

Pas de sanctions les 3 premières années

L’autre grand thème de débats concerne les sanctions qui pourront être appliquées en cas de non-conformité de la politique de cybersécurité. Pour l’heure, une période de latence de trois ans a été décidée afin de laisser le temps aux différentes structures d'effectuer les ajustements nécessaires, mais le sujet sera encore débattu à l’Assemblée. « Il y aura des mises à jour difficiles », souligne Jean-Luc Sallaberry, « certes les métropoles peuvent s’appuyer sur des DSI très structurées et intègrent souvent des RSSI, mais ce n’est pas toujours le cas dans d’autres collectivités, y compris dans les départements ».

 

Enfin, la question du financement reste ouverte. Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique, avait indiqué lors de son audition au Sénat que les structures concernées devront consacrer environ 10 % de leur budget informatique à la cybersécurité, pour remplir leurs nouvelles obligations.

 

À noter que, dans le même projet de loi, la transposition des directives REC (Résilience Infrastructures Critiques) et DORA (Digital Operational Resilience Act) ont été intégrées. Elles visent respectivement à améliorer la cybersécurité des OIV (Opérateurs d'Importance Vitale) et du secteur bancaire. Le texte sera examiné à l’Assemblée nationale avant la fin du mois.

Le magazine

Dans Smart City Mag, retrouvez nos dossiers, enquêtes, reportages, interviews... sur les smart cities, en France comme à l'étranger.

Toutes vos formules d'abonnement donnent désormais accès aux archives numériques du magazine sous forme de liseuse et de pdf à télécharger. L'achat au numéro d'exemplaires papier vous donne également accès aux versions numériques du magazine (liseuse + pdf téléchargeable).

Contact annonceurs

Christine Doussot, directrice de clientèle
christine.doussot@smartcitymag.fr
Tél. + 33 7 69 21 82 45

RECEVOIR LA NEWSLETTER
Agenda
Du 25 au 26 mars 2025
Du 14 au 15 mai 2025
Chaque semaine, recevez l'actualité
des villes et des territoires connectés et durables
INSCRIVEZ-VOUS À LA NEWSLETTER
OK
Non merci, je suis déjà inscrit !