Hier, le ministre et la secrétaire d'État de l’Enseignement supérieur ainsi que le ministre de l’Économie ont présenté un projet de loi attendu en conseil des ministres. Il s’agit de celui « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », dont la partie le plus visible est sans aucun doute NIS2.

Trois transpositions en un seul projet de loi

Le gouvernement explique qu’avec ce projet, la France transpose trois directives européennes adoptées le 14 décembre 2022 et « visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber ».

Nous avons tout d’abord la directive européenne 2022/2557 dont le but est de renforcer la résilience des infrastructures des entités critiques (alias « REC »). Il y a ensuite la directive 2022/2555 (alias « NIS2 », le gros morceau). Comme son nom l‘indique, il s’agit de prolonger NIS1 et de cibler davantage d’entités qualifiées d‘essentielles ou d’importantes. Il y a enfin la directive 2022/2556 (alias « DORA » pour Digital Operational Resilience Act) qui vise le secteur financier.

La porte-parole du gouvernement Maud Bregeon résume ainsi la situation : « c'est une loi qui nous donne de nouveaux outils pour protéger nos infrastructures critiques, énergie, transport, santé, eau potable et notre système financier ». NIS2 aura de fortes répercussions sur des petites et grandes entreprises.

Il reste encore de très nombreuses étapes

Les États membres ont jusqu’au 17 octobre pour transposer la directive au niveau du droit national. Mais Vincent Strubel avait déjà prévenu la semaine dernière que « le 17 octobre, il ne va pas se passer grand-chose de spécial, en tout cas dans le domaine de NIS2 ».

Hasard du calendrier, nous étions hier à une table ronde sur NIS2 avec Ionathan Noblins de l’ANSSI (coordinateur national pour la sécurité des télécommunications et des infrastructures du numérique) au moment de l’annonce du gouvernement. Nous lui avons donc demandé ce que cette présentation en conseil des ministres implique pour la suite des événements. En résumé, pas grand-chose.

« C'était prévu. Ça veut dire que ça avance […] Après, il y a de très nombreuses étapes », ajoute-t-il. Nous demandons également si le projet de loi est disponible : « Il sera rendu public au moment de son examen par le Parlement », mais il est finalement arrivé un peu plus tôt que prévu, nous confirme Ionathan Noblins.

En effet, comme repéré par le fin limier Marc Rees, le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité est déjà disponible sur Legifrance, avec l’exposé des motifs. La seconde étape sera donc la présentation du projet de loi et son examen au Parlement, puis la navette parlementaire entre l’Assemblée nationale et le Sénat.

Il y a également l’avis du Conseil d’État, mais celui-ci date du 6 juin 2024 et le projet de loi a ainsi pu évoluer. Pour rappel, ce projet de loi avait été accueilli favorablement par le CSNP, malgré une longue liste de recommandations et de questions.

• Cybersécurité européenne : enjeux et défis de la directive NIS2 en France

Le coordinateur de l’ANSSI ne communique aucun délai, mais Vincent Strubel (directeur général de l'ANSSI) avait un peu vendu la mèche la semaine dernière : « On a devant nous des mois encore de travail de consultation et de construction sur le cadre réglementaire, et des mesures techniques qui vont décliner tout ça ». L’analyse du projet de loi permettra de connaitre un peu plus l’articulation de NIS2 en France.

En attendant, « commençons à se préparer »

« Le message principal, c'est : commençons à se préparer pour faire face à la menace cyber. Mais sans précipitation », lâche Ionathan Noblins. « Que le projet soit examiné par le Parlement demain dans un an ou dans six mois, ce n'est pas l’essentiel. L’essentiel, c'est de commencer à se préparer, prendre conscience du risque de la menace cyber pour les plus petites entités et mettre en place des mesures d'hygiène ».

Ionathan Noblins comme Vincent Strubel renvoient vers le site Monespacenis2 pour s’informer et s'informer des dernières annonces sur cette directive européenne et sa transposition. Pour rappel, un règlement Cyber Resilience Act (CRA) est aussi en préparation au niveau européen et sera d’application directe, probablement en 2027.

• NIS2, Cyber Resilience Act : 2027 sera une année charnière pour la cybersécurité