Cybersécurité : le projet de loi NIS2 présenté en conseil des ministres… et maintenant ?

On m'disait tu comprendras plus tard

Le projet de loi de transposition de la directive européenne a enfin été présenté en conseil des ministres. Il a été publié dans la foulée sur Legifrance, et va pouvoir entamer sa navette parlementaire.

Sébastien Gavois

Le 16 octobre 2024 à 11h06

5 min

Sécurité

Hier, le ministre et la secrétaire d'État de l’Enseignement supérieur ainsi que le ministre de l’Économie ont présenté un projet de loi attendu en conseil des ministres. Il s’agit de celui « relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », dont la partie le plus visible est sans aucun doute NIS2.

Trois transpositions en un seul projet de loi

Le gouvernement explique qu’avec ce projet, la France transpose trois directives européennes adoptées le 14 décembre 2022 et « visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber ».

Nous avons tout d’abord la directive européenne 2022/2557 dont le but est de renforcer la résilience des infrastructures des entités critiques (alias « REC »). Il y a ensuite la directive 2022/2555 (alias « NIS2 », le gros morceau). Comme son nom l‘indique, il s’agit de prolonger NIS1 et de cibler davantage d’entités qualifiées d‘essentielles ou d’importantes. Il y a enfin la directive 2022/2556 (alias « DORA » pour Digital Operational Resilience Act) qui vise le secteur financier.

La porte-parole du gouvernement Maud Bregeon résume ainsi la situation : « c'est une loi qui nous donne de nouveaux outils pour protéger nos infrastructures critiques, énergie, transport, santé, eau potable et notre système financier ». NIS2 aura de fortes répercussions sur des petites et grandes entreprises.

Il reste encore de très nombreuses étapes

Les États membres ont jusqu’au 17 octobre pour transposer la directive au niveau du droit national. Mais Vincent Strubel avait déjà prévenu la semaine dernière que « le 17 octobre, il ne va pas se passer grand-chose de spécial, en tout cas dans le domaine de NIS2 ».

Hasard du calendrier, nous étions hier à une table ronde sur NIS2 avec Ionathan Noblins de l’ANSSI (coordinateur national pour la sécurité des télécommunications et des infrastructures du numérique) au moment de l’annonce du gouvernement. Nous lui avons donc demandé ce que cette présentation en conseil des ministres implique pour la suite des événements. En résumé, pas grand-chose.

« C'était prévu. Ça veut dire que ça avance […] Après, il y a de très nombreuses étapes », ajoute-t-il. Nous demandons également si le projet de loi est disponible : « Il sera rendu public au moment de son examen par le Parlement », mais il est finalement arrivé un peu plus tôt que prévu, nous confirme Ionathan Noblins.

En effet, comme repéré par le fin limier Marc Rees, le Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité est déjà disponible sur Legifrance, avec l’exposé des motifs. La seconde étape sera donc la présentation du projet de loi et son examen au Parlement, puis la navette parlementaire entre l’Assemblée nationale et le Sénat.

Il y a également l’avis du Conseil d’État, mais celui-ci date du 6 juin 2024 et le projet de loi a ainsi pu évoluer. Pour rappel, ce projet de loi avait été accueilli favorablement par le CSNP, malgré une longue liste de recommandations et de questions.

Cybersécurité européenne : enjeux et défis de la directive NIS2 en France

Le coordinateur de l’ANSSI ne communique aucun délai, mais Vincent Strubel (directeur général de l'ANSSI) avait un peu vendu la mèche la semaine dernière : « On a devant nous des mois encore de travail de consultation et de construction sur le cadre réglementaire, et des mesures techniques qui vont décliner tout ça ». L’analyse du projet de loi permettra de connaitre un peu plus l’articulation de NIS2 en France.

En attendant, « commençons à se préparer »

« Le message principal, c'est : commençons à se préparer pour faire face à la menace cyber. Mais sans précipitation », lâche Ionathan Noblins. « Que le projet soit examiné par le Parlement demain dans un an ou dans six mois, ce n'est pas l’essentiel. L’essentiel, c'est de commencer à se préparer, prendre conscience du risque de la menace cyber pour les plus petites entités et mettre en place des mesures d'hygiène ».

Ionathan Noblins comme Vincent Strubel renvoient vers le site Monespacenis2 pour s’informer et s'informer des dernières annonces sur cette directive européenne et sa transposition. Pour rappel, un règlement Cyber Resilience Act (CRA) est aussi en préparation au niveau européen et sera d’application directe, probablement en 2027.

NIS2, Cyber Resilience Act : 2027 sera une année charnière pour la cybersécurité

Commentaires (7)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Seb65 Premium

Le 16/10/2024 à 15h29

On dirait que c'est toujours prévu de réguler tous les serveurs DNS comme Entité Essentielle (le plus haut niveau), quelle que soit la taille, donc même si c'est un particulier ou une asso.

jpagin Premium

Le 21/10/2024 à 09h50

Si tu parles d'Entité Essentielle, tu fais référence à NIS 2 ? C'est pas du tout une directive pour garantir le fonctionnement d'Internet ou je ne sais quoi, mais bien pour renforcer la cybersécurité des activités critiques dans l'UE (énergie, eau, télécoms, ...).

Où vois-tu cette "régulation de serveurs DNS" ?

Seb65 Premium

Le 21/10/2024 à 10h38

C'est référencé dans la catégorie "Fournisseur de services DNS":

Une entité qui fournit : a) des services de résolution de noms de domaines récursifs accessibles au public destinés aux utilisateurs finaux de l’internet; ou b) des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines.

jpagin Premium

Le 21/10/2024 à 11h09

Article 2

Champ d’application

1. La présente directive s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE, ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union.

=> Je ne vois pas comment ça pourrait viser les particuliers ou les associations.

Seb65 Premium

Le 21/10/2024 à 11h53

Il y aussi le 2. du même article. Toutes les entités, quelle que soit la taille.

2. La présente directive s’applique également aux entités d’un type visé à l’annexe I ou II, quelle que soit leur taille, dans les cas suivants:
a) les services sont fournis par:
i) des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public;
ii) des prestataires de services de confiance;
iii) des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine;

jpagin Premium

Le 22/10/2024 à 10h00

Tout repose sur l'interprétation de "entités".

Timanu69

Le 17/10/2024 à 11h43

Bosse pas trop ce matin, tu sauras pas quoi faire de ton après-midi sinon.