Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat
Brice, exploratrice et zombies
Dans le domaine de la cybersécurité, trois textes européens sont particulièrement attendus. Nommés NIS2, REC et DORA, ils doivent entrainer une vaste amélioration générale du niveau de sécurité en Europe. Le travail de transposition a commencé en France, le projet de loi ayant passé l’étape du Sénat. Avec une petite surprise : l’interdiction d’introduire des portes dérobées dans le chiffrement.
Hier, le Sénat a adopté en première lecture le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, d’abord en commission spéciale, puis en séance publique. Le texte a la lourde tâche de transposer dans le droit français trois directives européennes adoptées fin 2022 : NIS2, REC et DORA.
Toutes trois doivent provoquer un sursaut européen en matière de cybersécurité, non seulement pour augmenter le niveau général de défense, mais également la résilience, désormais un terme fort. Le calendrier a pris cependant du retard : présenté en conseil des ministres en octobre dernier, il a été repoussé suite à la dissolution de l’Assemblée nationale.
Des trois, la directive NIS2 est souvent considérée comme la plus importante. Elle va entrainer de vastes modifications dans le droit français et déclencher une série de mesures pour de nombreuses entreprises. L’ANSSI, qui sera au cœur du dispositif de contrôle, prévoit d’ailleurs de nombreuses ressources pour l’accompagnement et la formation des entités concernées.
NIS2, le grand chambardement
Revenons d’abord sur les grandes lignes des trois directives. NIS2 vient compléter la première directive NIS (Network and Information Systems), comme le rappelait récemment Vincent Strubel, patron de l’ANSSI. Cette dernière venait dresser des obligations pour les sept secteurs jugés essentiels énergie, transport, banques, infrastructures de marché financier, santé, eau (potable et usées) et infrastructures numériques.
Commentaires (17)
Le 13/03/2025 à 17h03
Le 13/03/2025 à 17h11
Le 13/03/2025 à 17h22
Le 13/03/2025 à 17h28
Modifié le 13/03/2025 à 18h17
Edit : Amendement du Sénateur Cadic sur les portes dérobées. Les interventions ne sont pas unanimes. Par exemple le sénateur Hugonet a vigoureusement combattu l'amendement (à partir de 3h 47min 25s) alors que plusieurs de ses collègues l'ont tout aussi vigoureusement défendu (par ex. la sénatrice Morin-Dessaily juste après). C'est l'amendement le plus long et débattu du projet de loi. Il a concentré 30 minutes des débats pour environ 6 heures de séance publiques consacrées à ce texte et 119 amendements discutés.
Modifié le 13/03/2025 à 19h13
Après, certains ont peut-être compris que ces portes dérobées étaient une connerie. Tant mieux si c'est le cas.
Au passage, c'est vraiment déplorable de voir certains sénateurs dont le seul argument est "Si vous votez pour cet amendement, vous être du côté des narcotrafiquants"...
Le 15/03/2025 à 06h40
L'amendement pour le projet de loi "Résilience" a été voté lors d'un scrutin public, ce qui n'est pas le cas de l'amendement du projet de loi "Narcotrafic". La masse de votants n'est donc pas du tout la même et le moyen de vote (main levée, non public) non plus.
L'un des plans les plus larges que j'ai pu trouver du Sénat, 2 minutes 30 après le vote de cet amendement.
Discussion de cet amendement. Le vote est à 1h 24min 41s.
Le 15/03/2025 à 19h43
Le 13/03/2025 à 18h57
Et aussi toutes les EPCI (communauté de communes...) notamment du fait qu'elles gèrent l'eau potable, la collecte des déchets , quelques soit le nombre d'habitants. J'avais assisté à un webinaire ou intervenait l'ANSSI en décembre dernier ou il expliquait ça
Sur le site du sénat ils disent ça :
Le projet de loi fait en outre le choix d’inclure dans la transposition près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle.
Le 14/03/2025 à 10h28
On sait que certaines collectivités, certains hôpitaux sont à des années-lumière de la norme.
Que les investissements seront significatifs et prendront des années.
Est-ce que cet investissement est chiffré ?
Non pas qu'il ne faille pas le faire, mais si on se projette pas dans son application, ça va être la Bérézina et finalement des règlements inapplicables faute de temps/budget...
Le 14/03/2025 à 11h43
Les investissements et coûts opérationnels sont peu chiffrés et c'est un travail auquel s'astreine les fédérations afin d'éviter les sur-transpositions et objectifs de sécurité irréalistes. Le travail le plus important est lié au référentiel technique des mesures que doit produire l'ANSSI.
Modifié le 14/03/2025 à 15h17
Ils laissent trois ans pour se mettre en conformité avant de prendre des sanctions pécuniaires
Modifié le 17/03/2025 à 11h23
Plus parce que ces structures sont trop jeunes qu'autre chose si je comprends bien. Chiffrer est donc encore probablement impossible pour elles.
https://www.senat.fr/enseance/2024-2025/394/Amdt_43.html
Le 17/03/2025 à 10h11
S'il y en a je suppose que c'est dans les déserts humains français.
Pourquoi éventuellement les exclure de l'obligation par contre... Si la creuse est paralysée informatiquement c'est moins grave que si c'est un arrondissement parisien mais quand même. D'autant que les capacités de reprise sur incident sont directement liées à une taille critique des infrastructures et des équipes informatique. Taille probablement pas atteinte dans les zones rurales.
Le 17/03/2025 à 11h15
"Le Sénat a cependant exclu les communautés d’agglomération ne comprenant pas au moins une commune de plus de 30.000 habitants du périmètre des entités essentielles, comme le défendait l'AMF. Le texte précise également les secteurs économiques concernés, il s'applique notamment aux réseaux de chaleur et de froid, à l'hydrogène et l'assainissement."
Modifié le 13/03/2025 à 19h00
ça ne sera pas à Mayotte j’espère ?
Le 13/03/2025 à 19h07