Face à la multiplication des cyberattaques, notamment par rançongiciel, le Sénat a adopté le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, transposant trois directives européennes majeures.
Ce mercredi 12 mars 2025, le Sénat a adopté en première lecture le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Ce texte, porté par une commission spéciale présidée par Olivier Cadic et dont les rapporteurs sont Hugues Saury, Patrick Chaize et Michel Canévet, vise à renforcer significativement la protection des secteurs vitaux contre les cyberattaques. Face à une recrudescence préoccupante des attaques par rançongiciel, qui ont augmenté de 30% entre 2022 et 2023, ce projet de loi répond à une nécessité urgente. En effet, aucun secteur n’est désormais épargné : 34 % des attaques ciblent des TPE/PME, 24 % des collectivités territoriales, tandis que les entreprises stratégiques, les établissements de santé et d’enseignement supérieur sont également des victimes régulières. L’initiative du gouvernement s’inscrit dans une dynamique européenne, visant à transposer en droit français trois directives clés adoptées par l’Union européenne en décembre 2022 : la directive REC sur la résilience des entités critiques, la directive NIS2 concernant la cybersécurité globale et la directive DORA portant sur la résilience opérationnelle numérique du secteur financier.
Des changements majeurs pour renforcer la résilience
Le texte introduit plusieurs changements majeurs. La transposition de la directive REC actualise profondément le dispositif de sécurité des activités d’importance vitale (SAIV), en vigueur depuis 2006, passant d’une logique de protection vers une approche centrée sur la résilience. Le champ d’application s’étend désormais à de nouveaux sous-secteurs tels que les réseaux de chaleur et de froid, l’hydrogène ou encore l’assainissement. Quant à la directive NIS2, elle marque un véritable tournant en élargissant drastiquement le périmètre concerné, passant de 500 infrastructures critiques à environ 15 000 entités essentielles ou importantes. En outre, près de 1 500 collectivités territoriales et organismes sous tutelle seront désormais explicitement couverts par ces obligations renforcées.
Un cadre plus strict pour le secteur financier
Enfin, la directive DORA apporte un cadre réglementaire plus strict dans le secteur financier, cible privilégiée des cyberattaques. Les sénateurs ont apporté plusieurs amendements significatifs pour préciser et simplifier le dispositif. La commission spéciale a notamment souhaité mieux encadrer les définitions, clarifier les obligations pour éviter tout traitement inégal des entreprises et alléger les démarches administratives pour les acteurs économiques. Ces adaptations visent également à modérer les effets de surtransposition. Ce projet de loi, attendu et nécessaire face à l’ampleur des cybermenaces actuelles, doit désormais poursuivre son parcours législatif avec l’objectif d’une entrée en vigueur rapide pour renforcer durablement la sécurité numérique nationale.