La directive européenne « NIS 2 », adoptée pour renforcer la cybersécurité des organisations, introduit de nouvelles obligations pour les entreprises et administrations locales. Pourtant, en France, la transposition législative de ce texte reste floue, plongeant les acteurs concernés dans l’incertitude.
Officiellement en vigueur depuis le 17 octobre, « NIS 2 » n’a pas encore été formellement transposée dans la législation française. Un projet de loi a bien été présenté au conseil des ministres la veille de l’échéance, mais aucun calendrier précis n’a été annoncé. Ce retard s’explique notamment par la dissolution de l’Assemblée nationale en juin dernier, qui a freiné les travaux parlementaires. « NIS 2 » succède à la directive « NIS » de 2018 et amplifie son impact. Alors que le premier texte ne concernait qu’une poignée de secteurs, la nouvelle directive vise désormais 18 domaines d’activité, incluant les PME et collectivités locales, historiquement plus vulnérables aux cyberattaques. En France, 58 % des victimes de rançongiciels en 2023 étaient issues de ces catégories, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi).
Nouvelles exigences et obligations
La directive impose aux entités concernées de mettre en place une gouvernance en cybersécurité, de formaliser des politiques de sécurité et de notifier tout incident de sécurité. « C’est un saut important », souligne Garance Mathias, avocate spécialisée en droit du numérique. Dorénavant, les entreprises de taille intermédiaire et les administrations locales devront se conformer aux mêmes standards de cybersécurité que les grandes entreprises, sous peine de sanctions. Ce changement d’échelle pourrait toucher jusqu’à 15 000 entités en France, bien que ce chiffre soit encore en attente de confirmation législative. La Commission supérieure du numérique et des postes (CSNP) a réclamé des précisions à l’Anssi sur les structures concernées pour éviter toute confusion, alertant sur le fait que beaucoup de PME et collectivités ne seraient pas informées de leurs nouvelles obligations.
Le casse-tête de la mise en conformité
Outre la dénomination des structures concernées, la question des délais de mise en conformité soulève également des préoccupations. Le Conseil d’État a regretté que le projet de loi ne prévoie aucune disposition transitoire, malgré l’impact significatif des nouvelles obligations pour les petites structures. « Une transition progressive est indispensable », déclare Patrick Molinoz, co président de la commission numérique de l’Association des maires de France, qui redoute une application trop brutale du texte. Du côté des petites entreprises, Marc Bothorel, référent cybersécurité de la Confédération des petites et moyennes entreprises (CPME), demande une période d’adaptation de trois à cinq ans. Selon lui, « les moyens financiers et humains nécessaires à la mise en conformité doivent être pensés dès maintenant ». Alors que la directive impose une modernisation massive, les acteurs concernés espèrent un accompagnement renforcé de la part de l’État. Pour l’heure, « NIS 2 » reste une révolution encore floue, mais dont les impacts sur le tissu économique et administratif français promettent d’être considérables.