Le projet de loi transposant la directive européenne NIS2 (Network and information security) a été présenté en conseil des ministres le mardi 15 octobre. Ce texte vise à renforcer la cybersécurité européenne en créant de nouvelles obligations à l’égard des organisations jugées “essentielles”, le niveau le plus critique, et aux organisations “importantes”.
La députée (Horizons) Anne Le Henanff salue la nouvelle et soulève qu’« il faudra traiter spécifiquement les collectivités, peut-être en adaptant les moyens et l’accompagnement ». En effet, chaque État-membre disposait d’une marge de manœuvre quant à l’inclusion des collectivités dans le périmètre de la directive. Cette inclusion était nécessaire selon l’Anssi au regard des récentes attaques informatiques. Selon le dernier décompte du cyber-pompier français, environ 2800 collectivités ou organisations associées devraient être concernées.
Sont actuellement classées dans la catégorie des « entités essentielles » les régions, les départements, les métropoles, les communautés urbaines et d’agglomération, ainsi que les communes de plus de 30 000 habitants, seuil qui devrait être discuté lorsque le dossier sera porté au Parlement.
L’Anssi a également défendu le classement des centres de gestion dans la catégorie des entités essentielles, avec un traitement sur-mesure pour les opérateurs publics de services numériques (OPSN) en fonction de leur taille et de leurs activités. Les syndicats mixtes seront catégorisés en “essentiel” ou “important” selon la taille des collectivités couvertes.
Quant aux communautés de communes, elles pourraient être classées en “entités importantes”. La directive leur impose, dans un souci de simplification, de respecter les 42 mesures d’hygiène informatique préconisées par l’Anssi. Le cyber-pompier de l’État a toutefois précisé qu’un délai de trois ans serait accordé aux organisations concernées afin de préparer une conformité complète.
Consulter le projet de loi