Enfin ! Le projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité a enfin été présenté en conseil des ministres, ce mardi 15 octobre. Ce texte, dans les cartons depuis le printemps dernier, avait été la victime indirecte de la dissolution de l’Assemblée nationale de juin dernier.
Il était pourtant temps: outre les directives sur la résilience des entités critiques et celle accompagnant le règlement Dora (Digital Operational Resilience Act), le projet de loi va permettre à la France de transposer dans sa législation NIS 2 (Network and information security).
Un texte qui devait pourtant être intégré dans le droit national avant le 18 octobre 2024. “Il ne va pas être examiné et voté au Parlement d’ici” cette échéance, avait admis Vincent Strubel, le patron de l’Anssi, la semaine dernière. Mais, poursuivait-il, le travail sur ce chantier “n’a jamais vraiment arrêté”.
Le sens du timing: le projet de loi transposant la directive NIS 2 présenté trois jours avant la date limite pour l’intégrer dans notre droit national. Le vote de ce texte n’est pas attendu avant le début de l’année 2025
— Gabriel Thierry (@gabrielthierry.bsky.social) 15 octobre 2024 à 17:57
Entités essentielles et importantes
L’Anssi a par exemple mis en ligne un portail pour vérifier si son organisation est concernée. Ce questionnaire ne concerne pour l’instant que les entreprises privées et non les collectivités françaises, également visées à des degrés divers par la transposition de la directive.
Comme le cyber-pompier français le rappelle, la directive va introduire des obligations pour deux types d’organisations. Celles considérées comme des entités essentielles, les plus critiques. Et celles “importantes”, un degré en dessous. Soit en tout, au décompte actuel, plus de 10 000 organisations issues de 18 secteurs d’activités.
Autant d’entités qui vont devoir être convaincues de faire de leur cybersécurité une priorité ou tout au moins de s’y intéresser. Pour résumer, avec NIS 2, ces dernières devront “fournir certaines informations à l’Anssi”, rappelle l’agence. Elles devront également “mettre en place des mesures de gestion des risques adaptées”. Et enfin déclarer leurs incidents de sécurité, pour citer les trois obligations majeures apportées par le texte.
Trois ans avant l’exigence d’une conformité complète
“En cas de manquement, des sanctions financières (jusqu’à 2 % du chiffre d’affaires) pourront être imposées”, rappelle en outre le cyber-pompier de l’Etat. Reste que les coups de bâton, un nouveau métier pour l’Anssi, sont encore loin.
D’une part, “il y a encore des mois de travail et de consultations sur le cadre réglementaire et sur les mesures techniques” qui vont en découler, signalait Vincent Strubel. Surtout, l’agence se donne trois ans, une fois le texte voté, avant d’exiger “une conformité complète” des organisations concernées.
“Mais nous n’allons pas attendre trois ans pour exiger certaines choses simples”, précisait le directeur général de l’Anssi. Et de citer les exemples de l’enregistrement des entités régulées auprès de l’agence, la notification des incidents, ou un investissement dans le respect des règles de base de l’hygiène numérique. “Trois ans, cela passe très vite, surtout quand il y a plein de choses à faire”, avertissait Vincent Strubel.