Le périmètre du futur big bang provoqué par la directive NIS 2 (Network and information security) reste toujours trop flou, déplore en substance la Commission supérieure du numérique et des postes (CSNP). Saisie par l’Anssi, le cyber-pompier de l’Etat, cette commission parlementaire vient de rendre son avis sur ce chantier. Le projet de loi gouvernemental doit être présenté le 6 juin en conseil des ministres. Il sera alors débattu au Parlement. Il commence à y avoir urgence. Ce texte est censé être transposé pour cet automne.
Dans ce document, les députés, sénateurs et personnalités qualifiées qui font partie de cette commission alertent en effet sur le manque d’information persistant. « Il est plus que vraisemblable que de très nombreuses entreprises et collectivités locales ne sont pas pleinement informées de l’existence de cette entrée en vigueur, des nouvelles obligations qui pèseront sur elles et des mesures qu’elles devront prendre pour s’y conformer », indiquent-ils.
Des premiers chiffres
Certes, rappelle la commission parlementaire, une première étude d’impact de l’Anssi mentionne des chiffres. Selon l’agence, 1489 collectivités locales devraient ainsi être considérées comme des « entités essentielles », un classement introduit par la nouvelle réglementation. De même, environ 14 000 entreprises privées seraient également concernées, qu’elles soient de futures entités essentielles ou importantes.
Mais pour les organisations professionnelles, consultées, ce chiffre pourrait être encore plus élevé. Car il n’est visiblement pas si clair pour les entités concernées de savoir si elles relèveront bien du champ d’application de la loi. Certaines entreprises sont en dessous des seuils, mais leur activité relève de secteurs critiques.
« La plateforme mise en place par l’Anssi pour répondre à ces interrogations ne répondrait pas totalement aux préoccupations de ces entités », rapporte la commission parlementaire.
Appel à une campagne d’information nationale
Résultat: les membres de cette structure estiment que cette question du périmètre ne peut pas être renvoyée aux décrets d’application. Au contraire, ce point devra être réintégré dans la loi, jugent-ils. Ils plaident également pour « une campagne d’information nationale », qui pourrait être associée à une « labellisation NIS 2 ».
Soit une façon, précisent-ils, d’inciter les organisations concernées à communiquer autour de leur mise en conformité avec la directive.
Au total, la commission parlementaire fait quatorze recommandations. Le Conseil de l’Union européenne avait adopté à la fin de l’année 2022 la directive NIS 2. Cette directive est censée harmoniser vers le haut les règles en matière de sécurité informatique. Le texte prévoit des séries d’obligations nouvelles selon le classement en entité essentielle ou importante, la colonne vertébrale de la réforme.