Le texte n° 33 (2024-2025) de MM. Antoine ARMAND, ministre de l’économie, des finances et de l’industrie et Patrick HETZEL, ministre de l’enseignement supérieur et de la recherche, déposé au Sénat le 15 octobre 2024, vise notamment à transposer dans le droit interne les dispositions de la Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 dite « NIS 2 ».
Ce projet de loi, préparé notamment par l’ANSSI et pour lequel le Gouvernement a engagé la procédure accélérée, doit permettre à la France de transposer, au plus tôt, la Directive NIS 2 dont la date limite de transposition est dépassée depuis le 17 octobre 2024.
Des précisions sur le champ d’application de la règlementation
Le Titre 2 « Cybersécurité » du projet de loi est consacré à la transposition de la Directive NIS 2. En son article 8, le projet reprend la définition de la notion d’ « entités essentielles » présente dans la Directive en énonçant que ces dernières, sur lesquelles pèseront des obligations renforcées en matière de cybersécurité sont « les entreprises appartenant à un des secteurs d’activité hautement critiques qui emploient au moins 250 personnes ou dont le chiffre d’affaires annuel excède 50 millions d’euros et dont le total du bilan annuel excède 43 millions d’euros » (nous soulignons).
Il est donc directement renvoyé à l’Annexe I de la Directive définissant les « secteurs hautement critiques » et y incluant ceux de l’énergie, des transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux usées, le secteur « infrastructure numérique », de la « gestion des services TIC (interentreprises) » ou encore du spatial.
De plus, le projet de loi tire parti de la liberté laissée par le Législateur européen pour désigner expressément comme entités essentielles, les « établissements publics à caractère industriel et commercial » ainsi qu’un certain nombre d’administrations dont, par exemple, les « régions, les départements, les communes d’une population supérieure à 30 000 habitants, leurs établissements publics administratifs dont les activités s’inscrivent dans un des secteurs d’activité hautement critiques ou critiques ».
Un seuil pour les entités « importantes »
De manière notable, le projet de loi ajoute un seuil pour la qualification d’entité importante « les entreprises appartenant à un des secteurs d’activité hautement critiques ou critiques qui ne sont pas des entités essentielles et qui emploient au moins 50 personnes ou dont le chiffre d’affaires et le total du bilan annuel excèdent chacun 10 millions d’euros ».
Ce seuil restreint le champ d’application de la Directive qui considérait comme entités importantes, toute entité des secteurs hautement critiques ou critiques qui ne dépassait pas les seuils prévus pour les entités essentielles (Art. 3, §2 de la Directive NIS 2).
Seront donc également visées les entités faisant partie des secteurs simplement « critiques » visant notamment certains fournisseurs numériques ou encore la production, transformation et distribution des denrées alimentaires.
Renvoi à un décret ultérieur s’agissant des objectifs associés aux mesures techniques et organisationnelles de gestion des risques
En son article 14, le projet de loi détaille les mesures que devront prendre, notamment, les entités essentielles et importantes afin de garantir « pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné au risque existant » en précisant qu’elles visent à :
- Mettre en place un pilotage de la sécurité des réseaux et systèmes d’information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques ;
- Assurer la protection des réseaux et systèmes d’information, y compris en cas de recours à la sous-traitance ;
- Mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d’information et gérer les incidents ;
- Et garantir la résilience des activités.
Dans ce cadre, la projet de loi prévoit au même article qu’ « un décret en Conseil d’État fixe les objectifs auxquels doivent se conformer les personnes mentionnées au premier alinéa afin que les mesures adoptées pour la gestion des risques satisfassent aux 1° à 4° » (nous soulignons), ce qui signifie des précisions seront apportées par la voie règlementaire s’agissant de ces mesures.
Cependant, s’agissant de certains prestataires informatiques, que sont « les fournisseurs de services de systèmes de noms de domaine, les offices d’enregistrement, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance », le projet prévoit que ces acteurs devront mettre en œuvre « les exigences techniques et méthodologiques qui leur sont propres ».
Référentiel de l’ANSSI
Le projet de loi prévoit également que ce décret déterminera également les conditions d’élaboration, de modification et de publication d’un référentiel d’exigences techniques et organisationnelles qui sont adaptées aux différentes personnes visées par la règlementation.
Pour davantage de précisions concernant l’application de la Directive NIS 2 et les obligations des diverses entités visées, vous pouvez contacter nos avocats spécialisés en droit de la cybersécurité !