Espace adhérent
Comment pouvons-nous vous aider ?
Suivez-nous
Retour aux actualités
Projet de loi "Résilience" : recommandations de Numeum pour une transposition réussie de la directive NIS2
Affaires publiquesAlors que la directive NIS2 (directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union) est entrée en application depuis le mois d’octobre 2024, la France s’apprête à initier le processus de transposition de cette directive avec le projet de loi dit « Résilience », dont l’examen au Sénat est prévu pour début 2025. Avec un nombre d’entités couvertes qui devrait atteindre 10 à 15 000 entités rien qu’en France, NIS2 constitue un changement de paradigme pour notre niveau de résilience collective, mais aussi un effort de conformité supplémentaire pour les entreprises.
Numeum a accueilli favorablement ce texte structurant qui pense la cybersécurité à l’échelle européenne, seul niveau pertinent face à menace protéiforme qui ne connait pas de frontière. L’objectif à présent est d’assurer une transposition fluide et efficace de la directive en droit français : retrouvez ci-dessous les cinq enjeux majeurs de la transposition pour le secteur numérique et en pièce jointe nos recommandations pour faire de ce projet de loi un succès sur le plan opérationnel.
1. Une occasion de renforcer notre résilience collective
La directive NIS2 va permettre une élévation de notre niveau global de protection face à une menace cyber en constante augmentation. Avec un nombre d’entités concernées multiplié par 10, l’enjeu est de faire de cette législation une réussite sur le plan opérationnel. Dans ce cadre, notre objectif collectif doit être d’identifier et d’accompagner ces entités, qu’elles soient des entreprises ou des collectivités territoriales. Pour susciter une telle mobilisation, la condition première est d’avoir une vision totalement claire du champ d’application de la directive, ce qui n’est en l’état pas encore totalement le cas.
2. Un dispositif par nature européen
Les cybermenaces n’ont pas de frontière, il est dès lors essentiel que les Etats-membres de l’UE harmonisent au maximum leurs législations lors de cette transposition. Nombre d’acteurs du numérique ont des activités dans toute l’Europe : des écarts trop importants entre les législations et les procédures de chaque Etat-membre complexifieraient inévitablement la mise en application de ces nouvelles règles et affaiblirait notre résilience collective. Dans ce contexte, nous alertons contre toute tentative de surtransposition de la directive.
3. L'ANSSI au centre du dispositif
Avec des compétences renforcées et un tel nombre d’entités sous sa supervision, l’ANSSI devient en quelque sorte le « régulateur de la cybersécurité » en France. Nous saluons la démarche collaborative que l’ANSSI a initiée avec les parties prenantes. Pour jouer pleinement ce rôle, l’ANSSI devra selon nous (i) disposer des ressources nécessaires, (ii) établir un cadre réglementaire clair en toutes circonstances et (iii) se positionner dans un rôle de régulateur et laisser au secteur privé les tâches de remédiation qui peuvent l’être.
4. Un texte structurant pour le marché français de la cybersécurité
La filière des acteurs de la cybersécurité est dynamique en France. Néanmoins, des interrogations demeurent sur le niveau d’exigence projeté qui pourrait, en l’état, créer une trop forte demande sur ce sujet qui ne pourrait pas forcément être absorbée par l’offre et qui pourrait entrainer une consolidation du marché. Par ailleurs, de nombreuses ESN concernées par les futures obligations s’inquiètent du coût de mise en place de mesures de cybersécurité liées à ce niveau d’exigence technique.
5. La nécessité d'un cadre clair et opérationnel pour les entreprises
Outre la directive NIS2, d’autres textes régissent également la cybersécurité en France et en Europe, comme la loi de programmation militaire 2024-2030 ou le futur Cyber Resilience Act. Dans un contexte de multiplication des textes réglementaires dans l’espace numérique, il est indispensable que les pouvoirs publics assurent une bonne articulation entre tous ces dispositifs. Par exemple, chacun de ces textes prévoient une obligation de notification d’incident ou de vulnérabilité applicable à plusieurs acteurs du numérique : il faut veiller à ne pas multiplier les guichets et s’assurer que ces différentes notifications fassent bien l’objet d’une procédure unique. Cela est une garantie de simplicité et de prévisibilité pour les entreprises et permettra une application plus efficace de ces différentes législations.
Dernières actualités
AI France Summit 2025 : L’événement de référence pour l’IA en France et au-delà !
Communiqué de presse - Marché du numérique en France : bilan 2024 et perspectives pour 2025
Livre blanc « L’impact de l’intégration de l’IA générative dans l’offre des ESN/ICT et éditeurs de logiciels/plateformes »
Numeum au Web Summit 2024 de Lisbonne : la transformation numérique doit engager les femmes
Suivez nous
Devenir adhérent
Rejoignez la première organisation professionnelle de l’écosystème numérique français et participez à la transformation numérique de l'industrie et des services.
BESOIN DE PLUS D’INFORMATIONS ?
Pourquoi adhérer ?CONVAINCU ?
Adhérer en ligne !