Projet de loi « Résilience » : recommandations de Numeum pour une transposition réussie de la directive NIS2
1. Une occasion de renforcer notre résilience collective
La directive NIS2 va permettre une élévation de notre niveau global de protection face à une menace cyber en constante augmentation. Avec un nombre d’entités concernées multiplié par 10, l’enjeu est de faire de cette législation une réussite sur le plan opérationnel. Dans ce cadre, notre objectif collectifdoit être d’identifier et d’accompagner ces entités, qu’elles soient des entreprises ou des collectivités territoriales. Pour susciter une telle mobilisation, la condition première est d’avoir une vision totalement claire du champ d’application de la directive, ce qui n’est en l’état pas encore totalement le cas.
2. Un dispositif par nature européen
Les cybermenaces n’ont pas de frontière, il est dès lors essentiel que les Etats-membres de l’UE harmonisent au maximumleurs législations lors de cette transposition. Nombre d’acteurs du numérique ont des activités dans toute l’Europe : des écarts trop importants entre les législations et les procédures de chaque Etat-membre complexifieraient inévitablement la mise en application de ces nouvelles règles et affaiblirait notre résilience collective. Dans ce contexte, nous alertons contre toute tentative de surtranspositionde la directive.
3. L'ANSSI au centre du dispositif
Avec des compétences renforcées et un tel nombre d’entités sous sa supervision, l’ANSSI devient en quelque sorte le « régulateur de la cybersécurité» en France. Nous saluons la démarche collaborative que l’ANSSI a initiée avec les parties prenantes. Pour jouer pleinement ce rôle, l’ANSSI devra selon nous (i) disposer des ressources nécessaires, (ii) établir un cadre réglementaire clair en toutes circonstances et (iii) se positionner dans un rôle de régulateur et laisser au secteur privé les tâches de remédiation qui peuvent l’être.
4. Un texte structurant pour le marché français de la cybersécurité
La filière des acteurs de la cybersécurité est dynamique en France. Néanmoins, des interrogations demeurent sur le niveau d’exigence projeté qui pourrait, en l’état, créer une trop forte demande sur ce sujet qui ne pourrait pas forcément être absorbée par l’offreet qui pourrait entrainer une consolidation du marché. Par ailleurs, de nombreuses ESN concernées par les futures obligations s’inquiètent du coût de mise en place de mesures de cybersécurité liées à ce niveau d’exigence technique.
5. La nécessité d'un cadre clair et opérationnel pour les entreprises
Outre la directive NIS2, d’autres textes régissent également la cybersécurité en France et en Europe, comme la loi de programmation militaire 2024-2030 ou le futur Cyber Resilience Act. Dans un contexte de multiplication des textes réglementaires dans l’espace numérique, il est indispensable que les pouvoirs publics assurent une bonne articulation entre tous ces dispositifs. Par exemple, chacun de ces textes prévoient une obligation de notification d’incident ou de vulnérabilité applicable à plusieurs acteurs du numérique : il faut veiller à ne pas multiplier les guichetset s’assurer que ces différentes notifications fassent bien l’objet d’une procédure unique. Cela est une garantie de simplicité et de prévisibilité pour les entreprises et permettra une application plus efficace de ces différentes législations.
