Transposition de la directive NIS2 pour le secteur public, et particulièrement impact sur les collectivités territoriales.
Découvrez cet article en vidéo sur la chaine youtube.
Un rapport d’impact a été publié, en octobre 2024. Il doit permettre la transposition de la directive.
Il fait 850 pages. Vous comprenez pourquoi un petit résumé s’impose. Pour les courageux, le lien vers le projet de transposition.
La France a pris du retard sur la mise en œuvre de la directive NIS2 en raison de la dissolution de cet été.
En fait, c’est deux textes qu’il faut transposer, la directive DORA (Digital Operational Resilience Act) et la directive NIS2. Nous allons analyser la transposition pour les collectivités territoriales.
Transposition de la directive NIS2
Les collectivités territoriales sont intégrées dans ces nouvelles exigences en raison de la multiplication des attaques informatiques les affectant et de leur faible sécurisation. L’objectif est d’adopter une approche proportionnée, adaptée à leurs moyens et à leur maturité en matière de cybersécurité.
Les association de Maires sont déjà intervenues pour signaler les couts estimés importants de soumettre toutes les collectivités à la Directive NIS2. Pourtant la sécurité doit être la priorité pour mettre en place une administration numérique de confiance.
La première étape est de catégoriser les collectivités en fonction de leur importante. Il existe plusieurs catégories
Désignation des opérateurs d’importance vitale: Les collectivités territoriales désignées comme opérateurs d’importance vitale (OIV) devront, comme c’est déjà le cas, désigner des points d’importance vitale (PIV) et des systèmes d’information d’importance vitale (SIIV).
Déjà cette étape va couter de l’argent pour dresser l’inventaire. Faire les arbitrages et selon les cas investir pour renforcer la sécurité de chaque point.
Cette désignation se fera par l’autorité administrative (ministère coordinateur ou préfet de département après avis de la CIDS ou de la CZDS). Certaines collectivités sont déjà désignées OIV en raison des activités qu’elles assurent pour leurs administrés.
De nouvelles collectivités pourraient être concernées par le dispositif, notamment celles ayant à leur charge des opérateurs d’importance vitale figurant dans les nouveaux secteurs d’activité. En effet, certaines collectivité gèrent en direct des régies d’eau, des services de secours et autre activités vitales.
Le dispositif prévoit cet inventaire, puis une information pour chaque collectivité. Les collectivités territoriales concernées seront systématiquement informées si leur délégataire exerce une activité d’importance vitale ou gère une infrastructure critique pour leur compte.
Les dispositions envisagées n’entraînent pas de frais supplémentaires pour les collectivités déjà concernées par le dispositif en vigueur, les obligations de protection et de continuité d’activité figurant déjà dans la loi. Elles continueront à assumer à leurs frais les mesures indispensables à leur résilience.
A chaque fois que l’Etat a promis aux collectivités que le cout serait constant, cela s’est avéré faux. Dans ce cas c’est évident, la sureté cyber coute de plus en plus cher. Les règles vont se resserrer d’année en année et les attaques sont toujours plus importante et ciblées.
Les collectivités territoriales désignées OIV devront élaborer un plan de résilience opérationnel. Le voila le cout additionnel qui pointe.
Résultat des enquêtes: Les collectivités territoriales ne pourront plus déroger aux avis défavorables des enquêtes de sécurité.
Sanctions: Une disposition expresse exclut les collectivités territoriales des sanctions financières, qui ne pourront être prononcées qu’à l’encontre des personnes morales de droit privé.
C’est une inégalité injustifiable, Les collectivités, entités qui sont redevables devant les citoyens, sont de fait exclues de toutes les règles de sanctions. Comment assurer que les travaux seront menés si les entités ne risquent rien. Le secteur public devrait plus que le privé avoir cette exigence de responsabilité.
Quelles collectivités concernées
L’inventaire actuellement admis? c’est QUE 1489 entités, collectivités territoriales et groupements de collectivités territoriales, ainsi que certains organismes sous leur tutelle, devraient être concernés au titre des entités essentielles.
Cela comprend les régions métropolitaines (visiblement les outre mer sont exclues, les départements métropolitains et d’outre-mer, les métropoles, les communautés urbaines et les communautés d’agglomérations critiques dont la population bénéficiaire est supérieure à 30 000 habitants.
Les 992 communautés de communes métropolitaines et d’outre-mer seront concernées au titre des entités importantes.
La très grande majorité des communes (99% ont moins de 30 000 habitants) ne sont donc concernées que par leur intercommunalité de rattachement. Les plus vulnérables et les moins bien équipés ne seront pas soumis à la directive.
Le coût de NIS2 : une question complexe
Le rapport d’impact, dans ses 850 pages, ne mentionne pas de cout spécifique. Il indique même qu’il n’y en aura pas. Cependant, il est possible d’extrapoler certains éléments de coûts potentiels à partir des informations disponibles.
La directive NIS2 élargit considérablement le nombre d’entités soumises aux exigences de cybersécurité, passant d’environ 500 sous NIS1 à près de 15 000 en France. Cette augmentation implique un coût important pour les nouvelles entités qui devront mettre en place les mesures de sécurité nécessaires pour se conformer à la directive NIS2.
Les entités concernées par NIS2 devront mettre en œuvre un ensemble de mesures de sécurité techniques et organisationnelles pour répondre aux exigences de la directive NIS2, notamment en matière de gestion des risques, de déclaration d’incidents et de partage d’informations. La mise en place de ces mesures peut engendrer des coûts liés à l’acquisition de nouvelles technologies, à la formation du personnel et à la mise en place de nouveaux processus.
Les entités concernées par NIS2 auront l’obligation de s’enregistrer auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cet enregistrement peut impliquer des coûts administratifs pour les entités. L’ANSSI n’a pas encore indiqué quelles seront les exigences de cet enregistrement.
Bien que les sources ne fournissent pas de chiffres précis sur le coût de NIS 2, elles permettent de comprendre que la mise en conformité avec cette directive représentera un investissement important pour les entités concernées.
Il est recommandé aux entités de réaliser une analyse approfondie de leurs besoins en matière de cybersécurité afin d’estimer les coûts de mise en conformité avec NIS 2 et de planifier les investissements nécessaires.
Calendrier de mise en place de NIS2 en France
Date limite de transposition de la directive NIS2 : 17 octobre 2024. Les États membres de l’Union européenne, dont la France, ont jusqu’à cette date pour transposer la directive NIS2 dans leur droit national. On est donc bien en retard dès ce jour.
Notification à la Commission européenne : 17 janvier 2025. Les pays ont ensuite jusqu’à cette date pour informer la Commission européenne des règles et mesures adoptées pour la transposition de NIS 2.
Enregistrement des entités concernées : dès l’entrée en vigueur de la loi. Les entités concernées par NIS 2, qu’elles soient des entités essentielles ou importantes, auront l’obligation de s’enregistrer auprès de l’autorité nationale de cybersécurité (ANSSI). Selon des modalités qui seront surement décrites par décret.
La réglementation NIS 2, une fois mise en œuvre en France, définira les délais spécifiques accordés aux différentes entités pour se conformer aux exigences de la directive.
Délai de tolérance de l’ANSSI : 3 ans. L’ANSSI a annoncé un délai de tolérance de trois ans pour accompagner les entreprises et donc surement les collectivités) dans leur mise en conformité avec NIS 2. La conformité complète devrait donc être exigée pour 2027.
En résumé
En résumé, la mise en place de NIS2 en France suit un calendrier précis avec une date limite de transposition fixée au 17 octobre 2024 et une entrée en vigueur de la loi le lendemain de sa publication au Journal officiel.
Les entités concernées devront s’enregistrer dès l’entrée en vigueur de la loi et disposeront de délais spécifiques, à définir par la réglementation, pour se conformer pleinement aux exigences de la directive.
Autre article sur ce sujet ici
Ajouter commentaire