Contactez-nous

Tél. +33 2 85 52 08 00

Blog

Le blog des experts Ironie

Accueil du blog

Catégories

Derniers articles

NIS2 : Etes-vous prêts ?

Transposition de la directive NIS2 : vers un cadre national renforcé de cybersécurité

Le projet de loi français relatif à la résilience des activités d’importance vitale et à la sécurité des systèmes d’information, qui transpose la directive européenne #NIS2, a été présenté par la commission spéciale de l’Assemblée nationale. Cette initiative s’inscrit dans une volonté de rehausser les exigences de cybersécurité pour les entités critiques au-delà du strict cadre européen.

Ce texte, qui transpose en droit français la directive européenne #NIS2 adoptée fin 2022, est disponible en ligne : projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité.

Extension du périmètre réglementaire

Alors que la directive #NIS2 distingue les entités « essentielles » et « importantes », la France conserve le statut d’Opérateur d’Importance Vitale (OIV), défini par le Code de la Défense. Le projet de loi élargit en outre le périmètre d’application à de nouveaux acteurs, notamment :

  • les collectivités territoriales de plus de 30 000 habitants,
  • les établissements de santé,
  • les structures médico-sociales.

Cette approche élargit considérablement le nombre d’organisations concernées par les obligations de cybersécurité, bien au-delà de ce qu’impose le texte européen.

Renforcement des obligations et du pilotage stratégique

Le rôle des dirigeants est renforcé. Le projet de loi prévoit l’élaboration de documents stratégiques, validés par les autorités compétentes, tels que :

  • un Plan de Résilience Opérateur,
  • un Plan Particulier de Résilience pour certaines infrastructures.

Par ailleurs, l’État se réserve le droit de mener des enquêtes administratives sur les personnes ayant accès à des systèmes d’information jugés sensibles, soulignant l’ancrage de ces dispositions dans une logique de sécurité nationale.

Maîtrise des dépendances et cybersécurité de la chaîne d’approvisionnement

Le projet de loi introduit l’obligation pour les entités concernées d’évaluer leur exposition aux risques liés à la chaîne d’approvisionnement numérique. Cela inclut :

  • les prestataires,
  • les fournisseurs tiers,
  • les logiciels et technologies utilisés.

Une attention particulière est portée à la promotion de solutions plus souveraines, comme les logiciels libres et les standards ouverts, dans une logique de réduction des dépendances critiques.

Enjeux et recommandations

Cette transposition dépasse la mise en conformité avec #NIS2. Elle impose un cadre plus strict, avec :

  • une augmentation significative du nombre d’acteurs soumis à la réglementation,
  • des exigences formelles renforcées,
  • une vigilance accrue sur les tiers et la chaîne logistique.

Les organisations concernées doivent dès à présent entamer une démarche de mise en conformité proactive, en tenant compte à la fois des exigences européennes et des spécificités introduites par le législateur français.

Catégories de ce billet : ,