Adoptée en novembre 2022 par l’Union européenne, les États membres disposaient d’un délai de vingt-et-un mois pour transposer la directive NIS 2 (Network and Information Security) dans leur législation nationale. Le 28 novembre dernier, la Commission européenne a adressé à la France ainsi, qu’à une vingtaine d’États membres, une lettre de mise en demeure pour leur transposition incomplète de la directive NIS 2. Reportée en raison de l’instabilité institutionnelle que notre pays a traversée l’année dernière, la transposition de ladite directive a débuté en mars dernier au parlement. Le projet de loi a été voté en première lecture, mercredi 12 mars 2025, par le Sénat avant d’être prochainement examiné par l’Assemblée nationale entre mai et juin 2025.
Qu’est-ce donc que la directive NIS 2 ?
NIS 2 fait suite à la directive NIS 1 qui fixait déjà des préconisations en matière de cybersécurité, mais uniquement pour le secteur privé et sans contraintes. Cette dernière n’ayant pas été réellement suivie d’effets, et compte tenu de l’évolution de la menace cyber, l’Union européenne a décidé de durcir le cadre réglementaire avec cette nouvelle mouture.
La directive européenne NIS 2 établit un cadre juridique unifié pour défendre la cybersécurité dans 18 secteurs critiques au sein de l’Union européenne. Elle invite également les États membres à définir des stratégies nationales en matière de cybersécurité et à collaborer avec l’UE en vue d’une réaction et d’une application transfrontières. Cette nouvelle directive, transposée dans le droit français par le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, vise à augmenter le niveau de cybersécurité dans toute l’Union européenne, des tissus économique et administratif des pays membres. Cette régulation étend les règles de cybersécurité à de nouveaux secteurs et entités afin de renforcer la résilience de nos sociétés face aux cyber-attaques. Pour ce faire, Bruxelles a scindé les organisations concernées en deux catégories : les entités essentielles et les entités importantes.
Quelles collectivités territoriales sont concernées ?
Le Sénat a clarifié la liste des entités publiques concernées par la directive. Toutes les grandes collectivités sont concernées. Le Sénat a cependant exclu les communautés d’agglomération ne comprenant pas au moins une commune de plus de 30 000 habitants du périmètre des entités essentielles, comme le défendait l’AMF.
Périmètre d’application des obligations cyber
Entités essentielles
- Régions, départements et communes de plus de 30 000 habitants.
- Communautés urbaines, métropoles, communautés d’agglomération comprenant au moins une commune de plus de 30 000 habitants et syndicats dont les activités s’inscrivent dans des secteurs critiques et dont la population est supérieure à 30 000 habitants.
- Services départementaux d’incendie et de secours (SDIS) et centres de gestion.
- Institutions et organismes interdépartementaux dont les activités s’inscrivent dans des secteurs critiques.
- Opérateurs publics essentiels (régies d’eau, d’assainissement, de production d’énergie renouvelable, de bornes de recharge électriques, …).
Entités importantes
- Communautés d’agglomération ne comprenant pas au moins une commune de plus de 30 000 habitants.
- Communautés de communes et leurs établissements publics administratifs dont les activités s’inscrivent dans des secteurs critiques.
- Établissements publics à caractère industriel et commercial et régies dotées de l’autonomie financière opérant dans des secteurs critiques ou employant au moins 50 personnes ou dont bilan annuel excède 10 millions d’euros.
Au total, se sont 1 489 collectivités territoriales / EPCI (entités essentielles) et 992 communautés de communes (entités importantes) métropolitaines et d’outre-mer qui devraient être ainsi concernées par ces nouvelles règles en matière de cybersécurité. La ministre déléguée chargée de l’Intelligence artificielle et du Numérique, Clara Chappaz, auditionnée en janvier dernier devant les sénateurs, précise que « l’immense majorité des communes ne seront concernées que par leur intercommunalité de rattachement ».
Quelles conséquences pour les collectivités territoriales ?
Dans ce contexte européen, le périmètre des secteurs régulés par NIS 2 recouvre certaines compétences dévolues aux collectivités territoriales. C’est le cas notamment des secteurs des transports (aériens, ferroviaires, par eau et routiers), de la santé, de l’eau potable, des eaux usées, de l’énergie, de la gestion des déchets et plus généralement de l’administration publique.
Les collectivités seront donc amenées à renforcer leur cybersécurité dans l’ensemble de ces secteurs clefs en se conformant à la directive NIS 2 telle que transposée dans le droit français. Les entités devront mettre en place des mesures juridiques, techniques et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d’information. Concernant les obligations, les collectivités devront, à minima, partager des informations cyber, déclarer les incidents et mettre en place une gestion des risques.
Accompagnement et budget
Face aux défis humain, technique et financier que soulève la mise en œuvre de la directive pour les territoires, les sénateurs ont inscrit leur accompagnement dans le texte. Le nouvel article imposant la définition d’une stratégie nationale de cybersécurité inclura ainsi « les modalités de soutien aux collectivités territoriales et à leurs groupements ». L’Agence nationale de la sécurité des systèmes d’information (ANSSI) va, en parallèle, mettre à la disposition des collectivités des guides et des outils via son site internet afin de les accompagner dans le déploiement de cette nouvelle réglementation.
Selon les prévisions budgétaires, les structures concernées devront consacrer environ 10 % de leur budget informatique à la cybersécurité pour remplir les nouvelles obligations attribuables à la directive NIS 2.
Sanctions
Il revient aux États membres de déterminer le régime des sanctions applicables aux violations de la directive NIS 2. Pour l’heure, dans la première version du projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité, le Sénat entérine la dispense de sanctions financières des collectivités en cas de manquement à leurs obligations de sécurisation des systèmes d’information. La ministre Clara Chappaz a également annoncé une période de transition de trois ans – à compter de l’entrer en vigueur de NIS 2 – ceci afin de laisser le temps aux différentes structures d’effectuer les ajustements nécessaires. Les débats doivent maintenant se poursuivent à l’Assemblée nationale. Dans ce contexte, OpenDataFrance restera attentif aux évolutions à venir et aux regards portés par les différents acteurs.
Et l’écosystème français de la cybersécurité dans tout ça ? – Focus sur le Campus Cyber
Projet initié par l’État et inauguré en février 2022, le Campus Cyber, situé dans le quartier de la Défense en région parisienne, vise à rassembler dans un même lieu les principaux acteurs nationaux et internationaux de la cybersécurité en y accueillant des services de l’État (ministère de l’Intérieur, ministère des armées, ANSSI , INRIA), des entreprises (dont Airbus, Orange, Capgemini, Atos, Sopra-Steria et Thales), des startups, des organismes de formation, des acteurs de la recherche et des associations.
Ce projet a pour objectif de fédérer un écosystème en matière de cybersécurité afin de mieux protéger la société tout en renforçant les synergies entre les forces vives de la cybersécurité française. In fine, il s’agit de favoriser le partage et la mutualisation d’outils, de compétences et de données entre les acteurs de l’écosystème cyber, de renforcer la sensibilisation et la formation pour contribuer à résoudre le déficit d’experts dans le domaine et d’accompagner l’innovation publique et privée pour concourir au développement de la filière industrielle de cybersécurité.
Un deuxième site de taille équivalente doit ouvrir sur le plateau de Satory à Versailles, pour pouvoir travailler sur des projets plus gourmands en espace comme la sécurité des véhicules connectés, des drones ou des chaînes de montage. Enfin, le Campus Cyber est également implanté à l’échelle régionale via le programme Campus Cyber territoriaux visant à créer un maillage intra-territorial sur l’ensemble du territoire français. En 2025, quatre Campus Cyber régionaux ont été créés, chacun implanté dans quatre régions françaises différentes (Hauts-de-France, Nouvelle-Aquitaine, Bretagne et Normandie).
Après avoir lancé le projet, Michel Van Den Berghe, président du Campus Cyber, a cédé sa place depuis quelques semaines à Jeoffrey Célestin-Urbain, son successeur.