Question de Mme HAVET Nadège (Finistère - RDPI) publiée le 17/10/2024
Mme Nadège Havet appelle l'attention de Mme la secrétaire d'État auprès du ministre de l'enseignement supérieur et de la recherche, chargée de l'intelligence artificielle et du numérique sur la nécessaire adaptation des règles de transposition de la directive sur la sécurité des réseaux et des systèmes d'information dite « NIS 2 » pour les collectivités territoriales.
La directive européenne du 14 décembre 2022 dite « NIS 2 » doit permettre d'élever le niveau global de cybersécurité par l'application de règles harmonisées et simplifiées.
Elle prévoit ainsi de nouvelles exigences et invitent de nombreuses entités économiques et administratives à déployer et renforcer leurs moyens de cyberdéfense.
Alors que la première réglementation européenne en la matière concernait seulement 300 entités qualifiées d'« opérateurs de services essentiels », la directive « NIS 2 » qui doit prochainement être transposée vise désormais les administrations publiques.
En conséquence, certaines mesures nouvelles seront applicables aux collectivités suscitant de la part des élus concernés des inquiétudes légitimes.
Dans son projet d'étude d'impact, l'agence nationale de la sécurité des systèmes d'information (ANSSI) estime à près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle, concernés au titre des entités essentielles, et près de 1 000 communautés de communes métropolitaines et d'outre-mer, au titre des entités importantes. Certains n'ayant pas encore conscience de ces nouvelles règles, une transposition rapide et in extenso du texte européen serait fortement dommageable.
Alors qu'un rapport a été présenté par la commission supérieure du numérique et des postes à ce sujet au début du mois d'octobre, avec des propositions qui se veulent adaptées aux réalités locales et aux attentes des acteurs, elle demande au Gouvernement de prendre le temps d'envisager un accompagnement spécifique, technique et financier des collectivités territoriales les moins avancées sur la question de lutte contre les cyberattaques et de prévoir un délai de mise en conformité soutenable.
- page 4033
Transmise au Premier ministre
Réponse du Premier ministre publiée le 29/05/2025
L'extension de la cybercriminalité fait partie des phénomènes de fond observés par l'Agence nationale de sécurité des systèmes d'information (ANSSI). Cette extension se fait notamment au détriment de victimes moins bien protégées, en particulier les petites et moyennes entreprises, les collectivités territoriales et les établissements publics. En 2024, l'ANSSI a ainsi traité 218 incidents affectant les collectivités territoriales, soit une moyenne de 18 incidents par mois. Ces attaques informatiques peuvent avoir des conséquences graves à l'échelle d'une collectivité, affecter de multiples activités et de nombreux citoyens. Le Gouvernement a donc fait le choix d'exploiter les possibilités offertes par la directive NIS 2 et sa transposition en droit national en incluant une partie des collectivités territoriales dans le champ d'application du texte. Au-delà des conseils régionaux que la directive européenne intègre explicitement dans la catégorie des entités essentielles, les collectivités locales sont incluses selon une logique de proportionnalité, dès lors qu'elles présentent une sensibilité particulière. Cette sensibilité s'apprécie au regard des effets possibles d'une attaque sur la population. Pour autant, les communes de moins de 30 000 habitants demeurent en dehors du champ d'application directe et ne sont concernées que par le biais de leur rattachement à une intercommunalité. S'agissant des modalités d'entrée en vigueur de la loi, la question des mesures transitoires a été examinée par le Conseil d'État qui a conclu que la directive ne permet pas de transition. Néanmoins, l'ANSSI prévoit une mise en oeuvre progressive des différentes obligations et du régime de supervision mis en place. Un délai sera ainsi laissé aux acteurs pour se conformer à leurs nouvelles obligations. Du fait de leur nature distincte, les obligations seront mises en oeuvre à des rythmes différents. Les obligations d'enregistrement auprès de l'autorité nationale et de communication d'informations devront être mises en oeuvre au plus tard six mois après la publication des décrets d'application. L'ANSSI travaille à la mise à disposition d'une plateforme en ligne MonEspaceNIS2 qui facilitera l'enregistrement des entités régulées et une vaste campagne de communication auprès des collectivités territoriales sera mise en oeuvre pour les informer de l'entrée en application de cette réglementation. Concernant la mise en conformité avec les objectifs de sécurité de la directive, l'ANSSI est consciente des efforts financiers, humains, techniques et organisationnels que le respect de ces objectifs nécessitera. Elle adoptera une approche progressive dans les contrôles et ne prévoit pas de procédure de sanction dans les premiers temps de l'application du nouveau régime. Pour accompagner leur mise en oeuvre, les objectifs de sécurité seront déclinés dans un référentiel décrivant les mesures recommandées par l'ANSSI pour les atteindre. Ces mesures constitueront des moyens acceptables de mise en oeuvre. Chaque entité pourra choisir d'appliquer les mesures telles que décrites dans le référentiel et ainsi bénéficier d'une présomption de conformité, ou d'opter pour une approche qui lui est propre, en fonction de la spécificité de son système d'information et de son profil de risque. Le référentiel de mesures proposera, sans l'imposer, une logique de priorisation par bloc afin de guider et d'aider les entités régulées dans leur sécurisation. Enfin, l'ANSSI définit actuellement avec les parties prenantes la stratégie d'accompagnement des futures entités régulées. Elle se déclinera à plusieurs niveaux : une offre de services spécifiques proposée par l'administration, dont deux services sont déjà actifs (MonEspaceNIS2 ; MonAideCyber), la mise en place de relais dans les territoires, un appui en termes d'expertise aux programmes d'aide cyber portés par l'écosystème.
- page 2703
Page mise à jour le