NIS 2 / source : ZDnet.fr
L’examen à l’Assemblée nationale de la transposition de la directive NIS2, texte capital pour le renforcement de la cybersécurité, est désormais attendu pour le mois de juillet. En attendant, l’Anssi pousse les organisations concernées à anticiper la future réglementation…
Triste anniversaire. Il y a maintenant plus d’un an, le 12 mars 2025, le projet de loi « Résilience » était adopté par le Sénat. Les élus de la Chambre-haute renvoyaient le dossier à leurs collègues députés. Ces derniers planchaient alors sur un examen en septembre du texte transposant en France la directive européenne NIS (Network and information security) 2.
Depuis, pas grand chose. Et il va peut-être falloir attendre encore longtemps. Selon le programme législatif transmis par le gouvernement aux parlementaires à la mi-février, l’examen du texte est désormais prévu pour juillet 2026, sous réserve de la convocation d’une session extraordinaire.
En attendant, l’Anssi encourage les organisations concernées à « s’engager sans attendre, dans une démarche de sécurisation cohérente avec NIS 2 ».
L’agence a ainsi présenté le « Référentiel Cyber France », un document qui « liste les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS 2 et qui oriente sur la mise en œuvre de bonnes pratiques ».
« Un tel calendrier reporte de plusieurs mois encore l’adoption de ce texte, si toutefois il est examiné avant l’été 2026 », déplore dans un communiqué la Commission supérieure du numérique et des postes (CSNP). « Alors que les cyberattaques visant nos entreprises, administrations publiques et collectivités territoriales se multiplient et gagnent en intensité, la France ne peut plus se permettre de demeurer sans un cadre réglementaire adapté », déplore cette commission parlementaire.
Deux parlementaires, le sénateur Olivier Cadic (Union centriste) et le député Philippe Latombe (Les démocrates), estiment que les pouvoirs publics rechignent à examiner le texte à cause d’une de ses dispositions. Adoptée au Sénat à l’initiative du premier, cette dernière vise à empêcher la mise en place de portes dérobées à des fournisseurs de services de chiffrement.
Une observation partagée par la Commission supérieure du numérique et des postes. « Un tel désaccord politique ne saurait justifier de retarder volontairement l’adoption d’un texte aussi essentiel pour la sécurité numérique de notre pays », relève-t-elle.
Le retard dans la transposition du texte tient toutefois également beaucoup à l’instabilité gouvernementale. A l’Assemblée, son examen était en effet programmé les 22, 23 et 24 septembre, un calendrier annulé après la chute du gouvernement Bayrou. Si l’on remonte plus loin, le projet de loi avait subi ses premiers retard avec la dissolution de juin 2024.
Quoiqu’il en soit, rappelle aujourd’hui la CSNP le retard pris dans la transposition de NIS 2 « fragilise notre écosystème numérique ». Ce retard à l’allumage place également la France dans la catégorie des mauvais élèves européens.
Au 1er janvier, rappelle cette commission parlementaire, 20 États membres sur 27 ont « déjà procédé à la transposition de la directive ».
Une situation « paradoxale », relève-t-elle. La France s’est en effet « historiquement positionnée parmi les États moteurs de l’Union européenne en matière de cybersécurité et de régulation du numérique ».
La transposition de NIS 2 doit traduire par de nouvelles obligations pour environ 15 000 organisations de 18 secteurs d’activité, de la santé à l’énergie en passant par la gestion des déchets.
Classées comme « importantes » ou « essentielles », elles devront muscler leurs défenses. Mais également mettre en place des mesures de gestion des risques adaptées. Ou encore enfin déclarer leurs incidents de sécurité à l’Anssi.
Retrouvez notre revue de presse dans la rubrique actualités !