Écrit le 23/10/2024
Au Conseil des ministres du 15 octobre 2024, le ministre de l’Economie, des Finances et de l’Industrie, le ministre de l’Enseignement supérieur et de la Recherche et la secrétaire d’Etat chargée de l’Intelligence artificielle et du Numérique, ont présenté un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Ce projet, qui transpose trois directives européennes, a été déposé sur le bureau du Sénat.
Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber. Il a été présenté en Conseil des ministres et déposé sur le bureau du Sénat le 15 octobre.
Ce projet de loi permettra à la France de transposer trois directives européennes adoptées le 14 décembre 2022 et dont le délai de transposition est arrivé à échéance le 17 octobre 2024.
- La Directive (UE) 2022/2557 sur la résilience des entités critiques (dite directive « REC »)
Cette directive vise à améliorer la fourniture de services essentiels au maintien et à la protection des infrastructures nécessaires au fonctionnement du marché intérieur européen. Pour ce faire, elle prévoit d’une part un standard de protection minimale des infrastructures critiques des Etats membres de l’Union, déjà recensées en 2008, et d’autre part une concurrence plus loyale entre ces différents opérateurs à l’échelle européenne. Ces entités considérées comme critiques relèvent de onze secteurs d’activité que sont : l'énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux résiduaires, la production, la transformation et la distribution des denrées alimentaires, les infrastructures numériques, l'administration publique et l'espace.
La France met déjà en œuvre un dispositif de sécurité des activités d’importance vitale (SAIV) qui compte plus de 300 opérateurs.
- La Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (dite directive « NIS2 »)
Portée par la France pendant sa présidence du Conseil de l’Union européenne, cette directive, prise dans le prolongement de la directive dite « NIS1 » de 2016, prévoit un niveau commun plus élevé de cybersécurité dans l’ensemble de l’Union européenne applicable aux entités qualifiées comme essentielles ou importantes et l’étend à de nouvelles entités.
Cet élargissement est une conséquence de l’évolution de la menace cyber ses dernières années, qui était principalement étatique et vise à présent un nombre beaucoup plus élevé de victimes (PME, collectivités territoriales, hôpitaux, etc.). En France, le nombre d’entités concernées par cette directive passerait ainsi de 500 à près de 15 000, et de 6 secteurs d’activité à 18.
3) Le Règlement (UE) 2022/2554 et la Directive (UE) 2022/2556 du 14 décembre 2022 concernant la résilience opérationnelle numérique du secteur financier accompagnant le du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier
Le Règlement Digital Operational Resilience Act (DORA) 1 établit des règles en matière de cybersécurité et de gestion des risques informatiques pour un grand nombre d'entités financières. Il entrera en application le 17 janvier 2025. Le règlement DORA est complété par des dispositions techniques inscrites dans une directive du même jour : la transposition de cette directive permet ainsi de clarifier les obligations du secteur financier et d’actualiser les références en droit interne.