Un projet de loi pour renforcer la cybersécurité déposé au Sénat

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité déposé au Sénat transpose trois directives européennes visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les cybermenaces. Deux d’entre elles concernent plus directement le domaine de la santé. En effet, dans un contexte sécuritaire tendu, les infrastructures les plus critiques, notamment liées à la santé, sont les plus menacées par les cyberattaques.

La directive REC
La première directive transposée porte sur la résilience des entités critiques (REC) et vise à améliorer la fourniture, au sein de l’Europe, de services essentiels au maintien de fonctions sociétales ou d’activités économiques vitales. Ces entités critiques, aussi appelées « opérateurs d’importance vitale » (OIV), rassemblent 11 secteurs d’activité : l’énergie, les transports, les banques, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux résiduaires, la production, la transformation et la distribution des denrées alimentaires, les infrastructures numériques, l’administration publique et l’espace. À noter que le dispositif de sécurité des activités d’importance vitale (SAIV) mis en place en France concerne plus de 300 opérateurs.
Le texte prévoit de standardiser la protection minimale des infrastructures critiques des États membres de l’Union et d’assurer une concurrence effectivement loyale entre les différents opérateurs européens. Selon le projet de loi, les OIV devront notamment réaliser une analyse des risques « à caractère terroriste, qui pourraient perturber l’exercice de leurs activités » afin d’adopter des mesures de résilience.
Ils devront également analyser « leurs dépendances à l’égard de tiers », notamment extranationaux, ainsi que « la vulnérabilité de leurs chaînes d’approvisionnement ». Il leur sera également demandé de notifier « les incidents susceptibles de compromettre la continuité de leurs activités […] ou de présenter un danger grave pour la population ou l’environnement ».

La directive NIS 2
En date du 14 décembre 2022, la directive NIS 2 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union constitue la deuxième directive transposée. Elle fait suite à la directive NIS 1 de 2016. Ces deux directives visent à augmenter le niveau de cybersécurité de ces mêmes entités dans l’Union, partant du constat selon lequel, si la menace de ces dernières années portait principalement sur les États, elle s’élargit aujourd’hui notamment aux PME, aux collectivités territoriales, aux hôpitaux… Le nombre de secteurs d’activité a donc été élargi avec cette directive. En France, le nombre d’entités concernées passerait ainsi de 500 à près de 15 000.
Les entités devront prendre les mesures techniques, opérationnelles et organisationnelles pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information. La mise en place d’un pilotage adapté de la sécurité des réseaux et systèmes d’information devra notamment comprendre la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques.
Le troisième texte concerne la résilience opérationnelle numérique du secteur financier.