Transposition de NIS 2, un accouchement au forceps

C’est tout l’objet du projet de loi actuellement en discussion. Il vise à renforcer la protection des infrastructures en établissant une architecture commune de sécurité et de résilience à l’échelle européenne. Il distingue deux types d’entités : essentielles et importantes, selon leur criticité et leur taille. Près de 2 000 entreprises privées seraient considérées comme « essentielles ».

Rappelons au passage qu’en 2023, 4 386 incidents de sécurité ont été traités (+15 % par rapport à 2022).

Les principales menaces proviennent de la cybercriminalité systémique et d’acteurs liés à des États (notamment Russie et Chine). 10 % des communes de moins de 25 000 habitants ont subi une attaque au cours de l’année écoulée, l’hameçonnage représentant 30 % des cas. Les conséquences - interruption de services, perte ou vol de données, préjudices financiers - touchent directement les usagers (retards de versements, blocage d’inscriptions, etc.).

Une enquête de l’ANSSI (juin 2024) a évalué le coût moyen d’une cyberattaque à 466 000 € pour une TPE/PME, 13 millions € pour une ETI et 135 millions € pour une grande entreprise. Une autre étude révèle que 61 % des PME se jugent faiblement protégées face au risque cyber, évoquant le manque de temps, de moyens et de compétences.

Environ 80 organisations professionnelles et associations d’élus ont été auditionnées depuis septembre 2023.

Passons en revue les sujets critiques.

Éviter une mauvaise transposition de la directive
Il importe de trouver un équilibre du texte, à savoir se garde de deux écueils : une « surtransposition administrative » et une multiplication de référentiels contradictoires.

Sur le plan législatif, les seuils définissant les entités importantes et essentielles relèvent directement de la directive européenne (dite « REC » ou NIS 2). Leur inscription dans la loi française vise surtout la clarté, mais il faut éviter les surtranspositions. Certaines personnes auditionnées plaident pour l’adoption comme base de la famille des normes ISO 27000 (notamment ISO 27001 et ISO 27002) déjà largement utilisées dans l’Union européenne. Cela étant, la norme ISO 27001, souvent citée comme référence, est jugée trop coûteuse et complexe pour les PME, selon l’ANSSI.

Quel équilibre entre ANSSI (NIS 2) et CNIL (RGPD) ?
En réalité, les référentiels de l’ANSSI sont déjà utilisés par la CNIL au quotidien pour assurer la cohérence de leurs interventions. Deux sujets méritent toute notre attention, à savoir la notification des incidents et le régime juridique des sanctions.

Sur la notification des incidents, il importe d’éviter la surcharge de notifications à l’ANSSI. Le délai de 24 heures prévu par la directive est jugé trop court pour mener des investigations fiables. Plusieurs intervenants suggèrent un délai de 72 heures, comme pour les notifications à la CNIL en cas de fuite de données personnelles.

Sur le régime juridique des sanctions, quels sont les chiffres clés de l’activité répressive de la CNIL ? 88 sanctions ont été prononcées pour 55 millions d’euros, dont 70 en procédure simplifiée (amendes jusqu’à 20 000 €). Le principe de non bis in idem doit être préservé, c’est-à-dire qu’il convient d’éviter la double sanction lorsqu’un même manquement enfreint à la fois la directive NIS 2 et le RGPD. Dans ce cas, seule la CNIL pourra infliger une sanction financière, avec un plafond plus élevé que celui prévu par NIS 2.

Si une entité commet deux manquements distincts, l’un relevant du RGPD et l’autre de NIS 2, le principe non bis in idem ne s’applique pas, et des procédures séparées peuvent avoir lieu. Cette logique de non-cumul est cohérente avec la directive NIS 2, qui reconnaît la primauté du RGPD dans les cas de recoupement entre les deux cadres juridiques.

Plusieurs amendements ont été acceptés, notamment celui concernant la nécessité d’inscrire explicitement dans la loi le principe du contradictoire lors des procédures menées par la commission des sanctions. Ce principe, essentiel à la protection des droits de la défense, garantit que les entreprises concernées puissent faire valoir leurs arguments avant toute sanction, notamment celles pouvant atteindre jusqu’à 2 % de leur chiffre d’affaires annuel mondial.

Traitement différencié privé/public : faut-il dispenser les entités publiques de sanctions ?
L’article 8 du projet de loi qualifie d’entités essentielles les régions, départements, communes de plus de 30 000 habitants et leurs établissements publics administratifs exerçant des activités critiques, ainsi que les communautés urbaines, d’agglomération (avec au moins une commune > 30 000 habitants) et les métropoles. L’article 9, quant à lui, définit comme entités importantes les communautés d’agglomération plus petites, les communautés de communes et leurs établissements publics administratifs.

Les collectivités territoriales reçoivent des informations sensibles et doivent être responsabilisées au même titre que les entreprises, notamment en matière de cybersécurité et de RGPD.

En ce qui concerne les sanctions applicables aux collectivités, certains estiment qu’elles sont indispensables pour garantir l’efficacité du dispositif. D’autres pensent qu’une approche coopérative et corrective (plans de remédiation, accompagnement) pourrait suffire. La CNIL semble privilégier une logique de mise en conformité plutôt que punitive, tout en conservant la possibilité de sanctions lorsque cela s’avère nécessaire.

Exclure les collectivités territoriales, établissements publics et administrations du régime de sanctions introduit par la directive européenne NIS 2 crée une inégalité injustifiée. Selon eux, une cyberattaque frappe sans distinction, et la directive prévoit des sanctions effectives et dissuasives pour toutes les entités, publiques comme privées. L’absence de sanction affaiblirait selon eux la résilience nationale en matière de cybersécurité.

D’autres estiment que la logique de sanction financière n’est pas adaptée aux collectivités, qui travaillent pour l’intérêt général. La rapporteure souligne qu’une mauvaise publicité, liée à la divulgation d’un manquement, serait plus dissuasive qu’une amende budgétairement absorbable. La commission a rejeté les amendements imposant des sanctions aux acteurs publics, privilégiant une approche différenciée et pédagogique pour renforcer la sécurité sans alourdir les contraintes des collectivités. C’est le gouvernement qui tranchera en définitive.

Le président de la commission propose une gradation : en cas de manquement, une injonction de remédiation est d’abord émise, puis, en cas d’inaction, une sanction financière proportionnée pouvant aller jusqu’à 10 millions d’euros. Le rapporteur soutient cette approche équilibrée qui responsabilise les collectivités sans automaticité dans la sanction, tout en respectant le principe de proportionnalité.

Les établissements de santé explicitement qualifiées d’entités essentielles
Deux amendements ont été adoptés ayant pour objet d’inclure explicitement les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux parmi les entités essentielles visées par la directive NIS 2. Cette précision était nécessaire, nous dit-on pour lever toute ambiguïté car ces structures ne se considèrent pas comme des entreprises au sens de l’analyse de l’ANSSI.

Chiffrement et « utilisateur fantôme »
L’article 16bis du projet de loi vise à reconnaître et encadrer le rôle essentiel de la cryptographie dans la sécurité numérique nationale.

Cet article constitue une avancée importante en affirmant le refus des « backdoors » (portes dérobées) dans les systèmes de chiffrement, garantissant ainsi que la cybersécurité française ne soit pas affaiblie par rapport à d’autres pays.

Soulignons la nécessité d’anticiper l’arrivée inévitable des ordinateurs quantiques, capables de casser les systèmes actuels. L’ANSSI pourrait prochainement exiger que tout produit certifié mette en œuvre du chiffrement hybride (classique et post‑quantique) pour maintenir sa certification.

L’autre point de vigilance réside dans la notion d’« utilisateur fantôme », mécanisme par lequel un acteur pourrait intercepter les communications des utilisateurs. L’introduction de cet acteur contournerait ces garanties, affaiblissant la sécurité de tous les utilisateurs et compromettant la confiance dans les systèmes de messagerie. Scientifiquement, il est aujourd’hui impossible d’offrir un accès sélectif sans fragiliser l’ensemble du système. La communauté scientifique reste en effet unanime depuis des décennies sur l’impossibilité d’ouvrir des messages chiffrés sans affaiblir la sécurité globale. Cette contrainte introduirait une vulnérabilité structurelle : toute « porte dérobée », même justifiée par la lutte contre la criminalité, compromettrait la sécurité globale du chiffrement. Il faut donc conserver l’article 16bis.

La nécessité d’une mise en œuvre rapide
La majorité des acteurs auditionnés demande la simplification du recours à des décrets et une anticipation des textes d’application pour assurer une meilleure visibilité avant le déclenchement des délais d’application. Les retards dans la publication des décrets (Cf. exemple de la loi SREN) inquiètent.

Les dernières auditions datent du 10 septembre 2025 et depuis, les travaux semblent ne pas avancer. Espérons que l’instabilité politique ne freinera pas l’adoption d’un projet de texte hautement stratégique.