| Philippe Latombe | Législation | Divers Vu 2358 fois
Article N°28619
Le député Philippe Latombe communique - NIS 2 : ce que veulent les députés Article JDN
Adopté par le Sénat le 12 mars dernier, le projet de loi relatif à la résilience des infrastructures et au renforcement de la cybersécurité arrive à l'Assemblée nationale.
Article de Pascal Coillet-Matillon JDN• 26 mars 2025
Article de Pascal Coillet-Matillon JDN• 26 mars 2025
https://www.journaldunet.com/cybersecurite/1540391-nis-2-ce-que-veulent-les-deputes/
Loin d'être une formalité, le prochain vote (avant l'été) du projet de loi relatif à la résilience des infrastructures et au renforcement de la cybersécurité par les députés suscite déjà de vifs débats. Celui-ci transpose trois textes européens clés : la directive REC (résilience des entités critiques), la directive accompagnant le règlement DORA (digital operational resilience act) et la directive NIS 2 (network and information security). Il marque donc une transformation majeure pour la cybersécurité française. Toutefois, comme au Sénat, c'est sur NIS 2 que le Palais Bourbon braque les projecteurs.
Elargissant le périmètre de la directive NIS 1 de 2016, la transposition de NIS 2 augmentera sensiblement le nombre d'entités devant rehausser leur niveau de cybersécurité. Selon les estimations, celles-ci seraient environ 15 000 à être concernées (chaînes d'approvisionnement, 1500 collectivités locales, moyennes et grandes entreprises, etc.) contre 500 auparavant. Désormais, ce sont 18 secteurs qui sont visés (santé, services postaux, recherche, etc.).
Si la directive est bien accueillie par les parlementaires, c'est "le manque de clarté quant à la mise en œuvre de la loi de transposition" qui les inquiète, nous confie le sénateur Olivier Cadic (groupe union centriste), président de la commission spéciale qui a été chargée d'examiner le projet législatif au palais du Luxembourg.
Décrets, zones floues : un texte encore trop imprécis
S'étant efforcé de "préciser" ce texte initialement "très léger", le sénateur est inquiet du recours important aux décrets que la loi nécessite (pas moins de 34). La raison est simple : plus la loi est appliquée par des décrets qui se font attendre, plus celle-ci laisse dans l'incertitude de nombreuses organisations.
Par exemple, bien que le projet législatif précise clairement les collectivités locales "essentielles" concernées (celles de plus de 30 000 habitants), les entreprises restent suspendues à la publication d'un décret pour savoir si elles font partie des entités visées par NIS 2. Et pour cause, même si le projet de loi définit certains critères (secteurs "hautement critiques", taille de l'entreprise, etc.), c'est un décret qui doit déterminer les sous-secteurs et les types d'entités visés.
Même son de cloche du côté de l'Assemblée nationale. Reconnaissant un "très bon boulot" de la part du Sénat, le député Philippe Latombe (Modem), particulièrement investi dans le droit du numérique, nous explique qu'il faut "pousser plus loin" l'effort de précision du texte. Selon lui, cela permettrait de garantir davantage de clarté aux organisations concernées en s'assurant que "les décrets ne fassent pas n'importe quoi" et en évitant que "le gouvernement garde la main administrativement".
L'industrie cyber française mise de côté
Elargissant le périmètre de la directive NIS 1 de 2016, la transposition de NIS 2 augmentera sensiblement le nombre d'entités devant rehausser leur niveau de cybersécurité. Selon les estimations, celles-ci seraient environ 15 000 à être concernées (chaînes d'approvisionnement, 1500 collectivités locales, moyennes et grandes entreprises, etc.) contre 500 auparavant. Désormais, ce sont 18 secteurs qui sont visés (santé, services postaux, recherche, etc.).
Si la directive est bien accueillie par les parlementaires, c'est "le manque de clarté quant à la mise en œuvre de la loi de transposition" qui les inquiète, nous confie le sénateur Olivier Cadic (groupe union centriste), président de la commission spéciale qui a été chargée d'examiner le projet législatif au palais du Luxembourg.
Décrets, zones floues : un texte encore trop imprécis
S'étant efforcé de "préciser" ce texte initialement "très léger", le sénateur est inquiet du recours important aux décrets que la loi nécessite (pas moins de 34). La raison est simple : plus la loi est appliquée par des décrets qui se font attendre, plus celle-ci laisse dans l'incertitude de nombreuses organisations.
Par exemple, bien que le projet législatif précise clairement les collectivités locales "essentielles" concernées (celles de plus de 30 000 habitants), les entreprises restent suspendues à la publication d'un décret pour savoir si elles font partie des entités visées par NIS 2. Et pour cause, même si le projet de loi définit certains critères (secteurs "hautement critiques", taille de l'entreprise, etc.), c'est un décret qui doit déterminer les sous-secteurs et les types d'entités visés.
Même son de cloche du côté de l'Assemblée nationale. Reconnaissant un "très bon boulot" de la part du Sénat, le député Philippe Latombe (Modem), particulièrement investi dans le droit du numérique, nous explique qu'il faut "pousser plus loin" l'effort de précision du texte. Selon lui, cela permettrait de garantir davantage de clarté aux organisations concernées en s'assurant que "les décrets ne fassent pas n'importe quoi" et en évitant que "le gouvernement garde la main administrativement".
L'industrie cyber française mise de côté
Autre sujet de friction : de nombreux députés craignent que NIS 2 pousse les entités concernées à privilégier des solutions étrangères pour renforcer leur cybersécurité. Ce qui aurait pour conséquence de rendre leurs données plus vulnérables à l'espionnage étranger, selon le député Aurélien Lopez (RN), président du Groupe d'études économie, sécurité et souveraineté numériques à l'Assemblée Nationale. Pour lui, "tous les efforts de cybersécurité que vont supporter nos collectivités, nos hôpitaux, nos entreprises doivent profiter avant tout à l'industrie cyber européenne et française".
Philippe Latombe partage ce constat. C'est pourquoi il plaide pour la création d'une "Base industrielle et technologique de cybersécurité (BITC)" sur le modèle de celle qui existe pour la défense (BITD). Selon lui, il existe une volonté transpartisane de modifier le texte pour favoriser le recours aux solutions françaises de cybersécurité dans la poursuite des objectifs de NIS 2.
Aurélien Lopez nous a confirmé cette information en ajoutant que le Groupe d'études qu'il dirige prévoit d'organiser des auditions pour préparer des amendements en ce sens. Selon lui, l'ambition de certains de ses collègues est de copier le modèle du label SecNumCloud pour l'introduire dans le projet de transposition. Cela permettrait que les entités concernées par NIS 2 ne puissent avoir recours à des solutions de cybersécurité soumises aux lois extraterritoriales.
Cependant, Philippe Latombe tempère : il conseille d'adopter une approche "graduelle" laissant le temps à l'industrie cyber française de produire les solutions nécessaires pour la conformité des entités à NIS 2. Dans ces conditions, des solutions étrangères homologuées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pourraient être utilisées à titre provisoire jusqu'à leur substitution par des produits français.
En outre, le député Modem ne cache pas son inquiétude de voir ces amendements être censurés par le Conseil constitutionnel. Et pour cause, n'ayant qu'un lien partiel avec le texte examiné, ils pourraient être qualifiés de cavaliers législatifs.
Manque de cohérence européenne
A l'instar d'Olivier Cadic, certains parlementaires pensent par ailleurs que le projet de transposition accorde une trop grande place à l'ANSSI dans la mise en œuvre des objectifs de NIS 2. Résultat : "On a perdu la vision européenne de la directive", nous explique le sénateur. Selon lui la preuve se trouve dans le contrôle de conformité d'une entité à NIS 2 que le projet de loi prévoit.
Alors qu'en Belgique une organisation est réputée conforme à la directive quand elle détient la certification internationale ISO 27001, le projet français prévoit l'élaboration par l'ANSSI d'une certification propre à la France, "un label NIS 2 français qui ne s'inscrit pas dans la vision européenne de la directive", estime Olivier Cadic. Analyse partagée par Philipe Latombe, pour lequel les députés devront "aplanir les fragmentations" au profit d'une plus grande "cohérence européenne".
Philippe Latombe partage ce constat. C'est pourquoi il plaide pour la création d'une "Base industrielle et technologique de cybersécurité (BITC)" sur le modèle de celle qui existe pour la défense (BITD). Selon lui, il existe une volonté transpartisane de modifier le texte pour favoriser le recours aux solutions françaises de cybersécurité dans la poursuite des objectifs de NIS 2.
Aurélien Lopez nous a confirmé cette information en ajoutant que le Groupe d'études qu'il dirige prévoit d'organiser des auditions pour préparer des amendements en ce sens. Selon lui, l'ambition de certains de ses collègues est de copier le modèle du label SecNumCloud pour l'introduire dans le projet de transposition. Cela permettrait que les entités concernées par NIS 2 ne puissent avoir recours à des solutions de cybersécurité soumises aux lois extraterritoriales.
Cependant, Philippe Latombe tempère : il conseille d'adopter une approche "graduelle" laissant le temps à l'industrie cyber française de produire les solutions nécessaires pour la conformité des entités à NIS 2. Dans ces conditions, des solutions étrangères homologuées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pourraient être utilisées à titre provisoire jusqu'à leur substitution par des produits français.
En outre, le député Modem ne cache pas son inquiétude de voir ces amendements être censurés par le Conseil constitutionnel. Et pour cause, n'ayant qu'un lien partiel avec le texte examiné, ils pourraient être qualifiés de cavaliers législatifs.
Manque de cohérence européenne
A l'instar d'Olivier Cadic, certains parlementaires pensent par ailleurs que le projet de transposition accorde une trop grande place à l'ANSSI dans la mise en œuvre des objectifs de NIS 2. Résultat : "On a perdu la vision européenne de la directive", nous explique le sénateur. Selon lui la preuve se trouve dans le contrôle de conformité d'une entité à NIS 2 que le projet de loi prévoit.
Alors qu'en Belgique une organisation est réputée conforme à la directive quand elle détient la certification internationale ISO 27001, le projet français prévoit l'élaboration par l'ANSSI d'une certification propre à la France, "un label NIS 2 français qui ne s'inscrit pas dans la vision européenne de la directive", estime Olivier Cadic. Analyse partagée par Philipe Latombe, pour lequel les députés devront "aplanir les fragmentations" au profit d'une plus grande "cohérence européenne".
Philippe LATOMBE
Réagissez, commentez !
- Aucun commentaire pour l'instant