II. UN PROJET DE LOI ENFIN BIENVENU MAIS DONT LES MODALITÉS DE TRANSPOSITION NÉCESSITENT DES PRÉCISIONS
A. UNE TRANSPOSITION TARDIVE MAIS SUR LAQUELLE LES PARTIES PRENANTES S'ESTIMENT PEU CONSULTÉES
La transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024 mais les circonstances politiques auront conduit à surmonter une dissolution de l'Assemblée nationale entre l'annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, puis une censure gouvernementale avant l'audition de Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique, le 27 janvier 2025.
Au total, la commission spéciale aura organisé sept réunions publiques entre le 17 décembre 2024 et le 11 février 2025 : deux auditions de responsables publics - outre la ministre précitée, M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), et cinq tables rondes, avec les organisations professionnelles, des représentants des entreprises cyber, les associations d'élus, les autorités de régulation financière et des acteurs de la cyberdéfense. Cette séquence aura été la contribution de la commission spéciale à une meilleure sensibilisation et à une meilleure information du public sur l'effort de résilience et de lutte contre les attaques cyber à engager.
Paradoxalement, bien que l'ANSSI ait indiqué avoir conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d'élus et quatre fédérations de collectivités territoriales - et en dépit d'une étude d'impact faisant plus de 900 pages -, l'ensemble des personnes entendues ont déploré un manque d'information et de concertation notamment sur les dispositions réglementaires d'application du projet de loi.
B. LE RISQUE QUE LA SOUSTRANSPOSITION LÉGISLATIVE N'ENGENDRE UNE SURTRANSPOSITION RÉGLEMENTAIRE
Les points d'attention portés à la connaissance de la commission spéciale ont principalement porté sur l'absence de transposition de certaines dispositions figurant dans les directives telles que des définitions de périmètre d'activité, d'incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative » avec le risque d'une « sur-transposition réglementaire » dont ni les acteurs concernés, ni la commission n'ont obtenu de précisions satisfaisantes de la part du Gouvernement. Ainsi le tableau synoptique des mesures d'application du projet de loi recense 40 renvois à la prise d'un décret en conseil d'État.
Signe que ce texte mobilise le Sénat dans son ensemble, la commission des affaires européennes, présidée par Jean-François Rapin, a effectué une communication sur les dispositions de transposition et d'adaptation prévues par ce projet de loi1(*), dont les observations ont été communiquées à l'ensemble des membres de la commission spéciale. L'observation principale concerne l'assujettissement des sociétés de financement aux obligations de la directive DORA, alors même que cela n'est pas prévu par la directive, cette surtransposition n'étant pas jugée préoccupante dans la mesure où ces entités peuvent constituer une porte d'entrée pour les cybermenaces. D'agissant des directives REC et NIS 2, la commission des affaires européenne ne constate « aucune surtransposition notable », tout en précisant que « les latitudes laissées à chaque État membre pour la transposition ont néanmoins été utilisées de façon extensive par la France ».
* 1 Communication de la commission des affaires européennes sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (13 février 2025).