Mercredi 12 mars 2025, le Sénat a adopté, en première lecture, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Le texte a été transmis à l'Assemblée nationale.
Pourquoi ce texte ?
Les attaques par rançongiciel ont augmenté de 30 % entre 2022 et 2023. La cybermenace n’épargne plus aucun secteur de la vie économique et sociale : 34 % de ces attaques visaient des TPE/PME, 24 % des collectivités territoriales, 10 % des entreprises stratégique, 10 % des établissements de santé et 9 % des établissements d’enseignement supérieur.
Ce phénomène a conduit l’Union européenne à adopter, en 2022, trois directives européennes, que le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a pour objet de transposer :
- la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC »
- la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, dite « NIS2 »
- la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».
La transposition en droit national de la directive REC consistera essentiellement en une actualisation du dispositif de sécurité des activités d’importance vitale (SAIV) en place depuis 2006, et actera le passage d’une logique de protection des infrastructures d’importance vitale à une approche axée sur la résilience.
Concrètement, pour la France, cette transposition se traduira notamment par un élargissement du champ d’application du dispositif national actuel à plusieurs sous-secteurs, notamment les réseaux de chaleur et de froid, l’hydrogène et l’assainissement.
La transposition de la directive NIS2 conduira à un changement majeur de paradigme : il s’agira non plus seulement, comme avec la directive NIS1, de sécuriser des infrastructures critiques (environ 500), mais aussi d’assurer la résilience de quelque 15 000 entités « essentielles » ou « importantes », en tant qu’organisations, et de l’ensemble de leurs systèmes d’information dans la lutte contre les cyberattaques.
Le projet de loi fait en outre le choix d’inclure dans la transposition près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle.
La transposition de la directive DORA permettra un encadrement plus rigoureux du secteur financier, cible de choix des cyberattaques.
Les apports du Sénat
La commission spéciale du Sénat, constituée en novembre 2024 en raison de l'intérêt transversal du projet de loi, a estimé tout-à-fait bienvenue la transposition de ces trois directives. Elle a notamment considéré que le choix d’inclure dans la transposition de la directive NIS2 un grand nombre de collectivités territoriales et les établissements d’enseignement supérieur est ambitieux mais nécessaire.
Le projet de loi a néanmoins été modifié par la commission spéciale, puis en séance publique afin :
- de compléter et d'encadrer les définitions et délais d’application ;
- de clarifier les obligations pesant sur les entités assujetties ;
- d’éviter des différences de traitement injustifiées entre les entreprises ;
- de simplifier la vie des entreprises ;
- de modérer les effets de surtranspositions.