7 recommandations sur le projet de loi de transposition de la Directive NIS2

Renaissance Numérique a été auditionné le mercredi 3 avril 2024 par la Commission Supérieure du Numérique et des Postes (CSNP), dans le cadre du groupe de travail sur la transposition de la directive NIS2, conduit par le sénateur Damien MICHALLET, président de la CSNP, et la députée Anne LE HENANFF.
Samuel Le Goff, Vice-président de Renaissance Numérique, et Rayna Stamboliyska, experte en cybersécurité, ont présenté une analyse détaillée et 7 recommandations que nous vous proposons de retrouver en intégralité et en téléchargement (ci-contre).

En résumé, Renaissance Numérique estime que la Directive NIS2 est un texte nécessaire et globalement bien écrit, dont la logique d’ensemble doit être conservée dans le droit français, sans surtransposition ou renvoi à des décrets, pour des dispositions qui peuvent être inscrites dans la loi. Le think tank appelle à ne pas transformer cette transposition en un objet politico-médiatique, en prenant des libertés avec le droit européen. L’expérience récente avec le projet de loi SREN montre que ce n’est pas une bonne idée.

Nous estimons que plusieurs points nécessitent une attention particulière, au-delà de l’écriture du texte législatif. Les nouvelles règles vont étendre très largement le champ des entités concernées par les obligations, ce qui va demander un accompagnement qu’il faut penser pour permettre une bonne application du nouveau cadre. Tout une culture de la sécurité est à mettre en place. Cela demande des conseils, de la bienveillance de la part du régulateur, mais également des moyens financiers, que toutes les entités n’ont pas toujours.

Renaissance Numérique recommande ainsi :

1. Sur le volet de la cybersécurité opérationnelle, à ce que la description de l’organisation, du point de vue de la cybersécurité, soit laissée à l’appréciation de l’organisation EE ou EI pour refléter la réalité opérationnelle.
2. L’addition d’un critère d’importance de l’incident qu’un incident non connu du Comité exécutif/Comité de direction n’est pas un incident significatif.
3. La cocréation de groupes de critères par secteur concerné. Ainsi, lorsque les acteurs du secteur de l’énergie par exemple prendront l’attache de l’ANSSI, ils peuvent transmettre leurs définitions et critères de qualification d’incident significatif. Les acteurs de la santé, des administrations publiques concernées, etc. en feront de même. Cette approche permettrait une compréhension fine et au plus près de la réalité, rendant possible un accompagnement adapté par l’ANSSI.
4. La rationalisation des approches de signalement :
   • Pour optimiser les temps de déclaration, les personnes autorisées à faire cette déclaration doivent être préalablement enregistrées par l’organisation auprès de l’autorité.
   • La temporalité de déclaration de NIS2 doit être reprise en l’état. Le projet de transposition devrait, par le truchement d’un décret si plus pratique, inclure les éléments demandés à chaque étape.
   • Pour assurer une efficacité et une cohérence dans la gestion des incidents de cybersécurité au niveau européen, il est crucial que les processus de notification soient harmonisés et standardisés, avec des échéances et des informations communes à renseigner. Cela permettra aux entreprises internationales de signaler un incident important à une seule autorité NIS2, et d’éviter ainsi les déclarations multiples et potentiellement contradictoires.
5. Une déclinaison raisonnable des mesures déjà existantes dans NIS2 afin d’éviter un dévoiement du caractère européen de ce texte une fois transposé en France et les difficultés associées à une contextualisation nationale trop prononcée.
6. La création et la dissémination de clauses contractuelles standard pour aborder le socle du volet contractuel.
7. Un travail de clarification dédié aux services cloud.

Renaissance Numérique est heureux d’avoir pu apporter, en amont du processus législatif, sa vision et son analyse sur un avant-projet de loi, à une commission composée de parlementaires experts. Pour un dialogue utile et serein, il est essentiel que des échanges entre les élus et la société civile aient lieu, avant que les arbitrages divers et variés soient rendus.  Nous ne pouvons qu’encourager ces auditions préparatoires aux textes législatifs, et nous nous mettons en situation d’y répondre, car la société civile a cette responsabilité face aux sollicitations des décideurs publics.