Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité porté par Clara Chappaz Ministre déléguée chargée de l’Intelligence artificielle et du Numérique, marque une étape décisive dans l’adaptation du cadre législatif français aux nouvelles menaces numériques. Adopté le 4 mars 2024 par la commission spéciale du Sénat et adopté par le Sénat le 12 mars, ce texte transpose trois directives européennes essentielles : la directive sur la résilience des entités critiques (REC), la directive Network and Information Security 2 (NIS 2) et le Digital Operational Resilience Act (DORA).

Une réorientation vers la résilience des infrastructures critiques

La directive REC (2022/2557) substitue à une logique de protection une approche fondée sur la résilience, obligeant les opérateurs d’importance vitale (OIV) à déployer des plans d’adaptation aux risques. Son application en France étend la sécurisation à des secteurs jusqu’alors non couverts, notamment les réseaux de chaleur, l’hydrogène et l’assainissement. Elle impose également des obligations de notification d’incidents et prévoit un régime de sanctions administratives pouvant atteindre 2 % du chiffre d’affaires ou 10 millions d’euros.

Les amendements adoptés ont précisé les critères de désignation des opérateurs d’importance vitale (OIV) et renforcé l’analyse des dépendances à l’égard des sous-traitants, intégrant une obligation de plan particulier de résilience pour les infrastructures critiques les plus sensibles.

Un changement de paradigme en cybersécurité avec NIS 2

La directive NIS 2 (2022/2555) élargit le cadre réglementaire à 15 000 entités essentielles et importantes, contre 500 auparavant. Ce texte introduit une classification stricte distinguant les entités « essentielles » et « importantes » selon leur secteur d’activité et leur taille, impliquant des obligations accrues en matière de cybersécurité. En outre, les collectivités territoriales sont intégrées dans le dispositif, en raison d’une recrudescence des cyberattaques dont elles sont la cible. L’ANSSI, autorité nationale en charge de la cybersécurité, voit ainsi ses compétences renforcées, notamment en matière de supervision et de sanction.

Plusieurs amendements adoptés en séance publique ont permis de préciser la stratégie nationale en matière de cybersécurité, en y intégrant des objectifs de formation, un soutien aux collectivités et la mise en place d’indicateurs clés de performance pour assurer un suivi des avancées.

Une protection renforcée du secteur financier avec DORA

Le Digital Operational Resilience Act (DORA, 2022/2556) vise spécifiquement le secteur bancaire et financier, hautement vulnérable aux cyberattaques. Ce texte impose aux acteurs concernés des exigences strictes en termes de gestion des risques numériques, avec un contrôle renforcé des interdépendances technologiques. Le risque cyber y est considéré comme plus menaçant que le risque climatique ou de marché, selon le rapport sur la stabilité financière de la Banque de France de décembre 2024.

Les ajustements apportés prévoient un guichet unique pour la déclaration des incidents cyber dans le secteur financier et des critères de conformité clarifiés, évitant une double réglementation avec NIS 2.

Renforcement de la protection du chiffrement et des données

Un amendement clé interdit d’imposer aux fournisseurs de services de chiffrement l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des communications, tels que des clés de déchiffrement maîtresses ou des accès non consentis aux données protégées. Cette disposition renforce la souveraineté numérique et la confiance des entreprises et citoyens dans les outils de sécurisation des échanges.

Des points de vigilance soulevés par la commission spéciale

Malgré l’urgence du renforcement de la cybersécurité, plusieurs critiques ont émergé quant à la mise en œuvre de ce projet de loi. La commission spéciale a relevé un manque de concertation avec les parties prenantes, en dépit des consultations menées par l’ANSSI. En outre, le risque d’une « sous-transposition législative » engendrant une « surtransposition réglementaire » est pointé du doigt, avec 40 décrets d’application prévus.

Pour y remédier, plusieurs amendements ont précisé les modalités de contrôle et de sanction, allégé certaines contraintes pour les collectivités et instauré un label de conformité en cybersécurité permettant aux entreprises de valoriser leurs efforts de mise en conformité.

Le texte adopté par le Senat doit passer en seconde lecture à l’Assemblée Nationale, où il pourra à nouveau être amendé, certains changements n’étant pas alignés avec les positions du gouvernement