La directive NIS2 : la bombe à retardement du Gouvernement Barnier
Au moment de la dissolution, une liste non exhaustive des travaux en cours avait été faite, afin de faire un bilan des sacrifiés. Une partie avait été oubliée : les directives communautaires.
L’Union européenne peut prendre des décisions, qui s’appliquent dans tous les États membres. Cela prend la forme de directives ou de règlements. À charge pour les États membres de transposer en droit interne les textes, afin qu’ils s’appliquent pleinement. Ils ont une date butoir pour le faire.
En 2022, la directive NIS2 a été publiée au Journal officiel de l’Union européenne. Il s’agit d’un texte renforçant les obligations de sécurité d’un certain nombre d’opérateurs techniques, mais, aussi des entreprises et des collectivités territoriales. L’ANSSI a mis en ligne un site pour expliquer la directive et aider les entités concernées. Vous pouvez faire un test pour savoir si vous êtes concerné, en tant qu’entreprise. Les particuliers ne sont pas concernés.
Ce qui n’aurait dû être qu’une formalité va devenir un problème politique et juridictionnel. En effet, la directive aurait dû être transposée le 17 octobre 2024. Elle n’est pas à l’ordre du jour, ni du Sénat ni de l’Assemblée nationale. Elle a purement et simplement été oubliée dans un coin.
Nous avons sollicité la secrétaire d’État auprès du ministre de l’Enseignement supérieur et de la Recherche, chargée de l’Intelligence artificielle et du Numérique, Claire Chappaz, pour savoir ce qu’il adviendrait du texte. Personne ne répond. Puis, nous avons sollicité le ministre délégué auprès du Premier ministre et du ministre de l’Europe et des Affaires étrangères, chargé de l’Europe, pour savoir si un délai allait être demandé à la Commission. Là encore, les messages sont restés sans réponse. Personne au Gouvernement n’a l’air de connaître ce dossier ou de vouloir répondre.
Dans une interview de la CPME, Anne Le Hénanff temporise en disant que les autres États membres n’ont pas transposé la directive dans les temps et indique que la directive, dont le nom « français » aurait été « projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier » devait être présenté en conseil des ministres le 12 juin 2024. Soit bien avant la dissolution.
Notre confrère Marc Rees avait réussi à obtenir le projet de loi pour l’Informé, nous renvoyons le lecteur vers nos collègues pour en connaître la teneur. Le texte était donc prêt dès le mois d’avril 2024.
On a repris les ordres du jour, envoyés à la presse, des conseils des ministres des mois de mai, juin et juillet 2024*. Le texte n’y est pas. Pourtant, les parlementaires étaient prêts à travailler dessus. Le Sénat avait créé un groupe de travail, préfigurant la commission spéciale qui aurait été chargée d’examiner le texte, comme en atteste le compte rendu officiel du 5 juin 2024. Si on se fie à nos archives ainsi qu’à celles du Gouvernement, le texte n’a jamais été présenté en Conseil des ministres. Ni avant la dissolution ni après.
« Oui, la directive ne sera pas transposée dans les temps et ce n’est pas faute d’avoir averti avant.» déplore Philippe Latombe, député MoDem et connaisseur des questions liées au numérique. « Ça va se finir avec une DDADUE à l’arrache, qui ne sera pas conforme ». Une DDADUE ? « Une loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière d’économie, de finances, de transition écologique, de droit pénal, de droit social et en matière agricole » précise-t-il. En somme, un truc fourre-tout. « Oui » confirme-t-il.
Qu’en sera-t-il des seuils ? Car, l’un des points à adapter en droit français est le seuil à partir duquel les collectivités territoriales seront soumises à NIS2. L’ANSSI préconise un seuil de 30 000 habitants, mais, en l’absence de textes, cela concernera toutes les collectivités territoriales, qui devront faire face à de nouvelles dépenses.
Or, comme en atteste un document que nous nous sommes procuré, il est clairement spécifié à ces dernières de faire des économies, de l’ordre de cinq milliards.

Comment leur demander de réduire la voilure, tout en leur imposant de nouvelles obligations ? Pour le moment, toutes les entités concernées peuvent temporiser dans la mesure où il n’y a pas de décret. D’ailleurs, qui aura la charge des décrets ?
« Ce n’est pas Claire Chappaz ni Benjamin Haddad. Ce texte concerne en premier lieu l’ANSSI qui va se retrouver avec de nouvelles missions — sans forcément avoir le budget nécessaire — donc c’est du ressort de Matignon. Logiquement, cela devra être Maud Bregeon qui aura la charge de ce dossier » précise Philippe Latombe.
Il a d’ailleurs posé une question écrite sur la question du périmètre du portefeuille du secrétariat d’État au numérique et le sort réservé à NIS2 « M. le député souhaite savoir comment Mme la ministre conçoit l’exercice de sa fonction, en particulier vis-à-vis de l’échéance imminente de la transposition de NIS2 ».
Pour l’heure, nous ne savons pas qui va récupérer le sujet. Quelle est la sanction en cas de retard ? La Commission peut introduire un recours en manquement à l’encontre de la France, au titre des articles 258 à 260 TFUE. C’est déjà arrivé comme le montre ce lien.
Le sujet NIS2 n’est qu’un dossier supplémentaire dans la pile des urgences à traiter. Néanmoins, les professionnels du secteur, en particulier ceux en charge de la sécurité informatique, s’arrachent les cheveux. Sans textes clairs, tous les chantiers sont à l’arrêt, de même que les budgets. Toujours selon Marc Rees, pour l’Informé, une note du Gouvernement chiffre le coût : « Sans aucune explication détaillée, la note estime à la louche à 400 000 € le coût moyen de mise en conformité pour chaque entité, quelle qu’elle soit ». Et notre confrère de citer la note « une subvention moyenne de 25 % pour les collectivités territoriales supposerait un budget global triennal de 60 millions €/an ». Et pour parer au plus pressé, « les parcours de cybersécurité proposés dans le cadre du plan de relance (coût unitaire de 100 000 €) peuvent constituer une première étape vers la mise en conformité ».
Reste à savoir comment Michel Barnier et son Gouvernement réussiront à justifier les coupes budgétaires aux collectivités territoriales tout en leur demandant un tel investissement.
* Projet Arcadie a été ajouté à la mailing-list de l’Élysée au cours du mois d’avril 2024.