Cybersécurité, France urbaine veut des clarifications sur le périmètre d'application de NIS 2

France urbaine, Intercommunalités de France et Les Interconnectés ont été consultés par l'Anssi, sur la transposition de la directive NIS 2. Selon l'association "les grandes villes, agglomérations et métropoles devraient toutes émarger au statut d'"entités essentielles" lequel requiert de répondre à une centaine de normes de sécurité". Les autres strates, toujours selon l'association, devraient être classifiées entités importantes.

Pour mémoire, le texte européen étend considérablement le champ des entités soumises à des obligations strictes. Il distingue cependant les entités "essentielles" (EE) des entités "importantes" (EI), deux niveaux destinés à définir des niveaux d'exigences différents comme l'avait expliqué l'Anssi dans un webinaire en mai (notre article du 16 mai 2023). Ainsi, les EE sont soumises à une régulation ex ante, avec de possibles contrôles inopinés de l'Anssi, les EI étant contrôlées uniquement en cas de connaissance de non-conformité. Les deux seront soumises à de possibles sanctions selon des modalités assez semblables au RGPD.

A ce stade des arbitrages, les grandes villes se demandent "si l'ensemble des systèmes d'informations doivent être couverts par les conditions de sécurité imposées par NIS 2". Plus explicitement, elles voudraient pouvoir choisir elles-mêmes les "services et métiers essentiels" à mettre en conformité en priorité. Elles s'interrogent aussi sur la responsabilité des collectivités vis-à-vis de leurs sous-traitants, délégataires et prestataires. Elle souhaite enfin que soit engagée une "réflexion" sur les possibles coopérations territoriales et modes de mutualisation dans le domaine cyber, comme il en existe sur le RGPD.