Cybersécurité : intercommunalités et grandes villes veulent une mise en œuvre progressive de la directive NIS 2

Publié le par Olivier Devillers , pour Localits
Europe et international,  Numérique,  Sécurité

France urbaine, Intercommunalités de France et les Interconnectés plaident pour une adaptation des nouvelles obligations cyber aux spécificités des collectivités dans le cadre de la transposition de la directive européenne NIS 2. Elles souhaitent que le critère de population ne soit pas le seul pris en compte et un accompagnement pour les structures concernées.

NIS2

© AR avec Adobe stock

L'Agence nationale pour la sécurité des systèmes d'information (Anssi) a lancé fin 2023 ses consultations pour la transposition de la directive NIS 2 (Network and Information Security). Pour mémoire, et comme l'avait expliqué l'agence à l’occasion d'un webinaire en mai 2023 (voir notre article du 16 mai), cette directive va aboutir à une forte augmentation du nombre d'entités soumises à des obligations strictes en matière de cybersécurité avec de potentielles sanctions si elles ne les respectent pas. A minima 10.000 organisations devraient être impactées par NIS 2 contre 300 avec NIS 1. Les consultations menées par l'agence auprès des associations d'élus visent à déterminer les critères de sélection. Ils devront ensuite être validés par le Parlement qui devrait se prononcer sur un projet de transposition à l'automne 2024.

Tenir compte de la nature des services

Les associations France urbaine, Intercommunalités de France et les Interconnectés estiment dans un communiqué commun du 11 mars 2024 que le critère de population – plusieurs seuils ont circulés ces derniers mois dont celui de 50.000 habitants, évoqué par Déclic – "ne peut être le seul critère retenu" pour classer les collectivités dans les entités "essentielles" ou "importantes" soumises à régulation. Elles estiment que ces critères "doivent tenir compte des compétences et services publics effectivement exercés par les collectivités". Certains services publics non critiques pourraient par ailleurs échapper à la directive.

Accompagnement à la mise en œuvre

Sur le volet mise en œuvre, les trois associations plaident pour "une mise en conformité par étape, claire et progressive dans le temps, ainsi qu’un accompagnement technique et financier dédié et adapté, en particulier pour les communautés de communes et d'agglomération". Elles demandent aussi un renforcement et une "uniformisation" des financements affectés aux centres de réponse aux incidents cyber (C-SIRT) régionaux. Car elles constatent que ces centres, mis en place avec l'aide de l'Anssi, ont aujourd'hui des périmètres et des moyens disparates en fonction des régions.

Un seul point d'entrée

Parallèlement, les associations demandent la mise en place d'un "17 cyber", un centre d'appel "unique et simple" qui serait en mesure de répondre aux collectivités victimes de cyberattaque. Pour mémoire, les collectivités ont aujourd'hui une multitude d'interlocuteurs cyber. Si l'Anssi vient en appui aux grandes collectivités, les petites collectivités sont incitées à se tourner vers le GIP cybermalveillance et leur C-SIRT régional. Quant aux gendarmes, leur unité spécialisée intervient en prévention et pour les enquêtes après une cyberattaque.

 

Voir aussi

Abonnez-vous à Localtis !

Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

Découvrir Localtis

Back to Top of the Page