La Commission spéciale de l’Assemblée nationale a publié la version officielle du projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité. C’est ce texte qui transpose en droit français la directive européenne NIS2, adoptée fin 2022.

Sur le papier, l’objectif reste le même : élever le niveau de cybersécurité dans tous les secteurs essentiels à l’économie et à la société. Mais la France ne s’est pas contentée d’appliquer la directive. Elle y ajoute sa propre touche, avec des règles plus strictes et des obligations supplémentaires qui vont peser sur de nombreuses organisations.

Là où NIS2 classe les organisations en deux catégories (essentielles et importantes), la France conserve en plus sa notion d’opérateurs d’importance vitale (OIV), déjà encadrée par le code de la défense.

Le texte élargit aussi le champ des acteurs concernés : collectivités de plus de 30 000 habitants, établissements de santé, structures médico-sociales… En clair, beaucoup plus d’organisations françaises vont devoir se mettre en conformité que ce qu’impose NIS2 au niveau européen.

NIS2 renforce déjà le rôle des dirigeants dans la cybersécurité. La France pousse encore plus loin : les organisations devront produire des documents officiels validés par l’État, comme un plan de résilience opérateur ou un plan particulier de résilience pour les infrastructures critiques.

Autre nouveauté française : l’État pourra mener des enquêtes administratives sur les personnes ayant accès à certains systèmes sensibles. Autrement dit, la cybersécurité est clairement reliée aux enjeux de sécurité nationale.

Là où NIS2 se concentre sur des mesures “proportionnées”, la France oblige les organisations à réaliser une analyse des dépendances vis-à-vis des tiers : fournisseurs, sous-traitants, logiciels propriétaires… L’objectif : limiter les risques, renforcer la continuité de service et encourager l’usage de solutions plus souveraines (logiciels libres, standards ouverts).

La transposition française de NIS2 ne se limite pas à un simple copier-coller. Elle ajoute des couches supplémentaires :

Pour les entreprises, collectivités et établissements publics, le défi sera donc double : se mettre en conformité avec la directive européenne et anticiper les spécificités françaises, souvent plus exigeantes.

Retrouvez notre précédent article Les actions clés pour démarrer votre conformité NIS 2 dans une version enrichie du projet de loi de transposition, afin de vous préparer sereinement à ce nouveau cadre réglementaire et anticiper les contrôles et sanctions à venir.