Un projet de loi visant à renforcer la résilience des infrastructures critiques et à améliorer la cybersécurité a été présenté mi-octobre en conseil des ministres. Ce projet de loi vise à transposer trois directives majeures :
- la directive sur la résilience des entités critiques (REC), qui impose aux opérateurs vitaux de réaliser des analyses de risques et de mettre en place des plans de résilience. Elle a pour but d'améliorer la fourniture de services essentiels au sein de l'Europe, en renforçant la résilience des infrastructures critiques dans divers secteurs tels que l'énergie, les transports, la santé, l'eau, l'alimentation, les infrastructures numériques et l'administration publique ;
- la directive Network and Information Security 2 (NIS 2) qui impose des mesures de sécurisation des systèmes d'information et renforce la coopération entre les autorités ;
- la directive Digital Operational Resilience Act (DORA), qui a pour objet de renforcer la résilience des acteurs financiers face aux cyber-risques croissants.
La transposition de ces textes pose plusieurs questions cruciales :
- qui est concerné par ces directives ? Quelles nouvelles obligations ces entités devront-elles remplir et quelles sanctions risquent-elles en cas de non-respect des exigences légales ?
- quels défis les opérateurs d'importance vitale rencontrent-ils dans l'adaptation aux exigences réglementaires imposées par la directive REC ?
- comment définir clairement les critères de distinction entre entités essentielles et importantes, dans le cadre de la transposition de NIS 2 ?
- quelles mesures d'accompagnement peuvent être mises en place pour aider les entités concernées à assurer une conformité pérenne ?
- quels impacts la mise en conformité avec la réglementation DORA aura-t-elle sur l'innovation et l'agilité des institutions financières ?
- au-delà de la transposition législative des directives, se pose également la question de leur mise en œuvre concrète et des mesures qui suivront, notamment sur le plan réglementaire.
Enfin, la nature des directives laisse place à des transpositions nationales qui peuvent varier, créant potentiellement un paysage fragmenté pour les entreprises opérant à l'international. Ce cadre potentiellement hétérogène souligne l’enjeu pour les entreprises d’harmoniser leurs efforts de conformité tout en tenant compte des exigences locales.