Le 12 mars 2025, le Sénat a adopté en première lecture un projet de loi dont l’objectif est de transposer les directives européennes NIS2 (Network and Information Security 2), REC (Résilience des infrastructures critiques) et DORA (Digital Operational Resilience Act) dans le droit français. Retardée par la dissolution de l’Assemblée nationale en 2024, cette transposition suit une procédure accélérée, avec une seule lecture par chambre. L’adoption définitive par l’Assemblée nationale est attendue d’ici l’été. Ce projet de loi marque un tournant en matière de cybersécurité et vise à s’adapter aux spécificités de secteurs sensibles.
Lire aussi : Panorama récent du droit du numérique : évolutions et perspectives en matière de cybersécurité
Une réforme qui élargit les obligations de cybersécurité
Alors que la première directive NIS concernait environ 500 entités, cette nouvelle version NIS2 élargit son périmètre à plus de 15 000 acteurs des secteurs jugés “critiques”, tels que l’énergie, les transports, la santé, les télécommunications et la finance. Le projet de loi impose à ces organisations des mesures de cybersécurité renforcées, des obligations de déclaration des incidents auprès de l’Anssi et des sanctions en cas de non-conformité, alignées sur les standards européens.
Dans cette dynamique, la directive REC renforce à son tour la protection des infrastructures vitales avec des exigences accrues. Inspiré du système français existant depuis 2006, cette directive impose désormais aux 300 opérateurs d’importance vitale (OIV) et 1 500 points d’importance vitale (PIV), notamment dans les secteurs des réseaux de chaleur, de l’hydrogène et de l’assainissement, d’élaborer des plans de résilience renforcés. En cas de non-conformité des OIV du secteur privé, une nouvelle commission des sanctions, placée sous l’autorité du Premier ministre, pourra infliger des amendes allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires.
Enfin, le texte transpose le règlement DORA pour l’utilisation des technologies numériques dans le secteur financier. La directive comporte une série de mesures techniques. Elle permet d'harmoniser le cadre de prévention, de détection et de compte rendu des incidents et encadre par des règles communes le recours par les entités financières à des prestataires de services numériques.
Lire aussi : Protection des données en entreprise : quelle stratégie à l'ère de l'IA ?