Directive NIS 2 : de nouvelles obligations pour la cybersécurité des collectivités

Qui est concerné par la directive NIS 2 ?

Le projet de loi de la directive NIS 2 européenne (Network and Information Security) prévoit que les entités dites « essentielles » et celles dites « importantes » devront répondre à des degrés d’obligation adaptés selon leur classification :

• Les entités essentielles regroupent les régions, les départements, les métropoles, les communautés urbaines et d’agglomérations et les communes de plus de 30 000 habitants.
• Les entités importantes correspondent aux communautés de communes et à leurs établissements publics administratifs.

L’immense majorité des communes de France ne sera concernée que par l’intercommunalité de rattachement.

Directive NIS 2 : combien ça va coûter ?

L’effort à consentir n’en reste pas moins substantiel pour les collectivités locales. Le coût de mise en conformité à la directive NIS 2 est estimé à :

• 690 millions d’euros par an pour les solutions de cybersécurité ;
• 105 millions d’euros annuels pour les ressources humaines.

Il faut dire que l’enjeu de la cybersécurité est de taille :

4 386 événements de sécurité dans les collectivités ont été recensés par l’Anssi (l’Agence nationale de la sécurité des systèmes d’information) en 2024,

• soit 12 par jour en moyenne ;
• et une augmentation de 15 % par rapport à l’année précédente. 

Renforcer la résilience numérique des territoires

La directive NIS 2 impose donc un véritable changement aux élus et à leurs services techniques. Elle les engage à adopter une approche globale de la cybersécurité, couvrant tous les systèmes numériques interconnectés dans les territoires.

Les obligations des opérateurs et de leurs prestataires sont également renforcées. Elles portent sur la mise en œuvre d’une gestion active des risques et l’intégration de la cybersécurité dès la conception.

La loi prévoit également de renforcer la professionnalisation et la gouvernance de la sécurité numérique locale. Enfin, elle vise à accélérer la mutualisation des infrastructures (centrales d’achats, plateformes mutualisées, cloud souverain) pour sécuriser les systèmes aux échelles départementale ou régionale.

Cybersécurité locale : 3 ans de transition sans sanctions

Pour accompagner la transition vers la mise en conformité à la directive NIS 2, le Sénat a prévu, lors de l’examen du texte le 13 mars 2025, de mettre en place des « modalités de soutien aux collectivités territoriales et à leurs groupements ». Objectif, garantir que toutes disposent des ressources humaines, financières et techniques nécessaires.

Les collectivités doivent en effet relever plusieurs défis, notamment l’identification des compétences et le travail de formation. Dans ce cadre, l’Anssi a étendu ses missions afin d’accompagner les territoires dans la gestion des talents numériques.

Pour ne pas accabler les élus, une période de transition de 3 ans est prévue, au cours de laquelle s’appliqueront uniquement des contrôles blancs à visée « éducative ». En cas de manquement à leurs obligations de sécurisation de leurs systèmes d’information, les collectivités ne seront pas financièrement sanctionnées.