Intervention de Philippe Latombe

Je souhaite évoquer la transposition de la directive NIS 2, à laquelle tous les États de l'Union européenne devront avoir procédé au plus tard le 17 octobre prochain. Révisant la directive du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, dite NIS, la directive NIS 2, publiée le 27 décembre 2022 au Journal officiel de l'Union européenne, a un champ d'application beaucoup plus étendu, car elle concerne onze secteurs jugés essentiels et sept secteurs importants, regroupant 600 types d'organisations.

Elle va notamment leur imposer des obligations minimales de cybersécurité et de déclaration d'incident. La majorité des entités concernées n'étant jusque-là pas soumises à la directive NIS, de très nombreux acteurs publics et privés vont devoir mettre à jour leur protocole cyber. C'est l'occasion de reconsidérer leur approche de la cybersécurité, ce dont les nombreuses cyberattaques actuelles montrent la nécessité et l'urgence, mais c'est en même temps, pour beaucoup d'entre eux, un cap difficile à franchir et donc angoissant. Il va leur falloir en urgence mettre à niveau leur dispositif cyber, les sanctions prévues en cas de non-conformité étant particulièrement élevées.

L'échéance du 17 octobre va arriver très vite en raison du faible nombre de possibilités offertes par l'agenda parlementaire des mois à venir et des délais de publication des décrets d'application. Pouvez-vous nous préciser le calendrier prévu pour que s'accomplisse un travail législatif sérieux, efficace et pertinent et surtout, pour qu'on ne se contente pas d'une loi de transposition minimale qui renverrait systématiquement à des décrets ultérieurs ? Il s'agit de permettre aux organisations concernées de voir l'avenir avec sérénité. Comment faire preuve de pédagogie à leur égard dans le cadre d'une transposition effective à la fin du mois de septembre ?