La date butoir approche à grands pas. En octobre, la France devra avoir transposé la directive européenne NIS 2 (Network and Information Security). Ce chantier, qui n’a pas encore commencé au Parlement, concernera directement une partie des collectivités. Même si le périmètre exact n’est pas encore connu – la directive laisse aux Etats membres le choix d’inclure ou non les administrations publiques dans le dispositif – l’Anssi (1) a déjà prévenu : les collectivités seront dans le champ d’application.
Reste à savoir à quelle sauce, exactement, elles seront mangées. Dans les collectivités territoriales, un seuil autour de 30 000 – chiffre évoqué à l’Assemblée nationale par le préfet Stéphane Bouillon, patron du Secrétariat général de la défense et de la sécurité nationale, la tutelle de l’Anssi – ou de 50 000 habitants est ainsi anticipé pour le volet le plus exigeant de la directive (lire ci-dessous). Soit les régions, les départements, les métropoles, les agglomérations et les communes de cette taille.
« La directive européenne permet une proportionnalité, j’espère que l’Anssi sera pragmatique », signale Antoine Trillard, président du Coter numérique, une association qui réunit des directeurs des systèmes d’information de collectivités. « Le nombre d’habitants ne peut être le seul critère d’obligations imposées », ont rappelé trois associations de collectivités, France Urbaine, Intercommunalités de France et Les Interconnectés. « Le risque est que des opérateurs publics de services numériques ayant de grosses communes dans leur périmètre, mais peu de services numériques, se retrouvent avec des obligations disproportionnées qu’ils ne pourront tenir », avertit Emmanuel Vivé, président de Déclic, le réseau des opérateurs publics de services numériques.