France urbaine, Intercommunalités de France et Les Interconnectés ont été consultés par l’Anssi, sur la transposition de la directive NIS 2. Selon l’association « les grandes villes, agglomérations et métropoles devraient toutes émarger au statut d' »entités essentielles » lequel requiert de répondre à une centaine de normes de sécurité ». Les autres strates, toujours selon l’association, devraient être classifiées entités importantes.
Pour mémoire, le texte européen étend considérablement le champ des entités soumises à des obligations strictes. Il distingue cependant les entités « essentielles » (EE) des entités « importantes » (EI), deux niveaux destinés à définir des niveaux d’exigences différents comme l’avait expliqué l’Anssi dans un webinaire en mai (notre article du 16 mai 2023). Ainsi, les EE sont soumises à une régulation ex ante, avec de possibles contrôles inopinés de l’Anssi, les EI étant contrôlées uniquement en cas de connaissance de non-conformité. Les deux seront soumises à de possibles sanctions selon des modalités assez semblables au RGPD.
A ce stade des arbitrages, les grandes villes se demandent « si l’ensemble des systèmes d’informations doivent être couverts par les conditions de sécurité imposées par NIS 2 ». Plus explicitement, elles voudraient pouvoir choisir elles-mêmes les « services et métiers essentiels » à mettre en conformité en priorité. Elles s’interrogent aussi sur la responsabilité des collectivités vis-à-vis de leurs sous-traitants, délégataires et prestataires. Elle souhaite enfin que soit engagée une « réflexion » sur les possibles coopérations territoriales et modes de mutualisation dans le domaine cyber, comme il en existe sur le RGPD.
.
