Loi française
Loi Résilience (cybersécurité)
Projet de loi français visant à transposer en droit national trois textes européens structurants en cybersécurité : la directive REC (entités critiques), la directive NIS2 et le règlement DORA (résilience numérique du secteur financier). Officiellement intitulé « projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité », il est communément désigné sous le terme « loi Résilience » ou « projet de loi Résilience ».
Contexte et périmètre du projet de loi
Présenté en Conseil des ministres et déposé sur le bureau du Sénat le 15 octobre 2024, ce projet de loi permet à la France de transposer trois directives européennes adoptées le 14 décembre 2022 et dont le délai de transposition est arrivé à échéance le 17 octobre 2024. Adopté au Sénat en mars 2025 et voté en commission spéciale à l'Assemblée nationale en septembre 2025, il est attendu en promulgation au premier trimestre 2026.
La directive NIS2 élargit considérablement le périmètre des acteurs concernés : de quelque 300 opérateurs de services essentiels sous NIS1, elle s'appliquera en France à plus de 15 000 entités dans 18 secteurs, ainsi qu'à près de 1 000 intercommunalités et 300 communes de plus de 30 000 habitants. La loi Résilience harmonise et simplifie le cadre juridique existant en matière de protection des systèmes d'information, en établissant des exigences proportionnées au niveau de menace et aux spécificités sectorielles.
Lien avec NIS2
La transposition de NIS2 constitue le titre II du projet de loi Résilience. Le texte établit un socle de règles harmonisé pour les différents types d'entités, adapté à chaque niveau de menace ainsi qu'aux spécificités sectorielles et thématiques, et met en cohérence les exigences de sécurité supplémentaires du dispositif prévu pour les systèmes d'information d'importance vitale (SAIV) avec celles prévues par la transposition de la directive NIS2.
Les entités régulées par NIS2 devront respecter les mesures techniques, organisationnelles et opérationnelles prévues à l'article 21 §2 de la directive (gestion des risques, sécurité de la chaîne d'approvisionnement, notification d'incidents, continuité d'activité, etc.). La plateforme MonEspaceNIS2, gérée par l'ANSSI, permet aux entités de se pré-enregistrer. Une commission des sanctions placée auprès du Premier ministre pourra, en cas de manquement, infliger des amendes administratives pouvant aller jusqu'à dix millions d'euros ou, lorsqu'il s'agit d'une entreprise, 2 % du chiffre d'affaires annuel mondial.
→ Voir les mesures de conformité NIS2