Le 25 mars 2025, TE RAMA a coorganisé avec le cabinet Mathias Avocat un webinaire pour aider ses clients polynésiens à mieux comprendre les implications des trois grandes réglementations européennes en matière de cybersécurité : NIS 2, DORA et REC.
Cet article revient sur les échanges et les questions posées par les participants, notamment en ce qui concerne l'applicabilité en Polynésie française.
⏰ Temporalité
Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, visant à transposer les directives NIS 2, DORA et REC, a été voté au Sénat le 12 mars 2025.
Il doit à présent être examiné à l'Assemblée nationale (fin mai 2025).
Une commission spéciale en charge du débat parlementaire (potentiellement avec des députés polynésiens) permettra de proposer des amendements.
Des décrets d'application préciseront ensuite les exigences techniques.
⚡️ Vous l'aurez compris : la peinture n'est pas encore sèche. ;-)
⚠️ REC : vers une résilience des infrastructures critiques
🛡️ NIS 2 : de nouvelles exigences pour de nombreux secteurs d'activité
La directive NIS 2 (Network and Information Security) étend le champ d'application de la cybersécurité à de nombreux secteurs, y compris les collectivités locales et de nouveaux services critiques.
❓ Les principales questions abordées :
- 🌍 Applicabilité en Polynésie : La loi voté par le sénat mentionne explicitement la Polynésie française dans son champ d'application. L'Assemblée de Polynésie française confirme la nécessité de cette loi mais souligne la difficulté de lecture des textes qui lui ont été transmis de manière non consolidés.
- 📰 Secteur IT et télécoms : Règlement d'exécution publié le 17 octobre 2024. Des mesures s'appliquent dès à présent pour les secteurs ci dessous :
- 📄 Désignation des entités essentielles/importantes : Décret attendu avant le 17 avril 2025. Un portail d'auto-déclaration est également à l'étude.
- 📊 Seuils pour les communes : En discussion. Hypothèse actuelle : 30 000 habitants.
- ⚠️ Sanctions et responsabilité : L'exonération des communes est discutée. Le Conseil d'État s'y oppose.
- 💼 Formation des dirigeants : Aucune modalité définie. Probables exigences de qualité (label, attestation, récurrence).
- ✉️ Registres d'incidents : Recommandés. Obligation de notification à l'ANSSI dans des délais précis.
🔹 Point d'attention : Des audits périodiques viendront vérifier la fiabilité et l'efficacité des procédures mises en place.
📅 Ressources utiles :
- Belgique : Premiers à avoir transposé NIS 2. Outils disponibles : Safeonweb.be
- 🔖 Règlement d'exécution de l'UE : Consulter sur Eur-Lex
La directive REC
La directive Resilience of Critical Entities renforce la sûreté des infrastructures essentielles (eau, énergie, santé...).
❓ Questions clés :
- 🔍 Qui est concerné ? : Les OIV (Opérateurs d'Importance Vitale), contrôlés par l'ANSSI ou des organismes habilités.
- 🔒 Sanctions : Encore à définir au niveau national.
- ⚖️ Obligations : Protocoles de gestion des risques, vérification des antécédents, audits de sûreté, planification budgétaire.
🏦 DORA : la résilience cyber du secteur financier
Le règlement DORA (Digital Operational Resilience Act) concerne les établissements financiers et leurs prestataires TIC critiques.
📃 Points abordés :
- 🚫 Application : DORA s'appliquera en Polynésie française car c'est le code des marchés financiers qui sera modifié lorsque la loi sera voté.
- 📊 Analyse de risque : Chaque entité doit identifier ses prestataires critiques pour garantir la continuité d'activité.
- 🔖 Registre des services externalisés : Des modèles européens sont disponibles. Obligatoire dès avril 2025 ... mais l'ACPR donne un délai supplémentaire pour les DRCOM dont la Polynésie française cf :
- ⚖️ Tests de résilience : Audits de configuration, tests d'intrusion, PRA/PCA. Des Normes techniques : RTS/ITS viennent préciser les attendus.
- ⛔️ Sanctions : L'ACPR pourra demander la résiliation d'un contrat en cas de non-conformité d'un sous-traitant
📄 Conclusion
Ce webinaire a confirmé l'intérêt et les besoins d'accompagnement des entreprises et entités publiques face à ces textes complexes et encore en cours de transposition.
⚡️ Message clé : Agir par anticipation, même en l'absence de textes définitifs.
La gouvernance, la formation, la cartographie des risques et la maîtrise de la chaîne de sous-traitance sont les piliers à renforcer dès aujourd'hui.
Merci à tous les participants de ce webinaire pour la qualité des échanges.
Garance MATHIAS
Avocat à la Cour (Paris), experte en droit du numérique - Fondatrice et dirigeante Mathias Avocats
Jean-Pierre CLAUDE
Consultant Cybersécurité et gestion des risques
Gérant de TE RAMA
Pour un accompagnement à votre mise en conformité
