Ce que le projet de loi sur la cybersécurité et la résilience signifie pour les infrastructures critiques

Par Phil Muncaster • 3 December 2025

Cela fait longtemps qu'on l'attendait. Après avoir été suivi... aussi loin dans le passé comme le discours du roi en 2024, le Projet de loi sur la cybersécurité et la résilience Le projet de loi relatif au CSRB a finalement été présenté au Parlement. Au cours des vingt derniers mois, les infrastructures critiques nationales du Royaume-Uni ont été mises à rude épreuve par de nombreux incidents majeurs, allant des… Synnovis Attaque par rançongiciel et vol de cyberespionnage sans précédent ciblant le ministère de la Défense.

Il ne fait donc aucun doute que les secteurs des infrastructures critiques ont besoin d'un cadre réglementaire renforcé pour améliorer leur sécurité et leur résilience. La question est de savoir comment les opérateurs de services essentiels et leurs partenaires numériques peuvent gérer les contraintes de conformité supplémentaires qui les attendent.

Qui est concerné ?

La liste définitive des organisations concernées n'a pas encore été publiée. Elle inclura certainement les secteurs déjà couverts par le Règlement NIS 2018, que ce projet de loi met à jour. Il s'agit notamment des secteurs de la santé, des transports, de l'énergie, de l'eau et des infrastructures numériques. Tous ces secteurs sont classés comme OES (organismes essentiels).

Le CSRB s'appliquera également à :

Fournisseurs de services numériques pertinents (RDSP) : Autres fournisseurs de services numériques tels que ceux qui offrent des services d’informatique en nuage, des moteurs de recherche et des places de marché en ligne.
opérateurs de centres de données
Fournisseurs de services gérés (MSP)
Les entreprises qui gèrent « le flux d’électricité vers les appareils intelligents » et les bornes de recharge pour véhicules électriques.

Qu'y a-t-il dans le projet de loi ?

La législation Le projet de loi est toujours en cours d'examen au Parlement. Toutefois, il est probable qu'au moins les mesures suivantes soient adoptées :

Les autorités réglementaires seront habilitées à désigner les fournisseurs critiques qui devront respecter des normes de sécurité minimales. Ceci afin de combler toute faille de sécurité dans la chaîne d'approvisionnement.
OES sera tenue de gérer les risques liés à la chaîne d'approvisionnement de manière plus proactive, même si ces nouvelles obligations devront être définies par une législation secondaire.
OES devra satisfaire à des « exigences de sécurité proportionnées et actualisées » issues du cadre d'évaluation de la cybersécurité (CAF) du NCSC et étroitement alignées sur la norme NIS 2.
Un champ d’application plus large pour les incidents à signaler – incluant désormais les événements « susceptibles d’avoir un impact significatif sur la fourniture d’un service essentiel ou numérique » ainsi que les « incidents qui affectent significativement la confidentialité, la disponibilité et l’intégrité d’un système ».
Exigences plus strictes en matière de signalement des incidents : un premier signalement au NCSC doit être effectué au plus tard 24 heures après l’incident, suivi d’un rapport complet dans les 72 heures. Les fournisseurs de services numériques et de centres de données devront également informer leurs clients de toute interruption de service.
Le Bureau du commissaire à l'information (ICO) se verra octroyer de nouveaux pouvoirs lui permettant d'identifier les fournisseurs de services numériques les plus critiques et d'évaluer de manière proactive leurs risques cybernétiques.
Les organismes de réglementation pourront recouvrer leurs coûts grâce à un nouveau régime de redevances.
Des sanctions plus sévères seront instaurées pour les infractions graves, pouvant atteindre 17 millions de livres sterling ou 4/10 % du chiffre d'affaires.
Le secrétaire d'État aux Technologies se verra octroyer de nouveaux pouvoirs lui permettant d'ordonner aux autorités de régulation et à l'OES de prendre des mesures spécifiques pour prévenir les attaques lorsqu'une menace pèse sur la sécurité nationale. Cela pourrait notamment inclure la mise à jour ou l'isolation des systèmes critiques.

Il est temps de se préparer

Bien que la législation doive encore être adoptée par le Parlement, il est peu probable qu'elle change grand-chose, car « la cybersécurité demeure une question politique largement apolitique », selon Verona Johnstone-Hulse, responsable des affaires gouvernementales chez NCC Group UK. Par conséquent, les équipes de sécurité et de conformité peuvent anticiper les évolutions en planifiant dès maintenant leur mise en conformité.

"« Pour une organisation, la première étape consiste à déterminer si elle est effectivement concernée. Pour beaucoup, la réponse sera relativement simple : soit parce qu’elle est déjà soumise à la réglementation britannique NIS, soit parce que son organisation répond clairement aux définitions et aux seuils des secteurs concernés par le projet de loi », explique-t-elle à ISMS.online.

« Pour les organisations susceptibles d'être désignées comme « fournisseurs critiques » – et donc soumises aux règles NIS – il peut être moins évident de déterminer si le seuil de critique est atteint. Un examen attentif de votre clientèle et des types de services et de produits que vous proposez vous aidera à déterminer si vous êtes susceptible d'être désigné comme « critique » à l'avenir. »

Rhiannon Webster, responsable de la cybersécurité au Royaume-Uni au sein du cabinet d'avocats international Ashurst, convient que les entreprises peuvent prendre de l'avance en matière de conformité.

« Il est peu probable que les catégories de personnes nouvellement concernées par le problème évoluent, et ces entreprises devraient donc revoir leurs plans de réponse aux cyberattaques », explique-t-elle à ISMS.online. « Elles doivent se préparer à des obligations de déclaration renforcées, revoir leurs cadres de cybersécurité au regard des exigences prévues et analyser attentivement leur chaîne d’approvisionnement et leurs contrats. Ces obligations pourraient devoir être étendues à l’ensemble des processus d’achat. »

Johnstone-Hulse, du groupe NCC, conseille aux équipes de :

Engagez-vous tôt auprès du gouvernement et des organismes de réglementation.
Améliorer la gouvernance et la responsabilisation en garantissant l'adhésion du conseil d'administration aux programmes de conformité
Évaluer les processus et technologies actuels de réponse aux incidents afin de comprendre les points à améliorer.

Charlotte Walker-Osborn, directrice de la connaissance au sein du cabinet d'avocats Clifford Chance, avertit les organisations britanniques actuellement concernées par la norme NIS2 qu'elles doivent se préparer à une charge de conformité plus importante.

« Le projet de loi britannique sur la cybersécurité et la résilience étant quelque peu différent de la législation européenne en la matière à plusieurs égards, les entreprises multinationales opérant dans toute l'Europe devront, une fois de plus, faire face aux implications pratiques de la conformité à deux régimes distincts », explique-t-elle à ISMS.online.

« Elle vise à s’aligner sur certains aspects de la NIS 2, tout en reconnaissant les défis propres au Royaume-Uni. »

Comment les normes peuvent aider

Julian Brown, consultant principal chez NCC Group, explique que certains détails techniques essentiels restent à préciser. Il s'agit notamment des mesures de sécurité « appropriées et proportionnées » que les organisations sont tenues de mettre en œuvre. C'est là que les normes existantes peuvent s'avérer utiles.

« Bien que des précisions supplémentaires soient attendues – notamment par le biais d’un code de bonnes pratiques et de directives sectorielles de la part des organismes de réglementation – les normes et cadres de cybersécurité existants peuvent faciliter la conformité en fournissant une approche structurée, vérifiable et reconnue internationalement pour répondre aux exigences fondamentales du projet de loi », explique-t-il à ISMS.online.

« L’utilisation de ces normes permet également de fournir les éléments de preuve attendus par les autorités de réglementation : évaluations des risques, politiques, contrôles, indicateurs et démarches d’amélioration continue. L’ISO 27001 propose ces éléments via son SMSI, le CAF via son modèle d’assurance par les résultats, le NIST CSF via son cycle de vie de gouvernance et l’ISO 62443 via ses exigences de sécurité spécifiques aux technologies opérationnelles. Adopter l’un de ces référentiels permet à une organisation de démontrer avec assurance qu’elle gère les cyber-risques de manière proportionnée, responsable et justifiable une fois la législation entrée en vigueur. »

Il reste donc encore beaucoup d'incertitudes. Selon Walker-Osborn de Clifford Chance, on ignore encore si le projet de loi inclura les mesures récemment annoncées visant à interdire les paiements de rançon et à rendre obligatoire la déclaration pour certaines entreprises. L'ampleur des sanctions pourrait également faire l'objet de débats, compte tenu de la situation économique précaire, ajoute-t-elle.

Cependant, il y a certainement de quoi s'occuper. Des organisations plus avisées sont déjà en train de mettre en œuvre des stratégies. ISO 27001 ou d'autres programmes de conformité devraient trouver les exigences du projet de loi beaucoup plus faciles à mettre en œuvre.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster