Projet de loi sur la cybersécurité et la résilience : ce que vous devez savoir

Par Phil Muncaster • 22 mai 2025

Le chemin vers la cyber-résilience des infrastructures critiques britanniques (ICN) a été long et tortueux. La réglementation NIS de 2018 du gouvernement est terriblement obsolète et sa portée est limitée, car elle repose sur une directive européenne datant de deux ans. Mais après quelques signes encourageants, les efforts de l'administration précédente ont été vains. Il est donc encourageant de constater que le gouvernement travailliste accorde enfin à ce sujet l'attention qu'il mérite.

Après des mois d'attente pour plus de détails suite au discours du roiNous disposons désormais d'une déclaration de politique gouvernementale à décortiquer. Quels seront donc les objectifs du projet de loi sur la cybersécurité et la résilience ? Et à quel point sera-t-il difficile pour les entreprises de s'y conformer ?

Pourquoi nous en avons besoin

Le Royaume-Uni est un pays très différent de celui où le Règlement NIS de 2018 est entré en vigueur. La CNI, la société et les PLC britanniques dépendent plus que jamais des systèmes informatiques et numériques. Dans la plupart des organisations, cela s'est traduit par des investissements qui ont accru la surface d'exposition aux cyberattaques, donnant ainsi un avantage aux acteurs malveillants. Le contexte géopolitique a accru la probabilité d'attaques de tiers, alignées sur les États, mais plausiblement démenties. Et il a encouragé les États-nations à mener leurs propres attaques.

Comme si quelqu'un avait besoin d'être rappelé de l'impact potentiel des violations graves sur les secteurs du CNI, il suffit de se rappeler du chaos qui a régné Attaque du ransomware Synnovis L'année dernière, des milliers de rendez-vous annulés et une grave pénurie de sang ont été causés dans le sud-est de l'Angleterre. Cela rappelle également que les chaînes d'approvisionnement sont une cible de plus en plus vulnérable à de telles attaques. Trop souvent, les petites organisations sont durement touchées par les problèmes de compétences et de ressources. Et pendant qu'elles peinent à joindre les deux bouts, les acteurs malveillants sont de plus en plus nombreux. utiliser l'IA pour faire plus avec moins, accélérant les attaques et améliorant les résultats.

Le fait que la moitié des entreprises britanniques ont abandonné leurs plans de transformation numérique La crainte d'attaques d'États-nations rend également l'amélioration de la cyber-résilience un impératif commercial. Alors, quelles seront leurs priorités lorsque le projet de loi sera enfin adopté ?

Qu'y a-t-il dans le projet de loi ?

Bien que des changements puissent encore être introduits au cours de son parcours au Parlement, dans sa forme actuelle, la législation vise à :

Créer davantage d'entités concernées

Le gouvernement va :

Inclure les fournisseurs de services gérés (MSP) dans le champ d’application des nouvelles dispositions, soit environ 900 à 1100 XNUMX de ces entreprises.
Inclure les opérateurs de centres de données : environ 182 sites de colocation et 64 opérateurs, plus un petit nombre de centres de données d'entreprise (avec une capacité supérieure à 10 MW)
Permettre au gouvernement et aux régulateurs de fixer des exigences plus strictes pour certains opérateurs de services essentiels (OES) d'importance critique/à fort impact, même s'il s'agit de microentreprises (sauf si elles sont soumises aux lois existantes sur la cyber-résilience)

Donner du pouvoir aux régulateurs et renforcer la surveillance

Le gouvernement va :

Clarifier les « exigences de sécurité techniques et méthodologiques » exigées des organisations concernées, en les alignant davantage sur la norme NIS 2 et le cadre d'évaluation cybernétique (CAF) du NCSC.
Élargir le signalement des incidents afin d'inclure tout incident « affectant significativement la confidentialité, la disponibilité et l'intégrité d'un système », notamment la compromission de données, les attaques de logiciels espions et les rançongiciels. Les entreprises devront signaler les incidents à leur organisme de réglementation et au NCSC. Les exigences de notification ne seront pas plus contraignantes que celles de la norme NIS 2 : un délai initial de 24 heures, suivi d'un signalement d'incident dans les 72 heures.
Autoriser le secrétaire à la technologie à obliger une entité réglementée à prendre des mesures spécifiques lorsque cela est jugé nécessaire pour la sécurité nationale.
Améliorer les pouvoirs de collecte d’informations de l’ICO afin qu’elle puisse identifier les fournisseurs de services numériques les plus critiques et évaluer de manière proactive leur posture de cybersécurité.
Permettre aux régulateurs de définir un régime de frais, de recouvrer les coûts ou de combiner les deux pour couvrir les dépenses d’application et autres coûts réglementaires.

Créer des pouvoirs délégués

Le gouvernement s’est également engagé à garantir l’adaptabilité de la loi : en accordant de nouveaux pouvoirs au secrétaire à la technologie pour mettre à jour la législation afin de garantir qu’elle soit « actuelle et efficace ».

Questions sans réponse

CSBR, spécialiste de la résilience des entreprises à but non lucratif, accueille favorablement le projet de loi, mais exige de la clarté sur une série de questions, allant de l'alignement NIS 2 aux pouvoirs de l'ICO.

« Le défi consiste à garantir que la recherche d'une meilleure réglementation de la résilience en matière de cybersécurité n'ait pas pour effet involontaire de freiner l'innovation et de créer des obstacles onéreux ou bureaucratiques, en particulier pour les petites et moyennes entreprises », indique le rapport. « Il est également nécessaire que le gouvernement reconnaisse qu'il est souvent le maillon le plus vulnérable du système, comme l'a clairement démontré le récent rapport du NAO. »

Oscar Tang, associé principal du Tech Group de Clifford Chance, convient que de nombreuses questions restent sans réponse à ce stade, notamment la base des « exigences de sécurité techniques et méthodologiques » que la nouvelle loi vise à clarifier pour les organisations concernées.

« Nous pourrions assister à une approche multicouche faisant référence au CAF comme référence britannique de référence, aux côtés des normes ISO et autres, afin de garantir la cohérence des pratiques », explique-t-il à ISMS.online. « La politique gouvernementale souligne l'importance d'une approche proportionnée et agile de la sécurité ; il est donc peu probable que les organisations soient obligées de réinventer la roue. L'exploitation des référentiels existants, tels que la norme ISO 27001, devrait contribuer à démontrer la solidité de la gestion des risques et des contrôles de sécurité. »

Will Richmond-Coggan, associé chez Freeths LLP spécialisé dans les litiges relatifs aux données et à la cybersécurité, cite également les normes ISO comme pouvant potentiellement jeter les bases de ce qui est attendu dans la nouvelle loi britannique.

« Bien que le gouvernement soit en retard dans la production d’une législation reflétant les développements en Europe autour de la cybersécurité intégrés dans la directive NIS 2, cela présente certains avantages », a-t-il déclaré à ISMS.online.

Plusieurs normes de sécurité de l'information existantes reflètent déjà l'orientation nouvelle de la norme NIS 2 : par exemple, les normes ISO 27001:2022 et ISO 27302, qui fournissent des recommandations spécifiques pour renforcer la cyber-résilience des organisations. Elles devraient également contribuer à la conformité avec la loi sur la cybersécurité et la résilience lorsqu'elle entrera en vigueur. Pour les organisations déjà présentes en Europe et adhérant à la norme NIS 2, les parallèles entre les législations seront probablement utiles.

Toutefois, pour parvenir à une véritable cyber-résilience, les organisations doivent intégrer ce qu’elles apprennent en travaillant avec la norme ISO 27001 et d’autres normes « dans le cœur opérationnel des entreprises » – ce qui exigera une « culture de conformité », ajoute Richmond-Coggan.

« En réalité, la législation sera déjà dépassée par rapport à certains des risques qu’elle est censée traiter, au moment où elle entrera en vigueur », conclut-il.

« Les entreprises doivent utiliser cela comme un signal d’alarme pour examiner leur posture de sécurité de bout en bout, leur résilience et leur planification de la continuité des activités si elles veulent être vraiment prêtes à faire face aux risques auxquels le gouvernement répond avec cette législation et ses initiatives plus larges en matière de cybersécurité. »

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster