Les éditeurs soumis aux obligations de cybersécurité prévues par NIS2

Mais ça, c’était avant… Suite au débat des députés de la Commission Spéciale, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été adopté à l'unanimité par le Sénat les mardi 9 et mercredi 10 septembre 2025, après engagement de la procédure accélérée. Même si un certain nombre de modifications concernant la transposition de NIS2 et de DORA ont été apportées par les parlementaires, près de 244 amendements ont été adoptés sur ce texte. Et il y en un majeur qui concerne les éditeurs de logiciels, maillon essentiel de la chaîne d’approvisionnement numérique. Voici la version officielle du texte de la Commission Spéciale sur ce projet de loi qui dit (article 8 - alinéa 7), que les éditeurs de logiciels font eux aussi partis des entités essentielles (Détail de l'amendement). Ils sont donc désormais soumis aux obligations de cybersécurité prévues par la directive NIS2.

Cette décision est liée au fait que les établissements de santé et les établissements médico-sociaux (mais pas que...) sont aujourd’hui considérés comme entités essentielles, donc des entités critiques. Ils étaient jusqu’à présent, laissés seuls en première ligne, exposés à des cyberattaques massives et à la paralysie de leurs systèmes d’information. Les Responsables Sécurité ou les Directeurs des Systèmes d'Information du secteur de la santé n’avaient alors aucun levier (ou très peu) face à des pratiques trop souvent incontrôlées des éditeurs. En effet, avant cet amendement, rien n’imposait à un éditeur, de déployer, en tout cas dans des délais « rétrécis », les correctifs nécessaires, lorsqu’une vulnérabilité, à-même de paralyser des systèmes critiques dans un établissement de santé (ou toutes autres organisations) était découverte. Ce nouvel amendement permettra de leur imposer des exigences minimales de sécurité dès la conception et le développement de leur(s) produit(s), une obligation de corriger rapidement les vulnérabilités découvertes, mais aussi de prévoir une capacité d’intervention et de contrôle par l’ANSSI.

Suivre ce lien sur le site de l'Assemblée Nationale pour connaitre l’évolution du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.