Explication du projet de loi britannique sur la cybersécurité Sécurité et la résilience

Le droit britannique en matière de cybersécurité est sur le point d’évoluer de manière significative. Le projet de loi Cyber Sécurité and Resilience Bill — présenté au Parlement en novembre 2025 — constitue la refonte la plus importante du cadre réglementaire britannique de cybersécurité depuis près d’une décennie. Pour un large éventail d’organisations, il modifiera les obligations légales, l’autorité de supervision et les conséquences en cas de manquement. 

Que vous ayez entendu parler de ce projet de loi et souhaitiez en savoir plus, ou que vous évaluiez activement son application à votre entreprise, cet article explore ce qu’est le CSR Bill, pourquoi il est introduit, et qui il concerne. 

Qu’est-ce que le Cyber Sécurité and Resilience Bill ? 

Le Cyber Sécurité and Resilience Bill — communément appelé CSR Bill — est une loi primaire britannique qui modernise et étend les Network and Information Systems (NIS) Regulations 2018. Là où le cadre NIS initial fixait un socle de cybersécurité pour les services essentiels, le CSR Bill relève considérablement le niveau d’exigence et l’étend à un ensemble plus large d’organisations. 

En bref, le CSR Bill est la réponse du gouvernement britannique à un paysage de menaces qui a radicalement changé depuis 2018. Des attaques par rançongiciel très médiatisées, des pannes majeures de centres de données et des compromissions de la chaîne d’approvisionnement visant des fournisseurs de services managés ont mis en évidence des lacunes dans les cadres existants. Le projet de loi vise à les combler. 

L’approche du Royaume-Uni diffère de la directive NIS2 de l’UE, qui intègre des exigences techniques détaillées directement dans la législation. Le CSR Bill met plutôt en place un cadre flexible, une grande partie des détails — seuils sectoriels, critères de notification, codes de pratique — devant être précisée via la législation secondaire et les orientations des régulateurs. Cela permet au gouvernement d’adapter les exigences à mesure que les menaces évoluent, sans devoir adopter une nouvelle loi primaire à chaque fois. 

Pourquoi le Royaume-Uni introduit-il cette législation maintenant ? 

Les NIS Regulations 2018 ont constitué une avancée notable à l’époque, mais elles ont été rédigées pour une autre ère. Depuis, l’environnement de menace s’est fortement intensifié, et plusieurs faiblesses structurelles du cadre existant sont devenues évidentes. 

Les services critiques dépendent désormais fortement de fournisseurs de services managés et d’infrastructures numériques tierces qui n’ont jamais été soumis à une régulation directe. La définition de ce qui constitue un incident à notifier a été trop restrictive, si bien que des attaques graves n’étaient souvent pas signalées aux régulateurs. Et la structure actuelle des sanctions s’est révélée difficile à appliquer efficacement — trop complexe pour être mise en œuvre de manière cohérente, avec des amendes maximales qui ne dissuadaient pas réellement les grandes organisations. 

Le CSR Bill traite directement chacun de ces points. Il reconnaît également la leçon tirée du RGPD et de NIS2 : la cyber-résilience systémique ne peut pas être atteinte en ne régulant que les organisations les plus visibles. Les chaînes d’approvisionnement, les prestataires de services et les infrastructures numériques doivent tous faire partie du cadre. 

Qui est concerné par le CSR Bill ? 

Le projet de loi maintient tous les secteurs couverts par NIS 2018 — énergie, transport, santé, eau potable et fournisseurs de services numériques concernés — mais élargit considérablement le périmètre des entités régulées. Les nouvelles catégories les plus notables incluent les fournisseurs de services managés (MSP), les centres de données au-delà de certains seuils de capacité, et les organisations qui pilotent des charges importantes au sein du réseau électrique. 

Au-delà de ces catégories définies, les régulateurs disposeront du pouvoir de désigner des fournisseurs individuels comme « critiques » et de les intégrer directement au périmètre — même s’ils ne correspondent pas clairement aux définitions sectorielles existantes. Le projet de loi confère également au Secretary of State le pouvoir d’élargir davantage la population régulée via la législation secondaire, ce qui signifie que le périmètre des entités couvertes peut évoluer relativement rapidement. 

Vous pourriez être concerné par les nouvelles exigences britanniques en matière de cyber-résilience si l’un des éléments suivants s’applique : 

• Vous opérez dans un secteur couvert par les NIS Regulations d’origine — énergie, transport, santé, eau ou services numériques 
• Vous fournissez des services informatiques managés à d’autres organisations, exploitez un centre de données, ou gérez des charges électriques significatives 
• Vous êtes un fournisseur clé de l’un des secteurs ci-dessus, même si vous ne relevez pas clairement vous-même d’un secteur régulé 

Que change le CSR Bill ? 

À un niveau général, le projet de loi introduit trois évolutions majeures pour les organisations dans le périmètre. 

• Une notification des incidents plus rapide et plus large. Les délais de déclaration des incidents cyber significatifs se resserrent fortement, et la définition de ce qui doit être notifié s’élargit — en incluant explicitement les rançongiciels et certaines activités préalables à l’attaque que les règles actuelles ignorent largement. 
• Des pouvoirs réglementaires renforcés. Les régulateurs obtiennent des droits plus étendus d’inspection et de collecte d’informations, ainsi que la capacité de recouvrer les coûts associés aux actions de contrôle et de sanction. 
• Des sanctions plus élevées et plus claires. La structure actuelle des sanctions à trois niveaux est remplacée par un système plus simple à deux niveaux, avec des amendes maximales indexées sur le chiffre d’affaires mondial — faisant de la non-conformité un risque financier substantiel pour les organisations de toutes tailles. 

Vous pouvez découvrir ce que chacune de ces évolutions implique pour votre organisation — et comment satisfaire aux exigences — dans notre guide complet. 

Les organisations devraient commencer à se préparer dès maintenant 

Le projet de loi n’a pas encore reçu la sanction royale, mais ce n’est pas une raison pour reporter. Une réforme réglementaire de ce type ne laisse généralement que peu de temps entre l’entrée en vigueur et l’application effective. Les organisations qui commencent dès maintenant à aligner leur gouvernance, leur réponse aux incidents et leurs capacités de résilience se placent dans une position nettement plus favorable que celles qui attendent une date définitive. 

Pour les organisations déjà engagées vers la conformité NIS2, la bonne nouvelle est qu’une grande partie des fondations est réutilisable. Les priorités stratégiques — gestion des risques, supervision de la chaîne d’approvisionnement, réponse aux incidents, continuité d’activité — sont cohérentes dans les deux cadres. Ce qui reste à faire, c’est d’adapter ces efforts au paysage réglementaire propre au Royaume-Uni. 

Pour les organisations qui découvrent ces exigences pour la première fois, l’approche progressive du projet de loi — avec des exigences détaillées qui émergeront via la législation secondaire et des codes de pratique — signifie que la fenêtre de préparation est ouverte. La trajectoire, toutefois, est claire. 

Prêt à aller plus loin ? Notre guide complet couvre le CSR Bill en détail — notamment qui est dans le périmètre, ce que les nouvelles exigences impliquent en pratique, et comment bâtir la cyber-résilience dont votre organisation aura besoin.