Cette nouvelle législation prévoit d’imposer pour la première fois une réglementation étendue à de nombreux fournisseurs de taille moyenne et grande, incluant des prestataires informatiques, des centres de données ou encore des fournisseurs de services pour les secteurs de la santé, de l’énergie, des transports et de l’eau.

Une réponse à une menace cyber en forte augmentation

Cette initiative intervient dans un contexte où le Centre national de cybersécurité (NCSC) a enregistré une augmentation de 130 % des incidents cyber d’importance nationale en 2025 par rapport à 2024. Selon une étude KPMG, le coût annuel des cyberattaques pour l’économie britannique atteint près de 17 Mds EUR.

Shona Lester, responsable du projet de loi au ministère britannique des Sciences, de l’Industrie et du Commerce (DSIT), a précisé lors de la conférence « Parliament & Cyber » que le CSR Bill comble certaines lacunes de la directive NIS et vise à protéger les services essentiels tout en rendant le Royaume-Uni plus attractif pour les investisseurs.

Qui sera concerné ?

Le projet de loi élargit le champ des organisations réglementées, désignées comme opérateurs de services essentiels (OSE) :

• centres de données, déjà reconnus comme infrastructures nationales critiques depuis septembre 2024 ;
• fournisseurs de services gérés (MSP), tels que prestataires de support informatique ou de cybersécurité, qui seront soumis à la réglementation pour la première fois (environ 900 à 1 100 entreprises supplémentaires) ;
• grandes organisations gérant des appareils intelligents, comme les réseaux de recharge de véhicules électriques ;
• autres fournisseurs désignés comme « critiques » par les régulateurs britanniques.

Ces entités devront respecter des exigences minimales de cybersécurité, issues du Cyber Assessment Framework (CAF) du NCSC, et mettre en place des plans robustes pour limiter les impacts des attaques.

Un renforcement du signalement et des sanctions

Le projet de loi met également à jour le régime de signalement des incidents. Dorénavant, les OSE devront :

• informer les régulateurs dans les 24 heures suivant la détection d’un incident ;
• fournir un rapport complet dans les 72 heures aux autorités compétentes ;
• avertir leurs clients si leur activité pourrait être affectée.

Les pouvoirs des régulateurs seront renforcés, avec la possibilité de fixer des objectifs communs et d’agir directement en cas de menace majeure. Le régime de sanctions sera également simplifié et les amendes maximisées pour garantir l’efficacité de la réglementation.

Une tendance à suivre pour l’Europe

Bien que le CSR Bill soit spécifiquement britannique, il s’inscrit dans une tendance plus large de renforcement de la cybersécurité pour les infrastructures critiques, en ligne avec la directive NIS2 de l’UE. Les entreprises françaises doivent donc anticiper les exigences similaires pour leurs propres activités et dans leurs relations avec des partenaires au Royaume-Uni.

Comme le souligne Shona Lester, dans un pays où 99 % des entreprises de 10 salariés ou plus traitent des données numérisées, la menace cyber devient un enjeu économique et stratégique majeur. Pour les fournisseurs français, il devient essentiel de revoir leur posture de cybersécurité, leurs plans de continuité et leurs procédures de reporting afin de rester conformes et attractifs pour le marché britannique.

Source : Infosecurity Magazine, 27/11/2025