La « datafication » accélérée de la société depuis une dizaine d'années conduit une quantité pléthorique d'acteurs à développer de nouveaux services au sein des territoires. Annonçant l'avènement de villes et de territoires où les technologies numériques seraient omniprésentes, baptisés de façon marketing « smart cities » et « smart territories », la multiplication de ces innovations conduit à refonder en profondeur le fonctionnement économique, juridique et politique des territoires. Or depuis 2018, les métropoles, départements ou petites communes sont également devenues les cibles de multiples attaques d'origine cybercriminelle. A l'instar des attaques par rançongiciel ou des attaques DDoS, ces attaques toujours plus perfectionnées ne cessent de démontrer leur potentiel de nuisance, entrainant la perte de données de citoyens, leur vol, leur inaccessibilité voire l'interruption de nombreux services publics durant plusieurs semaines. Au regard de ces conséquences, il convient de s'interroger sur l'existence d'obligations des collectivités territoriales en matière de cybersécurité. Dans ce cadre, deux régimes se distinguent. Le premier a trait à la responsabilité de sécurité des données personnelles des responsables de traitements telle que consacrée par le Règlement général sur la protection des données à caractère personnel (RGPD) de 2018. Le second interroge la création de nouvelles obligations de cybersécurité au titre de la nouvelle Directive "NIS 2" adoptée en décembre 2022, qui doit faire l'objet en France d'une prochaine loi de transposition, actuellement en discussion. Cette loi, qui s'appliquera à près de 15 000 "entités essentielles" ou "importantes" pourrait alors concerner directement plusieurs centaines de collectivités territoriales. Dès lors, il s'agit d'explorer à la fois les contours, le contenu et les nombreux enjeux juridiques de ce cadre juridique en construction. Au-delà, cette recherche interroge les spécificités d'un droit relatif à la cybersécurité des collectivités territoriales.