|
CS Cybersécurité |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (n° 33 ) |
N° COM-106 3 mars 2025 |
AMENDEMENTprésenté par |
|
||||
|
MM. CHAIZE, SAURY et CANÉVET, rapporteurs ARTICLE 17 |
|||||
I.- Après l’alinéa 1
Insérer dix alinéas ainsi rédigés :
Un incident est considéré comme important si :
1° il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour la personne concernée ;
2° il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
Les personnes mentionnées à l’article 14 soumettent à l’autorité nationale de sécurité des systèmes d’information :
1° sans retard injustifié et au plus tard dans les vingt-quatre heures après avoir eu connaissance de l’incident important, une notification initiale qui, le cas échéant indique si l’incident important est susceptible d'avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact en dehors du territoire national ;
2° sans retard injustifié et au plus tard dans les soixante-douze heures après avoir eu connaissance de l’incident important, une notification intermédiaire qui, le cas échéant, met à jour les informations mentionnées au 1°, et fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission lorsqu’ils sont disponibles. Par dérogation, les entités mentionnées au 4° de l’article 8 et au 3° de l’article 9 procèdent à cette notification sans retard injustifié et au plus tard dans les vingt-quatre heures après avoir eu connaissance de l’incident important ayant un impact sur la fourniture de leurs services de confiance ;
3° à la demande de l’autorité nationale de sécurité des systèmes d’information, un rapport sur les mises à jour pertinentes de la situation ;
4° au plus tard un mois après la notification intermédiaire mentionnée au 2°, un rapport final, sous réserve que l’incident soit traité ;
5° dans le cas contraire, un rapport d’avancement, au plus tard un mois après la notification intermédiaire mentionnée au 2°, devant être complété par un rapport final dans un délai d’un mois après le traitement de l’incident.
L’autorité nationale de sécurité des systèmes d’information fournit, sans retard injustifié et si possible dans les vingt-quatre heures suivant la réception de la première notification reçue, une réponse à la personne émettrice de la notification.
II. – Aliéna 3
Rédiger ainsi cet alinéa:
Le cas échéant, les entités essentielles et importantes notifient sans retard injustifié:
III.- Alinéa 4
Remplacer le mot :
critiques
Par le mot :
importants
IV.- Alinéa 7
Remplacer la première occurrence du mot :
critiques
Par le mot :
importants
V.- Alinéa 9, seconde phrase
Après la première occurrence du mot :
vulnérabilités
Supprimer la fin de la phrase.
Objet
Cet amendement vise à :
- Définir la notion d’incident important qui déclenche une notification à l’autorité nationale de sécurité des systèmes d’information ;
- Prévoir que la notification aux destinataires des services touchés par un incident important ou une vulnérabilité critique devra être faite « sans retard injustifié » comme le prévoit la directive, et non « sans délai » tel que l’envisage la rédaction initiale de l’article 17 ;
- Supprimer la notion d’incident critique qui crée de la confusion en venant s’ajouter à celle d’incident important ;
- Prévoir les quatre étapes liées à la notification d’un incident important à l’autorité nationale de sécurité des systèmes d’information : alerte précoce dans les 24 heures, notification dans les 72 heures rapport intermédiaire et rapport final ;
- Prévoir que l’autorité nationale de sécurité des systèmes d’information fournit, sans retard injustifié et si possible dans les 24 heures suivant la réception de la première notification reçue, une réponse à l’entité émettrice de la notification.