|
CS Cybersécurité |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (n° 33 ) |
N° COM-56 3 mars 2025 |
AMENDEMENTprésenté par |
|
||||
|
Mme MORIN-DESAILLY ARTICLE 28 |
|||||
Alinéa 2
remplacer les mots :
dix millions d'euros ou 2 % du chiffre d'affaires annuel mondial, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu
par le signe :
:
Après le deuxième alinéa, insérer deux alinéas ainsi rédigés :
1° Pour les entités essentielles, dix millions d’euros ou 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu ;
2° Pour les entités importantes, sept millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu.
Objet
L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. Il n’est pas fait de distinction selon qu’il s’agisse d’une entité essentielle ou d’une entité importante.
Or, le texte de la directive NIS2 établit un régime différencié de sanctions selon la catégorie des entités concernées. En effet, l’article 34 de la directive dispose que les entités essentielles (EE) s'exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de leur entreprise, selon le montant le plus élevé. Pour les entités importantes (EI), le plafond des sanctions est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial
C’est pourquoi, il est proposé de respecter la lettre du texte de la directive et de distinguer le montant des sanctions en fonction de la qualification de l’entité.