Après l'alinéa 6

Insérer un alinéa ainsi rédigé :

« 1° ... Incident : un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit ; »

Le projet de loi ne prévoit pas de définition explicite de la notion d’“incident”, laissant ainsi aux opérateurs un cadre juridique incomplet, alors qu’ils ont la responsabilité de les identifier et de les notifier à l'autorité nationale de sécurité des systèmes d'information, comme prévu à l'article L1332-7 modifié du code de la défense.

Comme l’a rappelé la commission des affaires étrangères, cette notion est au coeur de la réforme, à la fois pour la directive REC mais également NIS2 et DORA.

Aussi, à l’image de la transposition dans la loi belge, le groupe Écologiste Solidarité et Territoires propose de reprendre la définition de cette notion, donnée par la directive REC.

Après l'alinéa 6

Insérer un alinéa ainsi rédigé :

« 1° ... Résilience : la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir ; »

Le projet de loi ne prévoit pas de définition explicite de la notion de résilience, pourtant au coeur de ce projet de loi.

Sans définition claire de la résilience, il est difficile pour les opérateurs de comprendre précisément quelles mesures sont attendues, alors que plusieurs obligations renvoient directement à cette notion:

- Le projet de loi impose aux opérateurs d'importance vitale (OIV) de réaliser une analyse des risques et de mettre en œuvre des mesures de résilience adéquates, consignées dans un « plan de résilience opérateur » ;

- L'article L.1332-4 du code de la défense modifié par le projet de loi tend à imposer aux opérateurs d’importance vitale de procéder à une analyse de leurs dépendances à l’égard de tiers pour l’exercice de leurs activités d’importance vitale et de tenir compte de cette analyse lorsqu’ils arrêtent leurs mesures de résilience. 

 Aussi, pour éviter de nuire à l’efficacité de ce texte, le groupe Ecologiste Solidarité et Territoires propose de reprendre la définition de cette notion, telle qu’inscrite dans la directive REC, dans la mesure où celle-ci inclut la prévention et la prévention.

Alinéa 1

Rédiger ainsi cet alinéa :

A moins qu’elles n’en soient empêchées sur le plan opérationnel, les personnes mentionnées à l’article 14 présentent une notification initiale à l’autorité nationale de sécurité des systèmes d’information au plus tard vingt-quatre heures après avoir pris connaissance d’un incident ayant un impact important sur la fourniture de leurs services. La notification initiale ne doit inclure que les informations strictement nécessaires pour porter l’incident à la connaissance de l’autorité nationale de sécurité des systèmes d’information ainsi que, lorsque cela est possible, la cause présumée de l’incident.

Cet amendement du groupe Ecologiste - Solidarité et Territoires vise à reprendre la lettre de la directive REC, plus sécurisante en matière de notification des incidents, puisqu’elle indique un délai de notification initiale des incidents à l'autorité nationale de sécurité des systèmes d'information, sans interférer avec les ressources et la capacité de réaction de l'organisme concerné.

Alinéa 1

Après le mot :

nécessaire

Ajouter les mots :

adaptées et proportionnées

Proportionnalités des mesures prescrites par l'ANSSI

Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information, l'ANSSI peut prescrire les mesures nécessaires, notamment pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et en rendre compte.

Conformément à l'esprit de l'article 21 de la directive NIS2, cet amendement, déposé en lien avec la FedeRez, propose de préciser que les mesures prises sont adaptées et proportionnées.

Alinéa 1

Après la deuxième phrase, insérer la phrase suivante : 

Pour l’évaluation de la proportionnalité de ces mesures, il est tenu compte du degré d’exposition de l’entité aux risques, de sa taille et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

Précision de la proportionnalité des mesures de gestion du risque cyber 

L’article 14 prévoit les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées à prendre pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information.

Cet amendement, déposé en lien avec la FedeRez propose, selon les termes de l'article 21 de la directive NIS2, de préciser les critères d'évaluation de la proportionnalité des mesures en ajoutant qu'il sera tenu compte du degré d’exposition de l’entité aux risques, de sa taille et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

Alinéa 6

A la deuxième phrase

Les mots :

aux différentes 

Sont remplacés par les mots :

et proportionnées à la taille des entités et 

Adaptation du référentiel à la taille des entités concernées

Le référentiel prévu à l’article 14 devra être utile à toutes les personnes concernées, y compris celles disposant de moyens humains et financiers limités (associations sans but lucratif, micro-entreprises, villes moyennes et petites intercommunalités...).

Cet amendement, déposé en lien avec la FedeRez, propose, dans l'esprit de la directive NIS2, que le référentiel d'exigences soit adapté et proportionné à la taille (et donc aux ressources) des différentes entités et personnes concernées.

Alinéa 6

Après le mot :

sauf

rédiger ainsi la fin cet alinéa :

dans des cas exceptionnels ou, en fonction de la taille et des ressources de l'entité contrôlée, selon des critères et des aménagements définis par décret en Conseil d’État.

Adaptation du régime de sanctions en fonction de la taille et des ressources de l’entité contrôlée

L'article 29 prévoit que le coût des mesures de contrôle réalisées par l'ANSSI est à la charge des personnes contrôlées sauf lorsque, à titre exceptionnel, elle en décide autrement.

Cet amendement propose qu'un décret définisse les cas exceptionnels et précise les aménagements nécessaires relatifs aux coûts des contrôles réalisés par l'ANSSI pour les petites entités telles que les associations, les microentreprises ou très petites entreprises qui seraient concernées.

Rédiger ainsi cet article :

Les secteurs d’activité hautement critiques et critiques pour le fonctionnement de l’économie et de la société mentionnés dans la présente section sont énumérés respectivement aux annexes I et II de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022.

Secteurs d'activité concernés : renvoi aux activités strictement énumérées par la directive NIS2

L'article 7 prévoit que la liste des secteurs d'activité critiques et hautement critiques pour le fonctionnement de l'économie et de la société est fixée par décret en Conseil d'État.

Comme l'ont souligné plusieurs acteurs, et dans un souci d'éviter toute surtransposition, cet amendement propose de renvoyer aux activités énumérées dans les annexes de la directive NIS2 : annexe I pour les secteurs hautement critiques et annexe II pour les autres secteurs critiques.

Compléter l’article par un alinéa ainsi rédigé :

Ce décret fixe également un calendrier d'application progressif et différencié des mesures de contrôles en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

Pour une approche progressive et différenciée dans la mise en conformité : calendrier d'application des mesures de contrôles (et donc des sanctions)

Le projet de loi ne prévoit pas de date limite de mise en conformité (même si le délai de 3 ans semble faire consensus). Il ne prévoit pas non de date pour l'application des contrôles et donc des sanctions potentielles. L’ANSSI a d'ailleurs indiqué qu'elle laisserait le temps aux entités de se mettre en conformité avant d’engager les procédures de contrôle et de sanction.

La mise en œuvre de la directive NIS2 doit permettre une certaine souplesse dans son application pour permettre aux entités nouvellement concernées d'organiser leur montée en compétences et de renforcer progressivement leurs dispositifs de sécurité, sans risquer des pénalités immédiates.
Cette souplesse sur le calendrier permettra ainsi aux collectivités de s'organiser et d’éviter de recourir systématique à des prestataires extérieurs spécialisés supplémentaires et les coûts induits.

Les nouvelles exigences pourront aussi être hiérarchisées en fonction de leur niveau de priorité et en tenant compte du niveau d’avancement de la préparation des structures.

Pour une bonne lisibilité quant à l'application des nouvelles exigences, notre amendement propose d'intégrer une certaine progressivité dans la mise en conformité. Il prévoit à cet effet que le décret d'application prévu à l'article 30, fixe un calendrier d'application échelonnée et différenciée des mesures de contrôle en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

Alinéa 2

Compléter cet alinéa par les mots : 

pris après avis de la commission nationale de l’informatique et des libertés

Transmission de données personnelles à l'ANSSI : prévoir l'avis préalable de la CNIL

Les entités essentielles, entités importantes et bureaux d’enregistrement seront tenus de transmettre à l’ANSSI certaines données à caractère personnel, telles que l’identité et les coordonnées de leurs responsables.

Afin d’encadrer au mieux cette transmission, cet amendement, déposé en lien avec la FedeZer, propose que la CNIL soit saisie pour avis sur le projet de décret en Conseil d’État définissant les informations à transmettre.

Alinéa 3

1° Après le mot :

réalisés

insérer les mots :

, au choix de la personne auditée,

2° Remplacer les mots :

choisi par cette dernière

Par les mots :

parmi ceux agréés par elle

Choix de l'organisme réalisant les audits réguliers de sécurité

L’article 29 énumère les formes que peuvent prendre les contrôles de l’ANSSI au titre desquels figurent des audits de sécurité réguliers et ciblés.

Il est prévu que ces audits soient réalisés par l’ANSSI ou par un organisme indépendant choisi par cette dernière.

Cet amendement, déposé en lien avec a FedeZer, propose de laisser à l’entité la possibilité de choisir la personne qui l’auditera, entre l’ANSSI ou l’un des organismes indépendants ayant été préalablement agréés à cet effet. C’est d’ailleurs le choix qu’a fait la Belgique en transposant la directive NIS2.

Alinéa 3, première phrase,

Après le mot :

suspendre 

insérer les mots :

, après avis conforme de la commission des sanctions mentionnée à l’article 35,

Après la deuxième occurrence du mot :

entité

insérer les mots :

et relative à titre principal à leur sécurité numérique

Encadrement et proportionnalité des sanctions

L’article 33 autorise l’ANSSI à suspendre des certifications ou des autorisations accordées à une entité essentielle, lorsque celle-ci n’apporte pas à temps la preuve qu’elle s’est conformée à une mesure d’exécution que l’Agence lui a imposée.

La portée des certifications et autorisations concernées n'est pas définie de sorte qu'elles peuvent ne présenter aucun lien avec la sécurité numérique. La suspension peut avoir pour conséquence directe l’interruption des activités de l’entité, ce qui emporterait des pertes manifestement disproportionnées. Ce régime exorbitant est d’autant plus problématique qu’il n’est entouré d’aucune garantie.

Cet amendement, déposé en lien avec la FedeZer, propose d’encadrer ce dispositif en prévoyant que la suspension ne pourra porter que sur les autorisations et certifications concernant à titre principal la sécurité numérique et sera décidée sur avis conforme de la commission de sanctions.

Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou

Application stricte de la directive NIS2 quant à la désignation des entités concernées

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

Cet amendement, déposé en lien avec Numeum, propose de se conformer au champ exact prévu par la directive NIS2.

Alinéa 2

1° remplacer la deuxième occurrence du mot :

ou

par le mot:

et

2° remplacer la deuxième occurrence du mot :

et 

par le mot : 

ou

Application stricte de la directive NIS2 quant à la désignation des entités concernées

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

Cet amendement, déposé en lien avec Numeum, propose de se conformer au champ exact prévu par la directive NIS2.

I.- Alinéa 1

Après la première phrase, insérer une phrase ainsi rédigée :

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

II.- Alinéa 2

Après le mot

fournissant

Ajouter le mot 

sciemment

Tenir compte de la bonne foi de l'entité dans l'application des sanctions

L’article 28 prévoit des sanctions lorsqu’une entité fait obstacle aux demandes d’informations de l’ANSSI, ou en cas de fourniture de renseignements incomplets.

La situation inhérente à une crise cyber ne permet pas toujours à une entité de fournir l’ensemble des informations requises dans les délais impartis, sans pour autant que sa bonne foi ne puisse être remise en cause. 

Cet amendement, déposé en lien avec Numeum, propose par conséquent d’introduire un critère d’intention dans la sanction administrative au bénéfice des entités agissant de bonne foi.

Il propose également de reproduire une disposition issue de l’article 33 du RGPD sur la transmission progressive des informations en fonction de la disponibilité de celles-ci.

Alinéa 1

Les mots : 

ayant un impact important sur la fourniture de leurs services

Sont remplacés par le mot :

important

Notion d'incident : application stricte de la directive NIS2

Les entités doivent notifier à l'ANSSI "tout incident ayant un impact important sur la fourniture de leurs services".

Il est prévu qu’un décret en Conseil d’État précise les critères d’appréciation des caractères importants et critiques des incidents et vulnérabilités.

Comme souligné par la Commission supérieure du numérique et des postes (CSNP) dans son avis rendu le 3 octobre 2024, il n'est pas opportun de lier la notion d'incident à l'importance de son impact : il n’est pas rare en effet qu’une cyberattaque ne soit pas immédiatement identifiée et que l’ampleur de son impact, important ou pas, puisse parfois être difficilement évaluable. Par ailleurs, cette notion est sujette à interprétation et ne sera pas forcément perçue de la même manière selon les entités.

Cet amendement propose donc d'utiliser les termes "incident important" comme dans la directive NIS2 plutôt que "incident ayant un impact important".

I.- Après l'article 5

Insérer un article additionnel ainsi rédigé :

L’État met en place un plan national d'accompagnement au renforcement de la cybersécurité sur 5 ans qui identifie les compétences nécessaires et les besoins de formations sur les territoires. 

Un volet de ce plan est dédié à l'accompagnement technique et financier des TPE et PME, ainsi qu'aux villes moyennes et petites intercommunalités.

Le plan clarifie le rôle des CSIRT territoriaux, et leur financement, dans l’accompagnement des entités nouvellement soumises à la directive NIS2 et la mutualisation des moyens des collectivités.

Un bilan de la mise en œuvre de la directive NIS2 est réalisé deux ans après la promulgation de la loi n°  du  relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité pour évaluer les difficultés et ajuster les mesures d'accompagnement.

II.- En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :

Accompagnement des entités nouvellement soumises à des exigences renforcées de cybersécurité

Le changement d'échelle induit par la directive NIS 2 représente un véritable défi avec un nombre d’entités régulées passant de 500 actuellement à 15 000 entités, et avec une augmentation du nombre de secteurs régulés de 6 à 18.

La mise en œuvre de la directive NIS2 pose des défis majeurs et notamment le risque de saturation des ressources expertes et le coût financier. Les exigences accrues en cybersécurité risquent de peser lourdement particulièrement pour les nouvelles entités concernées : le coût de mise en conformité est estimé à 2 milliards d’euros, dont 1,3 milliard pour les entreprises de taille moyenne et à 690 millions d’euros par an pour les collectivités (hors coût des recrutements rendus nécessaires).

Comme souligné par la Commission supérieure du numérique des postes (CSNP), certaines des entités nouvellement soumises aux dispositions de la directive sont moins dotées en ressources humaines, techniques et financières. Et au-delà des coûts, certains territoires ne disposent tout simplement pas des ressources humaines ou de prestataires compétents en matière de cybersécurité pour accompagner les nouvelles entités essentielles ou importantes au sens de la directive NIS 2.

Le Conseil d’État, dans son avis du 6 juin 2024, estime également indispensable un effort d'information et d'accompagnement soutenu et réactif de l’État au profit des entités concernées par le directive NIS2.

La réussite de la mise en œuvre des exigences renforcées de cybersécurité, dans un temps que l'on souhaite le plus court possible, est donc subordonnée à la capacité de l’État à accompagner ces nouvelles entités.

Notre amendement propose donc d'introduire un chapitre dédié à l'accompagnement des entités nouvellement soumises à des exigences renforcées de cybersécurité, et tout particulièrement à destination des TPE et des PME ainsi qu'aux villes moyennes ou petites intercommunalités.

Ce plan d’accompagnement identifiera les besoins de financements et de formations. 

Il clarifiera le rôle joué par les CSIRT territoriaux dans l’accompagnement des entités concernées par la directive NIS 2 et dans le regroupement et la mutualisation des moyens des collectivités, leur répartition sur le territoire en hexagone comme en outre-mer et leur financement.

Il dressera un bilan de la mise en œuvre de la directive NIS2 pour évaluer les difficultés et ajuster les mesures d'accompagnement.

Compléter cet article par dix alinéas ainsi rédigés :

Après l’article 244 quater Y du code général des impôts, il est inséré un nouvel article ainsi rédigé :

« Art.... I. – Jusqu'au 31 décembre 2027, les dépenses exposées par les entreprises qui satisfont à la définition des micro, petites et moyennes entreprises donnée à l'annexe I au règlement (UE) n° 651/2014 de la Commission du 17 juin 2014 déclarant certaines catégories d'aides compatibles avec le marché intérieur en application des articles 107 et 108 du traité peuvent bénéficier d'un crédit d'impôt égal à 30 % de la somme :

« – des dépenses d’audit de cybersécurité ;

« – des dépenses d’acquisition, de souscription ou de maintenance d’un produit ou service de cybersécurité ;

« – des dépenses de formation en cybersécurité engagées par l’entreprise en faveur de salariés.

« Les subventions publiques reçues par les entreprises à raison des dépenses ouvrant droit au crédit d’impôt sont déduites des bases de calcul de ce crédit.

« Le crédit d’impôt est plafonné à 30 000 €.

« Le crédit d’impôt est imputé sur le résultat imposable à l'impôt sur le revenu ou à l'impôt sur les sociétés de l'entreprise.

« Ces dispositions s'appliquent aux dépenses exposées à compter du lendemain de la promulgation de la présente loi.

« La perte de recettes pour l’État est compensée, à due concurrence, par la création d’une taxe additionnelle à l’accise sur les tabacs prévue au chapitre IV du titre Ier du livre III du code des impositions sur les biens et services.

« Un décret en Conseil d’État détermine les critères nécessaires à l’obtention de ce crédit d’impôt. »

Crédit d'impôt en faveur des micro, petites et moyennes entreprises

Le Sénat a préconisé à de multiples occasions la nécessité de mettre en place un accompagnement financier, sous forme de crédit d'impôt, pour accompagner la transformation numérique des petites et moyennes entreprises. Les TPE et PME françaises accusent déjà un retard certain en matière de numérisation, notamment en raison de l’absence de politique publique claire spécifiquement dédiée à leur modernisation.

Dans le rapport de 2021 de la délégation aux entreprises relatif à la cybersécurité des entreprises, les auteurs, Rémi CARDON et Sébastien MEURANT, pointaient déjà le coût financier que représentait le virage numérique, surtout pour les plus petites entreprises. Les auteurs du rapport avaient en effet identifié le risque qu'elles aient une bonne connaissance de leurs insuffisances, grâce aux diagnostics, tout en ne disposant pas des moyens financiers d’y remédier.

Le volet financier du renforcement de la cybersécurité des petites et moyennes entreprises ne doit plus rester un angle mort de cette politique publique.

Cet amendement vise à instaurer un crédit d’impôt en faveur des micro, petites et moyennes entreprises pour les accompagner dans la mise en œuvre de la directive NIS2.

Après l’alinéa 5
Insérer un alinéa ainsi rédigé :
…° Garantir les impératifs de souveraineté, de sécurité nationale, d’autonomie stratégique et de protection des réseaux contre les ingérences étrangères et les législations à portée extraterritoriale.

Introduire un objectif de souveraineté dans la mise en œuvre de la directive NIS2

Alinéa 6

Après le mot :

également 

rédiger ainsi la fin de cet alinéa :

les modalités de constitution et de fonctionnement d’un comité de suivi chargé de déterminer les conditions d’élaboration, de modification et de publication d’un référentiel d’exigences techniques et organisationnelles qui sont adaptées aux différentes personnes mentionnées au premier alinéa. Ce comité comprend des représentants de l’État et de l’Agence nationale de la sécurité et des systèmes d’information et des représentants d'organisations professionnelles, d'organisations syndicales et des associations d'élus.

Créer un comité de suivi pour associer les représentants de la filière cyber et les représentants des entités concernées à la rédaction du référentiel d’exigences techniques et organisationnelles

Cet amendement vise à créer un comité de suivi afin d’associer les représentants de la filière cyber et les représentants des entités concernées à l’élaboration du référentiel d’exigences techniques pour la conformité à NIS2 prévu à l’article 14 du projet de loi. 

Ce référentiel est essentiel car il déterminera quel type de technologie cyber est adapté pour la protection des entités assujetties pour se mettre en conformité avec NIS2. Sa rédaction est renvoyée à un décret en Conseil d’État, sans autre précision.

Cet amendement propose que la rédaction et les futures modifications de ce référentiel se fassent dans un cadre de concertation rassemblant, aux côtés de l’ANSSI, les organisations professionnelles et syndicales du secteur (Alliance pour la confiance numérique, Medef, CPME…), des membres de l’administration et les associations d'élus.

Alinéa 7 

Après les mots : 

fonctionnement de 

rédiger ainsi la fin de l’alinéa : 

la défense ou de la sécurité de la Nation ainsi qu’aux activités économiques, de la société,  de la préservation de la santé publique ou de l’environnement.

Article 1^er (Art. L. 1332-1)

Le présent amendement du groupe SER envisage de mettre en conformité le droit national et le droit européen tel qu’il résulte de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022.

Il articule la définition nationale en vigueur avec la définition de service essentiel fixée dans la directive REC en la complétant avec les références à la santé publique et à l’environnement. Cette proposition est d'autant plus logique que les secteurs précités entrent dans le champ d'application de la directive.

Alinéa 12 

Compléter cet alinéa par les mots : « après concertation entre l’autorité administrative et les opérateurs publics ou privés concernés »

Article 1^er (Art. L. 1332-2)

La notification à l'opérateur de l'intention de le désigner opérateur d’importance vitale (OIV) doit être l'occasion d'une concertation entre l'autorité administrative (ministre coordonnateur ou préfet de département selon le cas) et l'opérateur concerné. 

Le principe de cette concertation est prévu dans la partie règlementaire du code de la défense. Le présent amendement du groupe SER envisage de le consacrer dans la loi en raison des implications que la désignation d’OIV entraîne. 

La concertation préalable est d’autant plus déterminante qu’elle repose sur l’examen de plusieurs facteurs : taille de l'opérateur, allant de la TPE au grand groupe ; secteur d'activité concerné ; probabilité d'occurrence et gravité des risques identifiés. 

Par ailleurs, la systématisation de la prise en compte de la continuité d'activité pour satisfaire au critère de résilience inscrit dans la directive va engendrer des coûts supplémentaires pour l’opérateur. Il en ira de même pour les collectivités territoriales désignées en tant qu'OIV en raison des activités qu'elles assurent pour leurs administrés.

Alinéa 13 

Après le mot : « exerçant », insérer les mots : « pour tout ou partie »

Article 1^er (Art. L. 1332-2)

Le présent amendement du groupe SER précise le périmètre des entités susceptibles d’être désignées OIV. 

La désignation en tant qu’OIV implique des obligations à la charge de l’opérateur dont le manquement peut être sanctionné. Il revient donc à l’autorité administrative compétente de bien définir les infrastructures retenues. 

En outre, cette désignation porte nécessairement une atteinte à la liberté d'entreprendre. Si le législateur peut limiter l'exercice de cette liberté, cette atteinte doit être proportionnée au regard de l'objectif poursuivi.

Alinéa 14 

Après le mot : « européenne », insérer les mots : « dans les secteurs de l’énergie, des transports, des infrastructures bancaires, des infrastructures de marché financier, de la santé, de l’eau potable, de l’assainissement, des infrastructures digitales, de l’administration publique, de l’espace et de l’alimentation »

Article 1^er (Art. L. 1332-2)

Le présent amendement du groupe SER entend poursuivre la clarification sur la compatibilité de la notion d’opérateurs d’importance vitale (OIV) avec celle d’entité critique au sens de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC). 

Dans son considérant 5, la directive REC souligne les interdépendances croissantes entre les infrastructures et les secteurs. Elles sont le résultat d’un réseau de fourniture de services de plus en plus transfrontière et intégré. 

Si notre dispositif actuel de sécurité des activités d’importance vitale a déjà identifié les secteurs d’activités indispensables pour la continuité de la Nation et les autorités administratives chargée de les superviser, il convient de saisir l’opportunité offerte par l’examen du présent projet de loi relatif à la résilience des infrastructures critiques pour mettre à jour et préciser dans la loi notre modèle en vigueur en s’alignant sur le champ d’application de la directive.

Alinéa 20 

Remplacer les mots : « de toute nature, y compris à caractère terroriste, », par les mots : « naturels ou d’origine humaine, accidentels ou intentionnels, y compris à caractère terroristes et ceux qui revêtent un caractère transsectoriel ou transfrontière »

Article 1^er (Art. L. 1332-3)

Il est paradoxal que le projet de loi s’abstienne de préciser la nature des risques dont l’analyse s’impose aux opérateurs d’importance vitale tout en prenant soin de se référer expressément au risque à caractère terroriste.

 Le présent amendement du groupe SER propose de s’inspirer des articles 5 et 12 de la directive et de ses différents considérants qui visent les risques naturels ou d’origine humaine, accidentels ou intentionnels, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, afin de traiter de manière globale la résilience des entités critiques.

Alinéa 22 

Remplacer la deuxième occurrence du mot : « d’ », par les mots : « afin de prévenir tout incident et d’y réagir pour »

Article 1^er (Art. L. 1332-3)

Le projet de loi ne prend pas suffisamment en considération la définition de la notion de résilience telle qu’elle est inscrite à l’article 2 de la directive, à savoir : « la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter, et à s'en rétablir ». 

Or le principe de résilience est au cœur de la transposition de la directive européenne REC du 14 décembre 2022 et nécessite qu’on porte une attention particulière à sa définition. 

C’est pourquoi le présent amendement du groupe SER propose de compléter la notion de résilience en incluant le principe de prévention des accidents afin de mettre en conformité le droit national et le droit européen.

Alinéa 29 

Compléter cet alinéa par les mots : « en distinguant les informations et supports qui doivent faire l'objet d'une classification spéciale pour figurer  dans le document visé au quatrième alinéa de cet article »

Article 1^er (Art. L. 1332-3)

Conformément à la directive européenne REC, le projet de loi prévoit l'obligation pour l'opérateur d’importance vitale de réaliser un plan de résilience opérateur (PRO). 

Toutefois, le contenu du PRO pourrait contenir des éléments classifiés. 

Le présent amendement du groupe SER renvoie au pouvoir règlementaire la nécessité de distinguer les éléments classifiés au sein du PRO des parties moins sensibles et qui figurent déjà dans le plan de continuité d'activité existant.

Alinéa 30 

Remplacer les mots : « y compris ceux », par les mots : « quel que soit le positionnement occupé dans la phase d'activité ou de production de ce tiers et y compris pour les tiers »

Article 1^er (Art. L. 1332-4)

Actuellement, les opérateurs d'importance vitale (OIV), dès qu'ils sont désignés comme tels, doivent appréhender leur dépendance potentielle avec des sous-traitants. Leur plan de sécurité (PSO) doit faire figurer les dépendances amont, en aval et intégrer les aspects internationaux. 

Cette exigence est reprise par les articles 4, 12 et 19 de la directive UE 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022. 

Dans ces conditions, le présent amendement du groupe SER reprend ce principe général et précise que doivent être identifiées toutes les dépendances et interdépendances des opérateurs d'importance vitale, quelle que soit la localisation ou le positionnement des sous-traitants dans le processus de production. 

C’est en identifiant toutes les dépendances et interdépendances des opérateurs d'importance vitale, qu’il est possible d'anticiper une crise potentielle ayant une incidence sur l'un de ces sous-traitants et donc d'assurer la préparation d'une stratégie de poursuite d'activité.

Alinéa 33 

Après les mots : « Ces mesures » rédiger ainsi la fin de cet alinéa : « visent à prévenir la survenance d’incidents, assurer la protection des points d’importance vitale, réagir et résister aux conséquences des incidents afin d’assurer la continuité des activités des points d’importance vitale et organiser la gestion de la sécurité liée au personnel qui exerce les fonctions sensibles définies au troisième alinéa de l’article L. 1332-6 dans les points d’importance vitale en prenant en compte le personnel des prestataires de services extérieurs présent. »

Article 1^er (Art. L. 1332-5)

La directive européenne sur la résilience des entités critiques (REC) du 14 décembre 2022 consacre le passage d'une logique de protection d'infrastructures critiques physiques à une logique de résilience des entités critiques. 

Les opérateurs dont un ou plusieurs points d’importance vitale sont désignés ne sont plus seulement tenus de protéger leurs installations et matériels. Ils sont tenus de s'assurer de la résilience de l'activité pour laquelle ils ont été désignés. 

Dans le cadre de la transposition, le présent amendement du groupe SER juge opportun de prendre en compte au niveau législatif la définition du « plan particulier de résilience », qui figure expressément dans la directive, et qui n'existe pas dans le dispositif actuel.

Alinéa 38 

Après le mot : « État », insérer les mots : « pris après avis de la Commission nationale de l'informatique et des libertés »

Article 1^er (Art. L. 1332-6)

Le présent amendement du groupe SER prévoit que le décret d’application relatif aux enquêtes administratives de sécurité préalable à l’accès physique ou à distance des points d’importance vitale et aux systèmes d’information d’importance vitale soit pris après avis de la Commission nationale de l'informatique et des libertés (CNIL). 

Cette précision est nécessaire dès lors que les enquêtes administratives vont porter sur un champ plus large que le cadre en vigueur et qu’elles peuvent donner lieu à la consultation du bulletin n° 2 du casier judiciaire ainsi que des traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

I. - Alinéa 44 

Après le mot : « prévu », la fin de cet alinéa est ainsi rédigée : « au plus tard vingt-quatre heures après en avoir pris connaissance. »

II. – Après cet alinéa, insérer un alinéa ainsi rédigé : 

« Un décret en conseil d’État détermine les éléments d’information que doivent fournir les opérateurs d’importance vitale et qui figurent dans le plan détaillé permettant à l’autorité compétente de saisir la nature, la cause et les conséquences y compris transfrontières de l’incident. »

Article 1^er (Art. L. 1332-7)

Les articles 14 et 15 de la directive REC consacrent l'obligation pour les opérateurs d’importance vitale (OIV) d'effectuer une notification de leurs incidents à l'autorité administrative. 

La remontée des incidents serait organisée en deux temps. 

D’une part, la directive européenne insiste sur l'importance que ces incidents soient notifiés sans retard injustifié.  D’autre part, elle prévoit la rédaction d’un rapport détaillé comprenant plusieurs paramètres facilitant l’analyse et les conséquences des incidents. 

Le présent amendement du groupe SER s’inscrit dans cette logique. 

 Il s’aligne sur la directive afin de prévoir que tous les incidents quel que soit le secteur d’activité, font l’objet d’une notification à l’autorité administrative dans les 24 heures afin d’alerter au plus tôt sur l’existence des désordres et mobiliser la demande d’assistance des services de l’État. 

En second lieu, afin de prendre en compte les différences sectorielles et géographiques, il renvoie au pouvoir règlementaire le soin de préciser les critères que l’OIV devra identifier dans le rapport détaillé pouvant l'aider à la résolution de l'incident.

Alinéa 48 

Après le mot : « similaires », insérer les mots : « à ou »

Article 1^er (Art. L. 1332-8)

L'opérateur d'importance vitale relevant de la catégorie d'entité critique au niveau européen doit assurer une activité d'importance vitale et fournir des services essentiels au sens de la directive REC. 

Or, la définition des entités considérées comme critiques au niveau européen prévue par l’article 17 de la directive est plus large que celle retenue par le projet de loi. 

Elle prévoit que l'entité doit fournir les mêmes services essentiels ou des services essentiels similaires « à ou dans six États membres ou plus ». 

Le respect de cette définition en droit interne est important car cette nouvelle catégorie d’entité se voient imposer des obligations supplémentaires par la directive REC et impose l'obligation pour l’autorité administrative de notifier son existence à la Commission européenne. 

C’est la raison pour laquelle le présent amendement du groupe SER propose de reprendre in extenso la définition figurant dans la directive afin de mieux articuler le droit européen avec notre ordre juridique interne.

Alinéa 51 

Après le mot : « peut », insérer les mots : « sur demande motivée de la Commission européenne ou d’un ou de plusieurs des États membres auxquels ou dans lesquels le service essentiel est fourni et »

Article 1^er (Art. L. 1332-9)

L'article 18 de la directive REC prévoit pour la Commission européenne et les États membres concernés directement par l'entité critique d'importance européenne particulière la possibilité de réaliser des « missions de conseil ». 

Ces missions ont pour objectif d'évaluer les mesures mises en place par l'entité et de vérifier que l'entité met en œuvre les obligations de résilience prévues dans la directive REC. 

Si le projet de loi prévoit, conformément à l’article 18 de la directive REC, que les missions de conseil ne peuvent être effectuées qu'avec l'accord des autorités étatiques compétentes, le présent amendement du Groupe SER précise que cette inspection exige également au préalable la présentation d’une demande motivée de la Commission européenne ou d’un ou de plusieurs des États membres auxquels ou dans lesquels le service essentiel est fourni.

Alinéa 65 

Compléter cet alinéa par les mots : « en lien avec les installations sensibles »

Article 1^er (Art. L. 1332-13)

Le présent amendement du groupe SER propose d’encadrer le pouvoir de contrôle des agents chargés de la supervision des opérateurs d’importance vitale (OIV) conformément à l’article 21 de la directive REC qui limite les inspections aux locaux utilisés par l’entité critique pour fournir ses services essentiels. 

Même si le contrôle doit être réalisé dans une logique concentrique de l’extérieur vers l’intérieur, il ne peut viser l’ensemble des lieux à usage professionnel mais seulement les lieux professionnels d’exécution de la prestation en lien avec les installations critiques. 

L’exigence d’une transposition complète de la directive REC qui impose de prévoir un mécanisme de supervision doit s’accompagner de garanties offertes aux OIV concernés dans la conduite des contrôles.

Alinéa 76 

Après la seconde occurrence du mot : « sanctions », insérer les mots : « impartiale et indépendante »

Article 1^er (Art. L. 1332-15)

Le projet de loi prend soin de préciser que les membres de la commission des sanctions exercent leurs fonctions en toute impartialité. Il ajoute que dans l’exercice de leurs attributions, ces derniers ne reçoivent ni ne sollicitent d’instruction d’aucune autorité. 

Dans ces conditions, même si la commission des sanctions instituée par le projet de loi n’est pas légalement une autorité administrative indépendante, le présent amendement du groupe SER entend insister sur les critères d’indépendance et d’impartialité qui la caractérisent et qui légitiment sa capacité d’infliger des sanctions.

Avant l’alinéa 1 

Insérer un alinéa ainsi rédigé : 

Le Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense des systèmes d’information. Il dispose à cette fin de l’autorité nationale de sécurité des systèmes d’information. 

L’article 5 du projet de loi vise à transposer les mesures issues de l'article 8 de la directive 2022/2555 dite « NIS 2 », en ce qui concerne la désignation de l'autorité nationale de sécurité des systèmes d'information et sa compétence pour contrôler la mise en œuvre de la directive. 

Le présent amendement du groupe SER entend introduire dès cet article un alinéa préliminaire ayant pour but de réaffirmer que les missions de l’autorité nationale de sécurité des systèmes d’information sont duales puisqu’elles relèvent à la fois de la sécurité des systèmes d’information et de la défense des systèmes d’information, cette dernière étant déjà définie par l’article L. 2321-1 du code de la défense. 

En effet, il est nécessaire d’avoir à l’esprit, dès le début de cette disposition qui ouvre le titre II « cybersécurité », que les notions de cybersécurité et de cyberdéfense présentent un lien d'interdépendance sans qu'elles ne recouvrent des périmètres identiques. 

Cette architecture étant clairement identifiée, il reviendra au pouvoir règlement de définir l’organisation et la répartition des compétences entre les services de l’État chargés d’appliquer la politique nationale de sécurité et de défense des systèmes d’information.

Alinéa 3 

Après le mot : 

missions 

insérer les mots :

exercées au niveau nationale, au sein de l'Union européenne et de coopération internationale

Le présent amendement du groupe SER s’aligne sur l’article 8 de la directive NIS 2 afin de préciser que l’autorité nationale des systèmes d’information est le point de contact unique pour les autorités compétentes des autres États membres, pour la Commission européenne et l'Agence de l'Union européenne pour la cybersécurité (ENISA). 

Elle est également représentante de la France dans le cadre de la coopération internationale organisée par la directive NIS 2, notamment au sein de EU-CyCLONe (article 16 de la directive NIS 2) et au sein du réseau des CSIRT (article 15 de la directive NIS 2). 

I.- Après l'article 5

Insérer un article additionnel ainsi rédigé :

Dans chaque département, un sous-préfet est identifié en qualité de référent en matière de cybersécurité et de résilience des infrastructures pour coordonner, en lien avec l'autorité nationale de sécurité des systèmes d'information, l'accompagnement des collectivités territoriales à la fois dans leurs obligations de renforcement en matière de cybersécurité et dans l'aide au maintien des services publics essentiels en cas de perturbation des services numériques.

Il anime une cellule de gestion du risque cybersécurité, et organise, en lien avec les associations d'élus, la mutualisation éventuelle des moyens des collectivités nécessaires à la cybersécurité et cyberésilience ainsi que le partage d'expérience.

Il veille notamment à la mise en œuvre de plans de résilience par les collectivités pour assurer la continuité des missions de service public. Il apporte tout l'appui nécessaire de l'administration décentralisée en lien avec les administrations centrales lorsque ces services publics locaux sont étroitement liées à des missions régaliennes ou nationales (état civil, élections, éducation...).

II.- En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :

Renforcer l’accompagnement des collectivités : identification d'un sous-préfet référent cybersécurité et résilience

Beaucoup de collectivités se sentent encore très éloignées des enjeux de cybersécurité alors qu’elles sont souvent la cible privilégiée de cyberattaques en raison de leur rôle critique dans la gestion de nombreuses données sensibles et de leur proximité avec les administrés et qu'elles doivent garantir la continuité des missions essentielles de services publics. Les villes moyennes concernées et les communautés de communes notamment, s’inquiètent également de la mise en jeu de leurs responsabilités en cas de non-conformité des systèmes d'information et de continuité des missions de services publics.

Le changement d'échelle opéré par la directive NIS2 porte non seulement sur le nombre de collectivités concernées mais également sur un changement d'approche basée sur la résilience des activités malgré les perturbations subies en cas d'attaque de cybersécurité. Cela nécessite de mettre en place un dispositif d'ampleur d’information et d'accompagnement des entités nouvellement concernées qui devront s'auto-identifier et auto-évaluer leur conformité. 

Reprenant l’esprit d’une recommandation de son avis n°2023-06 du 12 septembre 2023 sur la souveraineté numérique, la Commission supérieure du numérique et des postes (CSNP) pose à nouveau le rôle que les préfets pourraient jouer dans la mise en conformité à NIS2 des collectivités.

Il est proposé de consolider le maillage territorial d'accompagnement des collectivités, en lien avec l'ANSSI.

Aussi notre amendement propose, dans chaque département, qu'un sous-préfet soit identifié en matière de cybersécurité pour coordonner l’accompagnement des collectivités territoriales dans leurs obligations de renforcement en matière de cybersécurité et de maintien des missions de services publics en cas de perturbation des services numériques (il est précisé qu'il s'agit de confier cette mission à un sous-préfet déjà en place). 

L’objectif est d'apporter une réponse organisée et centralisée face à des crises où l'interruption des services numériques rendrait difficile l'exécution des missions essentielles. Le sous-préfet aura pour mission de veiller à la mise en œuvre de plans de résilience par les collectivités.

Il animera une cellule de gestion du risque cybersécurité, et organisera, en lien avec les associations d’élus, la mutualisation des moyens des collectivités et le partage d’expérience.

Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou 

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

L’article 8 du projet de loi n’est pas conforme à ces dispositions et prévoit que ces critères sont alternatifs. Le présent d’amendement vise à corriger cette rédaction pour éviter tout écart de transposition avec la directive NIS2.

Alinéa 2

1° remplacer la deuxième occurrence du mot :

ou

par le mot :

et

2° remplacer la deuxième occurrence du mot :

et

par le mot :

ou

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 50 personnes et dont le chiffre d’affaires ou le total du bilan annuel excède 10 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

L’article 9 du projet de loi n’est pas conforme à ces dispositions et prévoit que ces critères sont alternatifs. Le présent d’amendement vise à corriger cette rédaction pour éviter tout écart de transposition avec la directive NIS2.

1° Alinéa 4

Remplacer le mot :

critiques

par le mot :

importants

2° Alinéa 7

Remplacer la première occurrence du mot :

critique

par le mot :

important

3° Alinéa 9 :

Remplacer les mots :

« des caractères importants et critiques »,

par les mots :

« du caractère important ».

Cet amendement propose une harmonisation terminologique entre la directive et la loi de transposition en ce qui concerne la dénomination des incidents.

En effet la notion d’« incident critique » n’existe pas dans la directive NIS2 qui fait seulement mention d’« incidents importants ». Il est important de rester fidèle à la dénomination de la directive pour assurer la lisibilité du texte en France et éviter une asymétrie de transposition entre les différents pays de l’Union Européenne.

Après l'alinéa 1, insérer un alinéa ainsi rédigé :

La communication d’informations effectuée en vertu du premier alinéa ne peut intervenir que si elle nécessaire à l’accomplissement des missions des personnes émettrices ou destinataires de ces informations. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif du partage. Le partage d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.

L’article 2 de la directive NIS2 comporte des précisions sur les conditions qui doivent encadrer le partage entre autorités d’informations confidentielles préalablement recueillies auprès d’entités. Or, la rédaction actuelle de l’article 23 ne transpose pas en l’état ces conditions et ne semble pas offrir un niveau satisfaisant de protection des informations confidentielles.

Le présent amendement vise par conséquent à retranscrire dans le projet de loi les conditions prévues en droit européen et à éviter ainsi une sous-transposition de la directive.

Alinéa 2

après les mots :

le fait pour la personne contrôlée, de faire obstacle

insérer les mots :

de façon délibérée

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. 

Or, un renseignement incomplet ou inexact peut être le résultat d’un cas de force majeure, ou de circonstances qui ne dépendent pas uniquement de la personne contrôlée.

C’est pourquoi, afin de garantir une évaluation proportionnée des manquements, il est proposé de préciser que l’absence de coopération de la personne contrôlée doit être délibérée pour que le manquement soit caractérisé.

Alinéa 2

remplacer les mots :

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. Il n’est pas fait de distinction selon qu’il s’agisse d’une entité essentielle ou d’une entité importante. 

Or, le texte de la directive NIS2 établit un régime différencié de sanctions selon la catégorie des entités concernées. En effet, l’article 34 de la directive dispose que les entités essentielles (EE) s'exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de leur entreprise, selon le montant le plus élevé. Pour les entités importantes (EI), le plafond des sanctions est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial

C’est pourquoi, il est proposé de respecter la lettre du texte de la directive et de distinguer le montant des sanctions en fonction de la qualification de l’entité.

Alinéa 13

L’article 37 du présent projet de loi permet notamment à la commission des sanctions d’interdire à toute personne physique exerçant les fonctions de dirigeant dans l’entité essentielle d’exercer ces responsabilités, jusqu’à ce que l’entité essentielle ait remédié au manquement.

Or, l’alinéa 5 de l’article 32 de la directive NIS2 prévoit que cette sanction n’est prise qu’en dernier recours, lorsque les précédentes mesures d’exécution sont inefficaces.

C’est pourquoi, afin de respecter la lettre de la directive NIS2 et d’éviter toute surtransposition, il est proposé de préciser que l’interdiction pour les personnes physiques exerçant des fonctions de dirigeant d’exercer des responsabilités n’est prise qu’en dernier recours.  

Alinéa 3

Compléter cet alinéa par une phrase ainsi rédigée :

Ces missions comprennent notamment l'accompagnement et le soutien au développement de la filière cybersécurité en coordination avec les ministères compétents.

Les enjeux de transformation qui découlent de la transposition de la directive NIS 2 vont nécessiter de mobiliser pleinement la filière numérique française pour répondre aux besoins des entreprises, collectivités et entités concernées par les obligations. Il est nécessaire d’accompagner au mieux ces pourvoyeurs de solutions en soutenant le développement de la filière.

Alinéa 1

Compléter cet alinéa par une phrase ainsi rédigée :

Dans les trois années qui suivent l'entrée en application de la loi, l’ensemble des entités concernées sont informées et sensibilisées par les ministères concernées.

Alinéa 2

Rédiger ainsi cet alinéa :

Dans le respect des modalités de chiffrement de bout en bout ainsi que de protection des données recueillies des lois extraterritoriales, les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises sont définis par décret en Conseil d’État.

La directive NIS 2 prévoit que les nouvelles entités importantes doivent s’auto-déclarer auprès de l’autorité de tutelle. Il est à craindre qu’un certain nombre d’entre elles, nouvellement concernées par ces obligations de cybersécurité, tardent à identifier leur nouvelle obligation et y répondent. Un travail d’identification croisé doit être opéré, via le code NAF ou NACE, sur les critères édictés (filière, CA, effectifs) et par les acteurs publics, pour identifier et pré-sensibiliser les entreprises nouvellement destinataires de nouvelles obligations pour les informer et accompagner au mieux. La durée de 3 ans doit permettre d’être en cohérence avec les annonces récentes de l’ANSSI sur l’entrée en application des contrôles à venir par l’Autorité.

Les obligations prévues par NIS 2, REC et DORA vont conduire les entités régulées à transmettre régulièrement informations et données sensibles à l’ANSSI. Il est primordial que ce partage se fasse dans des conditions de sécurité importantes et qui préservent les données d’un risque d’extra-territorialisation. Comme le suggère la recommandation n°11 du rapport de la CSNP, il est primordial que ce partage se fasse au travers de mécanismes de protection des informations divulguées afin de garantir la confidentialité des données, potentiellement sensibles, et de les préserver d’un risque d’extra-territorialisation, conformément à l’article 31 de la LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique.

Compléter l'alinéa unique par une phrase ainsi rédigée :

À intervalle régulier, l'ANSSI informe les entités du degré d’exigence qui pèse sur elles.

De nombreuses réglementations numériques, sectorielles et non sectorielles, viennent s’imposer aux entreprises. L’avant-projet de loi Résilience numérique dispose actuellement, au travers de l'article 13, que l’entreprise devra se conformer au texte le plus contraignant : cette formulation laisse la place à une appréciation individuelle desdites entreprises. De fait, afin de s'assurer de l'usage systématique de la réglementation la plus exigeante, l’ANSSI devra informer régulièrement les entités du degré d’exigence qui pèse sur elles.

Alinéa 6

Avant les mots :

Ce décret

insérer les mots :

Après consultation des professionnels du secteur, 

Au regard de l’évolution rapide et protéiforme que prend la menace cyber, il est nécessaire de prévoir dès à présent les leviers et l’organisation qui permettront la mise à jour du référentiel d’obligations pris par décret.

Une clause d’adaptabilité est défendue dans la recommandation n°12 du rapport de la CSNP. Au-delà de l’ANSSI, qui est bien sûr appelée à jouer un rôle essentiel dans ce processus, des représentants de la filière française cyber (CSF, groupements professionnels du secteur) doivent être associés pour avoir un regard clairvoyant sur les nécessaires évolutions.

Après l’article 39

Insérer un article additionnel ainsi rédigé : 

Le code du travail est ainsi modifié :

Au premier alinéa de l’article L. 4121-3, après les mots : « des postes de travail », insérer les mots : « et dans la sécurisation des outils numériques ».

La transformation organisationnelle qu’appelle NIS 2 pour les entités ne saurait se limiter à un accompagnement circonscrit à des subventions ou des crédits d’impôts. Le présent projet de loi est l’occasion d’impulser un réel changement de paradigme autour des enjeux de cyberprotection et de cybersécurité. Ces risques sont dorénavant des risques du quotidien et doivent être appréhendés comme tels par tous les acteurs concernés. La méthode cybersecurity by design doit donc devenir la norme de tout projet informatique ou de transformation numérique.

L’objectif de passer de 5% des dépenses informatiques des entreprises dédiées à la cyber, à 10% tel que fixé par le Directeur Général de l’ANSSI (et à l’image de nombreux pays à travers le monde) est donc un objectif quantifiable et concret. Il représente moins une dépense additionnelle qu'une allocation différente du budget des organisations et des entreprises concernées.

Pour accompagner ce changement de paradigme, le présent amendement intègre le risque cyber dans le document unique d'évaluation des risques professionnels (DUERP) afin de favoriser l'acclimatation des chefs d’entreprises et des salariés à ceux-ci, ainsi que l’engagement général des entreprises sur ces questions. 

Alinéa 2

Cet amendement vise à éviter toute sur-transposition dans la définition des entités essentielles.

Alinéa 2

Cet amendement vise à éviter toute sur-transposition dans la définition des entités essentielles.

Alinéa 13

Après les mots :

les communautés d’agglomération

insérer les mots :

comprenant au moins une commune de 30 000 habitants et plus

Cet amendement vise à éviter toute sur transposition dans la définition du périmètre des collectivités concernées.

Alinéa 5

Remplacer les mots :

les communautés de communes

par les mots :

les communautés d’agglomération ne comprenant aucune commune de 30 000 habitants et plus

Cet amendement vise à éviter toute sur transposition dans la définition du périmètre des collectivités concernées.

Alinéa 3

Remplacer le mot : 

délai

par les mots :

retard injustifié

Cet amendement vise à éviter toute sur transposition dans les délais imposés aux entreprises pour la transmission des données.

Après l'article 58

Insérer un article additionnel ainsi rédigé :

Au deuxième alinéa de l’article L. 121-8 du code des assurances, les mots « l’assuré » sont remplacés par les mots « l’assureur ».

En l’état actuel du droit, c’est à l’assuré victime d’une attaque cyber qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère. Or, lorsque l’assuré subit un dommage causé par une cyberattaque, dont l’intensité et la fréquence croît manifestement, il lui est quasiment impossible de prouver la cause de ce dommage, compte tenu de la difficulté voire, souvent, de l’impossibilité d’imputer officiellement une cyberattaque à un acteur en particulier.

Cette disposition nuit au développement de l’assurance cyber en France, et pousse les grands groupes français à souscrire en conséquence des contrats à l’étranger. Ailleurs en Europe, c’est à l’assureur qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère. Afin de remédier à ce défaut d’attractivité de la France, nous proposons d’inverser la charge de la preuve.

Après l'alinéa 1, insérer un alinéa ainsi rédigé :

La communication d’informations effectuée en vertu du premier alinéa ne peut intervenir que si elle nécessaire à l’accomplissement des missions des personnes émettrices ou destinataires de ces informations. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif du partage. Le partage d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.

Cet amendement vise à éviter toute sur-transposition dans l'encadrement du partage entre autorités d’informations confidentielles.

Alinéa 6

Après le mot : 

Accéder

insérer les mots :

, lorsque cela est directement nécessaire à l’accomplissement de leur mission,

Cet amendement vise à introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.

Alinéa 2

1° Après le mot :

fournissant

insérer le mot :

sciemment

2° Compléter cet alinéa par une phrase ainsi rédigée :

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

Cet amendement vise à introduire une gradation et un critère d’intention dans la sanction administrative prévue par le projet de loi en cas de fourniture incomplète d’informations à l’ANSSI par les entités.

Alinéa 9

Après la première phrase de l’alinéa 9, insérer une phrase ainsi rédigée :

Ce montant ne peut excéder 100 euros par jour de retard pour les collectivités territoriales, leurs groupements et leurs établissements publics administratifs.

Cet amendement vise à alléger le régime d'astreinte pour les collectivités.

Alinéa 6

Compléter cet alinéa par une phrase ainsi rédigée :

Ces mesures ne doivent pas porter atteinte à la confidentialité des informations sensibles détenues par l’entité importante ou essentielle.

Le présent amendement vise à ajouter une clause de confidentialité, indispensable pour protéger les intérêts des entreprises, prévenir tout impact négatif sur leur activité ou leur réputation, et concilier ces précautions avec les exigences de sécurité.

Alinéa 8

Supprimer cet alinéa.

Alinéa 9, deuxième phrase

Supprimer cette phrase.

Cet amendement vise à éviter toute sur-transposition dans la pratique des sanctions impliquant la publicité des manquements.

Alinéa 13

Après la première phrase, insérer deux phrases ainsi rédigées :

Ces suspensions ou interdictions temporaires ne doivent être appliquées qu’en dernier recours. Les sanctions prévues doivent être proportionnées à la gravité des manquements constatés et en cohérence avec les mesures correctives déjà mises en place par l’entité essentielle.

Cet amendement vise à éviter toute sur-transposition dans le régime de sanctions applicables aux dirigeants d'entreprise.

Après l'alinéa 8

Insérer un alinéa ainsi rédigé :

« 2° bis Activités d'importance vitale numériques : Les activités d'importance vitale numériques comprennent notamment l'exploitation et la maintenance des infrastructures de réseaux de communications électroniques fixes et mobiles, en particulier les réseaux de fibre optique et les réseaux d'antennes relais de téléphonie mobile, considérées comme essentielles à la continuité des services essentiels et au fonctionnement de la Nation. Ces infrastructures comprennent, sans s'y limiter, les armoires de rue, les nœuds de raccordement optique, les centraux, les pylônes, et les équipements associés. »  

Cet amendement vise à clarifier explicitement le statut des infrastructures de réseaux de communications électroniques fixes et mobiles, en particulier la fibre optique et les antennes relais, en les reconnaissant comme des "activités d'importance vitale numériques" au sein du code de la défense. Cette clarification est essentielle pour souligner le caractère stratégique de ces infrastructures et justifier l'application de mesures de sécurité renforcées. La précision apportée sur les différents types d'infrastructures concernées (armoires de rue, nœuds de raccordement, etc.) permet une application plus ciblée et efficace des obligations de sécurité

Après l'article 1er

Insérer un article additionnel ainsi rédigé :

Au sein de la section 1 du chapitre II du titre III du Livre III de la première partie du code de la défense, après l'article L. 1332-11, il est inséré un article L. 1332-11 bis ainsi rédigé :

« Art. L. 1332-11 bis. Les opérateurs exploitant les activités d'importance vitale numériques mentionnées au 2° bis de l'article L. 1332-1 sont soumis à des exigences de sécurité spécifiques, proportionnées à la criticité des infrastructures et des services fournis. Ces exigences portent notamment sur :  

« 1° La sécurité physique des infrastructures, comprenant des mesures de verrouillage, de surveillance, de contrôle d'accès et de protection contre le vandalisme et les intrusions, adaptées aux différents types d'infrastructures (armoires de rue, nœuds de raccordement, centraux, pylônes, etc.). 

« 2° La sécurité logique des systèmes d'information associés à ces infrastructures, comprenant des mesures de protection contre les intrusions, les attaques cyber et les accès non autorisés, ainsi que la mise en œuvre de plans de continuité d'activité et de reprise d'activité. 

« 3° La sécurité environnementale des infrastructures, comprenant des mesures de protection contre les intempéries, les incendies, les inondations et autres aléas climatiques, ainsi que des dispositions pour garantir l'alimentation électrique de secours et la redondance des équipements critiques. »

Cet amendement vise à définir des exigences de sécurité spécifiques pour les infrastructures numériques reconnues comme activités d'importance vitale numériques. Il détaille les trois dimensions essentielles de la sécurité : physique, logique et environnementale, en précisant des types de mesures concrètes à mettre en œuvre. L'objectif est de garantir une protection robuste et adaptée aux vulnérabilités spécifiques de ces infrastructures, en tenant compte des différents niveaux de criticité et des aléas potentiels.  

Après l'article 1er

Insérer un article additionnel ainsi rédigé :

Au sein de la section 2 du chapitre II du titre III du Livre III de la première partie du code de la défense, après l'article L. 1332-14, il est inséré un article L. 1332-14 bis ainsi rédigé : 

« Art. L. 1332-14 bis. Les opérateurs exploitant les activités d'importance vitale numériques mentionnées au 2° bis de l'article L. 1332-1 sont tenus de :  

« 1° Élaborer et mettre en œuvre des plans de sécurité spécifiques pour les infrastructures mentionnées au 2° bis de l'article L. 1332-1, détaillant les mesures de sécurité physique, logique et environnementale mises en place pour garantir la résilience et la sécurité de ces infrastructures. Ces plans sont régulièrement mis à jour et transmis à l'autorité administrative compétente selon des modalités définies par décret. 

« 2° Réaliser des audits de sécurité réguliers, au moins une fois tous les deux ans, pour vérifier la conformité de leurs infrastructures et de leurs systèmes d'information aux exigences de sécurité mentionnées à l'article L. 1332-11 bis et aux plans de sécurité spécifiques. Les résultats de ces audits sont transmis à l'autorité administrative compétente. 

« 3° Assurer la formation continue de leur personnel aux bonnes pratiques en matière de sécurité physique, logique et environnementale des infrastructures numériques, et sensibiliser le personnel aux risques et aux menaces pesant sur ces infrastructures. »

Cet amendement vise à renforcer les obligations des opérateurs exploitant les activités d'importance vitale numériques. Il introduit l'obligation d'élaborer des plans de sécurité spécifiques, de réaliser des audits de sécurité réguliers et d'assurer la formation du personnel. Ces obligations complémentaires sont essentielles pour garantir une mise en œuvre effective des exigences de sécurité et pour assurer un niveau de protection élevé et constant des infrastructures numériques critiques.

Alinéa 9

Remplacer les mots : « on distingue notamment », par les mots : « sont notamment distingués »

Amendement rédactionnel.

Après l’alinéa 11

Insérer un alinéa ainsi rédigé :

« …° Incident : un événement qui perturbe ou est susceptible de perturber de manière importante l’exercice d’une activité d’importance vitale »

Cet amendement reprend, en l’adaptant via le recours au vocabulaire du dispositif national, la définition du terme « incident » figurant à l’article 2 de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, dite directive « REC ».

La notion d’incident est effet au cœur du titre I^er du présent projet de loi, dont l’objectif est précisément de définir un cadre visant à renforcer la protection et la résilience des infrastructures critiques face aux incidents. Il convient par conséquent d’en inscrire la définition au sein du présent article 1^er.

Après l’alinéa 11

Insérer un alinéa ainsi rédigé :

« …° Résilience : la capacité d’un opérateur à prévenir et à se protéger contre tout incident, ainsi qu’à assurer la continuité de l’activité d’importance vitale qu’il exerce »

Cet amendement reprend, en l’adaptant, la définition du terme « résilience » figurant à l’article 2 de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, dite directive « REC ».

Il convient en effet de définir cette notion dès l’article 1^er du présent projet de loi afin d’en renforcer la clarté, ce dernier imposant par exemple aux opérateurs d’importance vitale l’adoption de mesures de résilience (alinéa 22), intégrées dans le plan de résilience opérateur, ou encore de mesures de protection et de résilience inscrites dans les plans particuliers de résilience (alinéa 32).

Cet amendement répond en outre à une recommandation du Conseil d’État qui suggérait, dans son avis du 6 juin 2024, de compléter la liste de définitions figurant à l’article 1^er par « celle de la notion de “ résilience ” telle que donnée par la directive, car, incluant la prévention et la protection, elle ne correspond pas à l’usage habituel de ce mot ». 

Alinéa 13

Après les mots : « moyen d’ », insérer les mots : « une ou de plusieurs »

Amendement de précision.

Alinéa 14

Remplacer les mots : « doivent être regardés comme des entités critiques », par les mots : « justifient que cet opérateur soit regardé comme une entité critique »

Amendement rédactionnel.

Alinéa 22

1° Après le mot : « mesures », insérer le mot : « proportionnées »

2° Supprimer les mots : « , et proportionnées, »

Amendement rédactionnel.

Alinéa 26

Compléter cet alinéa par les mots : « à compter de l’expiration du délai imparti dans la mise en demeure  »

Cet amendement a pour objet de clarifier la date à partir de laquelle une astreinte pécuniaire peut être imposée à un opérateur faisant l’objet d’une mise en demeure de réaliser, de modifier ou de mettre en œuvre son plan de résilience opérateur.

Alinéa 30, deuxième phrase

Compléter cette phrase par les mots : « et de sous-traitance »

Cet amendement vise à préciser que l’analyse des dépendances à l’égard de tiers, qui sera exigée des opérateurs d’importance vitale, ne se limite pas à leur chaîne d’approvisionnement, qui pourrait faire référence aux seules matières premières, mais inclue également leurs sous-traitants, qui peuvent également constituer des points de vulnérabilité.

Alinéa 36

Compléter cet alinéa par les mots : « à compter de l’expiration du délai imparti dans la mise en demeure »

Cet amendement a pour objet de clarifier la date à partir de laquelle une astreinte pécuniaire peut être imposée à un opérateur faisant l’objet d’une mise en demeure de réaliser, de modifier ou de mettre en œuvre un plan particulier de résilience.

Alinéa 44

1° Après le mot :

administrative

insérer les mots :

, au plus tard vingt-quatre heures après en avoir pris connaissance,

2° Remplacer le mot :

ses

par le mot :

leurs

3° Remplacer les mots :

un délai prévu

par les mots :

des conditions fixées

Le présent amendement prévoit, d'une part, que la notification d'incident doit intervenir au plus tard 24 heures après que l'opérateur en a pris connaissance, et d'autre part que le décret en Conseil d’État mentionné à l’alinéa 44 déterminera l’ensemble des conditions de mise en œuvre de cette obligation de notification. Ce décret pourra notamment établir des exceptions liées à la protection du secret de la défense nationale et préciser la nature des incidents devant être signalés à l’autorité administrative. Il corrige en outre une erreur rédactionnelle.

Alinéa 49

Supprimer les mots : « de l’opérateur »

Amendement rédactionnel.

Alinéa 58

Après la référence : « 14 », insérer la référence : «, 15 »

Le présent amendement vise à étendre l’applicabilité du moyen de démontrer la conformité aux règles de sécurité, prévue à l’article 15 du présent projet de loi, aux opérateurs d’importance vitale qui ne sont ni soumis à la directive (UE) 2022/2555 dite « NIS 2 » en tant qu’entité essentielle ou importante, ni soumis à la directive (UE) 2022/2557 dite « REC ».

I. – Alinéa 64

Supprimer les mots : « infractions et »

II. – Alinéa 70

Supprimer les mots : « infractions et les »

Le présent amendement tend à corriger une erreur matérielle en supprimant la référence à des « infractions » dès lors qu’il n’y a plus de régime de sanctions pénales attaché aux manquements, cette mention a vocation à être supprimée.

I. – Alinéa 81

1° Après le mot : « nommées », insérer le mot : « respectivement »

2° Après le mot : « ministre », insérer les mots : « , le président de l’Assemblée nationale et le président du Sénat »

II. – Alinéa 87

1° Après le mot : « commission », insérer les mots : « mentionnés au 1° »

2° Après le mot : « décret », supprimer la fin de cet alinéa.

III. – Alinéa 87

Après cet alinéa, insérer un alinéa ainsi rédigé :

« Le mandat du président, des membres de la commission ainsi que de leurs suppléants respectifs est de cinq ans, renouvelable une fois. Ils sont tenus au secret professionnel. »

Pour renforcer les garanties d’indépendance de la commission des sanctions dont la mise en place est prévue par le présent article 1^er, cet amendement prévoit que les trois personnalités qualifiées qui y siégeront ne seront plus exclusivement nommées par le Premier ministre mais, respectivement, par le Premier ministre, le président de l’Assemblée nationale et le président du Sénat.

I. – Avant l'alinéa 1

Insérer un alinéa ainsi rédigé :

Le présent titre entre en vigueur à une date fixée par décret en Conseil d’État, et au plus tard un an après la promulgation de la présente loi.

II. – Alinéa 2

Après le mot :

vigueur

insérer les mots :

du titre I^er

Cet amendement vise à éviter que les opérateurs d’importance vitale (OIV) désignés avant l’entrée en vigueur du titre I^er de la présente loi, ou postérieurement mais avant que l’ensemble des actes d’application aient été pris, soient tenus de remplir leurs obligations dans des délais de facto réduits par rapport aux délais fixés à l’article 1^er.

En effet, la rédaction actuelle du présent article 4 prévoit que les délais impartis pour la rédaction des plans de résilience opérateur et particulier de résilience ainsi que pour la réalisation d’une analyse de leurs dépendances courent, pour les OIV déjà désignés, dès l’entrée en vigueur du titre I^er, c’est-à-dire, en l’absence de disposition spécifique, au lendemain de la publication de la présente loi au Journal officiel.

Or, la mise en place du dispositif de résilience des entités critiques prévu par l’article 1^er du présent projet de loi nécessitera l’adoption de textes d’application, dont les délais de rédaction réduiraient d’autant le temps dont disposent les OIV désignés avant l’entrée en vigueur du titre I^er pour se conformer à leurs obligations.

Cette situation concernerait également les OIV désignés après l’entrée en vigueur du titre I^er mais avant la publication de l’ensemble des actes d’application

C’est pourquoi cet amendement prévoit de différer l’entrée en vigueur du titre I^er de la présente loi à une date fixée par décret en Conseil d’État, et au plus tard un an après sa promulgation.

Alinéa 1

Après la première occurrence du mot :

information

insérer les mots :

mentionnée à l’article L. 2321-1 du code de la défense

Amendement de précision.

Après l'article 5

Insérer un article additionnel ainsi rédigé :

Afin de parvenir à un niveau élevé de cybersécurité et de le maintenir, le Premier ministre élabore une stratégie nationale en matière de cybersécurité, qui comprend notamment :

1° les objectifs et priorités de la Nation en matière de cybersécurité, couvrant en particulier les secteurs visés à l’article 7 ;

2° une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité ;

3° un cadre de gouvernance visant une coordination renforcée entre les acteurs et autorités définies au 2° dans le but d’atteindre les objectifs et priorités mentionnés au 1° ;

4° un inventaire des mesures garantissant le partage d’informations par les acteurs et autorités mentionnés au 2° sur les risques, les menaces et les incidents en matière de cybersécurité ainsi que la préparation, la réaction et la récupération des services après incident ;

5° un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des entreprises, des administrations publiques et des citoyens à la cybersécurité ;

6° les indicateurs clés de performance aux fins de l’évaluation de la mise en œuvre de la stratégie nationale en matière de cybersécurité.

La stratégie nationale en matière de cybersécurité est mise à jour au moins tous les trois ans.

À compter de 2026 et tous les deux ans, le Gouvernement remet au Parlement, avant le 30 septembre des années concernées, un rapport sur la mise en œuvre de la stratégie nationale en matière de cybersécurité. Ce rapport précise notamment l’évolution des indices de performance définis par ladite stratégie.

L’article premier de la directive (UE) 2022/25/55, objet de la présente transposition, stipule « la présente directive fixe des obligations qui imposent aux États membres d’adopter des stratégies nationales en matière de cybersécurité ». L’article 7 de la même directive précise le contenu attendu des stratégies nationales de cybersécurité des États membres.

Cet amendement vise à compenser l’absence dans le projet de loi de référence à une stratégie nationale de cybersécurité. Afin de prendre en compte les spécificités nationales, les dimensions régionales et sectorielles sont ajoutées au contenu attendu de la stratégie.

Enfin, afin de permettre au Parlement d’évaluer la mise en œuvre des politiques gouvernementales afférentes à la cybersécurité, un rapport est demandé au Gouvernement.

Après l’alinéa 2

Insérer un alinéa ainsi rédigé :

…° Incident : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles ;

Cet amendement reprend la définition du terme « incident » telle qu’énoncée à l’article 6 de la directive NIS 2.

Cette notion conditionne en effet plusieurs obligations incombant aux opérateurs ainsi que certaines prérogatives de l’administration prévues notamment aux articles 14[1], 24[2], 25[3] et 32[4]. Il convient par conséquent d’en inscrire la définition au sein du présent article 6.

Compléter cet article par un alinéa ainsi rédigé :

…° Vulnérabilité : une faiblesse, susceptibilité ou faille de produits ou services des technologies de l’information et de la communication, ou d’origine humaine, qui peut être exploitée par une cybermenace.

Cet amendement reprend en l’adaptant la définition du terme « vulnérabilité » telle qu’énoncée à l’article 6 de la directive UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148, dite directive NIS 2, afin de prendre en compte le facteur humain.

En effet, bien qu’à l’origine 90 % des cyberattaques[1], ce dernier n’est pas explicitement mentionné dans le présent projet de loi.

Rédiger ainsi cet article :

I.- Sont considérés au titre de la présente section comme des secteurs hautement critiques pour le fonctionnement de l’économie et de la société les secteurs :

1° de l’énergie ;

2° des transports ;

3° des banques ;

4° des infrastructures des marchés financiers ;

5° de la santé ;

6° de l’eau potable ;

7° des eaux usées ;

8° de l’infrastructure numérique ;

9° de la gestion des services des technologies de l’information et de la communication ;

10° de l’espace.

II.- Sont considérés au titre de la présente section comme des secteurs critiques pour le fonctionnement de l’économie et de la société les secteurs :

1° des services postaux et d’expédition ;

2° de la gestion des déchets ;

3° de la fabrication, de la production et de la distribution de produits chimiques ;

4° de la production, de la transformation et de la distribution des denrées alimentaires ;

5° de la fabrication de certains biens, équipements et produits ;

6° des fournisseurs de certains services numériques ;

7° de la recherche.

III.- Un décret en Conseil d’État précise les modalités d’application du présent article. Il détermine les sous-secteurs et les types d'entités relevant des secteurs mentionnés aux I et II.

Cet amendement inscrit dans la loi la liste des secteurs hautement critiques et critiques auxquels s’appliquent les dispositions du titre II du projet de loi transposant la directive NIS 2.

Alinéa 1

Après les mots :

met à jour

Insérer le mot :

au moins tous les deux ans

Cet amendement insiste sur la nécessité d’une mise à jour au minimum tous les deux ans de la liste des entités régulées par le titre II du projet de loi transposant la directive NIS 2, telle que prescrit par la directive.

Alinéa 2

Rédiger ainsi cet alinéa :

1° Prévoir que les organes de direction approuvent et supervisent les mesures de pilotage de la sécurité des réseaux et systèmes d’information, leurs membres ainsi que les personnes exposées aux risques devant être formés à la cybersécurité ;

Directement inspiré par l’article 20 de la directive NIS 2, cet amendement prévoit que les décisions stratégiques en matière de cybersécurité doivent être prises par les organes de direction des entreprises ou des administrations publiques et que leurs dirigeants comme leurs personnels exposés aux risques cyber doivent être formés aux grands enjeux en matière de cybersécurité.

Alinéa 6, seconde phrase

Compléter cette phrase par les mots:

, en fonction de leur degré d’exposition aux risques, de leur taille, de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences économiques et sociales.

Amendement visant à renforcer le caractère strictement proportionné des obligations auxquelles devront se conformer les entreprises et administrations publiques visées par l’article 14.

Alinéa 1

Remplacer les mots :

peuvent s’en prévaloir auprès de l’autorité nationale de sécurité des systèmes d’information

par les mots :

ou qui mettent en œuvre tout autre référentiel reconnu comme équivalent par l’autorité nationale de sécurité des systèmes d’information, peuvent s’en prévaloir auprès de celle-ci

Amendement visant à créer un mécanisme de reconnaissance mutuelle entre les États membres de l’Union européenne et vers d’autres types de référentiel, de sorte qu’une entité qui aurait vue certifiée sa conformité à un référentiel dont le niveau équivalent de sécurité a été validé par l’autorité nationale de sécurité des systèmes d’information, puisse s’en prévaloir lors d’un contrôle.

Alinéa 3

Remplacer la seconde occurrence des mots :

et de

par le mot :

pour

Le présent amendement tend à apporter une modification rédactionnelle et vise à aligner la rédaction retenue pour viser les réseaux et systèmes d’information des missions diplomatiques et consulaires françaises à l’article 16 sur celle retenue aux articles 8 et 14.

I.- Après l’alinéa 1

Insérer dix alinéas ainsi rédigés :

Un incident est considéré comme important si :

1° il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour la personne concernée ;

2° il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. 

Les personnes mentionnées à l’article 14 soumettent à l’autorité nationale de sécurité des systèmes d’information :

1° sans retard injustifié et au plus tard dans les vingt-quatre heures après avoir eu connaissance de l’incident important, une notification initiale qui, le cas échéant indique si l’incident important est susceptible d'avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact en dehors du territoire national ;

2° sans retard injustifié et au plus tard dans les soixante-douze heures après avoir eu connaissance de l’incident important, une notification intermédiaire qui, le cas échéant, met à jour les informations mentionnées au 1°, et fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission lorsqu’ils sont disponibles. Par dérogation, les entités mentionnées au 4° de l’article 8 et au 3° de l’article 9 procèdent à cette notification sans retard injustifié et au plus tard dans les vingt-quatre heures après avoir eu connaissance de l’incident important ayant un impact sur la fourniture de leurs services de confiance ;

3° à la demande de l’autorité nationale de sécurité des systèmes d’information, un rapport sur les mises à jour pertinentes de la situation ;

4° au plus tard un mois après la notification intermédiaire mentionnée au 2°, un rapport final, sous réserve que l’incident soit traité ;

5° dans le cas contraire, un rapport d’avancement, au plus tard un mois après la notification intermédiaire mentionnée au 2°, devant être complété par un rapport final dans un délai d’un mois après le traitement de l’incident.

L’autorité nationale de sécurité des systèmes d’information fournit, sans retard injustifié et si possible dans les vingt-quatre heures suivant la réception de la première notification reçue, une réponse à la personne émettrice de la notification.

II. – Aliéna 3

Rédiger ainsi cet alinéa:

Le cas échéant, les entités essentielles et importantes notifient sans retard injustifié:

III.- Alinéa 4

Remplacer le mot :

critiques

Par le mot :

importants

IV.- Alinéa 7

Remplacer la première occurrence du mot :

critiques

Par le mot :

importants

V.- Alinéa 9, seconde phrase

Après la première occurrence du mot :

vulnérabilités

Supprimer la fin de la phrase.

Cet amendement vise à :

-       Définir la notion d’incident important qui déclenche une notification à l’autorité nationale de sécurité des systèmes d’information ;

-       Prévoir que la notification aux destinataires des services touchés par un incident important ou une vulnérabilité critique devra être faite « sans retard injustifié » comme le prévoit la directive, et non « sans délai » tel que l’envisage la rédaction initiale de l’article 17 ;

-       Supprimer la notion d’incident critique qui crée de la confusion en venant s’ajouter à celle d’incident important ;

-       Prévoir les quatre étapes liées à la notification d’un incident important à l’autorité nationale de sécurité des systèmes d’information : alerte précoce dans les 24 heures, notification dans les 72 heures rapport intermédiaire et rapport final ;

-       Prévoir que l’autorité nationale de sécurité des systèmes d’information fournit, sans retard injustifié et si possible dans les 24 heures suivant la réception de la première notification reçue, une réponse à l’entité émettrice de la notification.

Alinéa 1

Après les mots :

mesures nécessaires

rédiger ainsi la fin de cet alinéa :

pour éviter un incident ou y remédier et déterminer les délais accordés pour les mettre en oeuvre et en rendre compte.

Amendement rédactionnel.

Avant l'article 26

Insérer un article ainsi rédigé :

À l'avant-dernier alinéa de l'article L. 103 du code des postes et des communications électroniques, les mots : « établie selon un » sont remplacés par les mots :  « lorsqu'il répond aux prescriptions d'un ».

Amendement de coordination

I. - Alinéa 1

Rédiger ainsi cet alinéa :

Les agents et personnels spécialement désignés et assermentés de l'autorité nationale de sécurité des systèmes d'information et des services de l'État désignés par elle sont habilités à rechercher et à constater les manquements aux obligations, prescriptions et exigences prévues :

II. - Alinéa 5

Remplacer les mots :

Aux articles L. 100, L. 102 et

par les mots :

À l'article L. 100, aux III et IV de l'article L. 102 et à l'avant-dernier alinéa de l'article

III. - Alinéa 6

Après le mot :

agréments

rédiger ainsi la fin de cet alinéa :

délivrés par l'autorité nationale de sécurité des systèmes d'information.

IV. - Compléter cet article par un alinéa ainsi rédigé :

Les agents et personnels des organismes indépendants spécialement habilités par l'autorité nationale de sécurité des systèmes d'information peuvent concourir à la recherche des manquements mentionnés au premier alinéa du présent article sous le contrôle des agents et personnels mentionnés au même alinéa.

Cet amendement vise d'abord à supprimer la référence aux infractions pouvant avoir été commises par les personnes contrôlées par l'Anssi, compte tenu du remplacement du régime de sanctions pénales actuellement en vigueur par un régime d'amendes administratives.

D'autre part, il clarifie le rôle des agents et personnels des organismes indépendants en matière de recherche des manquements. Leur intervention serait limitée à la recherche des manquements aux obligations qui s'imposent aux personnes contrôlées, sous le contrôle des agents et personnels assermentés de l'Anssi ou des services de l'Etat désignés par elle. Ils ne seraient eux-mêmes ni assermentés ni habilités à constater lesdits manquements, c'est-à-dire à en dresser procès-verbal.

Enfin, cet amendement tend à améliorer la qualité rédactionnelle du dispositif.

I. - Alinéa 1

Après le mot :

agents

rédiger ainsi la fin de cet alinéa :

et personnels mentionnés à l'article 26 les moyens nécessaires pour vérifier sur pièces et sur place le respect des obligations qui lui incombent.

II. - Alinéas 2 à 5

Remplacer ces alinéas par trois alinéas ainsi rédigés :

Ces agents et personnes ont accès aux locaux à usage professionnel des entités contrôlées et sont habilités à :

1° Exiger la communication de tout document nécessaire à l'accomplissement de leur mission, quel qu'en soit le support, et obtenir ou prendre copie de ces documents par tout moyen et sur tout support ;

2° Recueillir, sur convocation, sur place ou sur demande, tout renseignement ou toute justification nécessaire au contrôle ;

III. - Alinéa 6

Remplacer le mot :

utilisables

par le mot :

exploitables

IV. - Alinéa 7

1° Deuxième phrase

Après le mot : 

procès-verbal

insérer les mots :

, qui doit comporter les questions auxquelles il est répondu

2° Après la troisième phrase, insérer une phrase ainsi rédigée :

Si elles déclarent ne pas pouvoir lire, lecture leur en est faite préalablement à la signature.

V. - Alinéa 8

Rédiger ainsi cet alinéa :

Dans le cadre du contrôle, le secret professionnel ne peut être opposé aux agents et personnels mentionnés au premier alinéa du présent article.

VI. - Alinéa 9

Rédiger ainsi cet alinéa :

Ces agents et personnels sont tenus au secret professionnel pour les faits, actes ou renseignements dont ils ont connaissance en raison de leurs fonctions, sous réserve des éléments utiles à l'établissement des documents nécessaires à l'instruction.

VII. - Alinéa 10 

Rédiger ainsi cet alinéa :

Les rapports, avis et autres documents justifiant la saisine de la commission des sanctions mentionnée à l'article L. 1332-15 du code de la défense en application de l'article 28 de la présente loi ou l'adoption d'une mesure d'exécution prévue à l'article 31, y compris ceux établis ou recueillis dans le cadre des opérations de contrôle, peuvent être communiqués à la personne contrôlée.

Cet amendement, qui tend à améliorer à la qualité rédactionnelle du dispositif, vise également à en renforcer la sécurité juridique, notamment en ce qui concerne les modalités d'établissement des procès-verbaux d'auditions.

I. - Alinéa 1

Rédiger ainsi cet alinéa :

La personne faisant l'objet d'un contrôle de l'autorité nationale de sécurité des systèmes d'information est tenue de coopérer avec les agents et personnels mentionnés à l'article 26, qui sont habilités à constater toute action de sa part de nature à faire obstacle au contrôle.

II. - Alinéa 2

1° Remplacer les mots :

demandes de l'autorité nationale de sécurité des systèmes d'information nécessaires à la recherche des manquements et à la mise en oeuvre des pouvoirs prévus à la présente sous-section

par le mot :

contrôles

2° Après les mots :

mentionnée à l'article

remplacer la référence :

35

par les mots :

L. 1332-15 du code de la défense,

3° Après les mots :

de l'exercice précédent

insérer les mots :

de l'entreprise à laquelle appartient la personne contrôlée

III. - Alinéa 3

Après les mots :

mentionnée à l'article

remplacer la référence :

35

par les mots :

L. 1332-15 du code de la défense,

Cet amendement, qui tend à améliorer la qualité rédactionnelle du dispositif, vise également à préciser que le chiffre d'affaires retenu pour la détermination du plafond de l'amende prévue en cas d'obstacle au contrôle est celui de l'entreprise à laquelle appartient la personne contrôlée, conformément aux prescriptions de la directive NIS 2.

I. - Alinéa 5

Remplacer les mots :

dispositions de

par les mots :

obligations mentionnées à

II. - Alinéa 6

Après le mot :

lorsque

rédiger ainsi la fin de cet alinéa :

le contrôle ne révèle pas de manquement aux obligations, prescriptions et exigences mentionnées à l'article 26.

Cet amendement de clarification juridique vise à prévoir explicitement que la personne faisant l'objet d'un contrôle de l'Anssi ne soit pas tenue de prendre en charge le coût du contrôle lorsque celui-ci ne révèle aucun manquement aux obligations qui s'imposent à elle. Il s'agit de préciser le cadre de l'exonération prévue par le texte déposé par le Gouvernement, qui accorde à l'Anssi un pouvoir discrétionnaire.

Rédiger ainsi cet article :

Lorsqu'un contrôle réalisé en application de la section 1 révèle un manquement aux obligations mentionnées à l'article 26, l'autorité nationale de sécurité des systèmes d'information peut ouvrir une procédure. Le cas échéant, elle en informe la personne contrôlée.

L'instruction est confiée à un ou plusieurs rapporteurs désignés parmi les agents et personnels mentionnés à l'article 26.

Lorsque les faits constatés ne justifient pas l'adoption d'une mesure d'exécution mentionnée aux 1° à 5°, l'autorité nationale de sécurité des systèmes d'information clôt la procédure et en informe la personne contrôlée.

Dans le cas contraire, l'autorité nationale de sécurité des systèmes d'information peut, après avoir mis la personne contrôlée en mesure de présenter ses observations :

1° Prononcer un avertissement à son encontre ;

2° Lui enjoindre de prendre les mesures nécessaires pour éviter un incident ou y remédier et d'en rendre compte dans un délai qu'elle détermine ;

3° Lui enjoindre de se mettre en conformité avec les obligations mentionnées à l'article 26 dans un délai qu'elle détermine et qui ne peut être inférieur à un mois, sauf en cas de manquement grave ou répété ;

4° Lui enjoindre d'informer les personnes physiques ou morales auxquelles elle fournit des services ou au profit desquelles elle exerce des activités susceptibles d'être affectés par une menace de nature à porter gravement atteinte à la sécurité des systèmes d'information de la nature de cette menace et de suggérer à ces personnes des mesures préventives ou réparatrices ;

5° Lui enjoindre de mettre en oeuvre, dans un délai qu'elle détermine, les recommandations formulées à la suite d'un audit de sécurité.

La mesure d'exécution adoptée est notifiée à la personne contrôlée et peut être assortie d'une astreinte dont le montant ne peut excéder 5 000 euros par jour de retard.

L'astreinte journalière court à compter du jour suivant l'expiration du délai imparti à la personne contrôlée pour se mettre en conformité avec la mesure d'exécution notifiée. En cas d'inexécution totale ou partielle ou d'exécution tardive, la commission des sanctions mentionnée à l'article L. 1332-15 du code de la défense procède à la liquidation de l'astreinte.

Cet amendement, qui tend à améliorer la qualité rédactionnelle du dispositif, intègre les dispositions de l'article 32 du présent projet de loi à l'article 31, de façon à clarifier l'objectif poursuivi lors de l'ouverture par l'Anssi d'une procédure à l'encontre de la personne contrôlée.

Dans un souci de sécurisation juridique, il détermine explicitement les conditions d'ouverture par l'Anssi d'une procédure à l'encontre de la personne contrôlée : une telle procédure pourrait ainsi être ouverte lorsque le contrôle révèle un manquement aux obligations qui s'imposent à la personne contrôlée.

Du reste, il supprime la faculté accordée à l'Anssi de rendre publique la mesure d'exécution adoptée et d'enjoindre à la personne contrôlée de rendre public son manquement. Seule la commission des sanctions serait donc habilitée à décider d'une mesure de publicisation, dans la mesure où celle-ci constitue davantage une sanction qu'une mesure de police administrative.

Supprimer cet article.

Dans un souci de clarification, cet amendement vise à supprimer l'article 32 du présent projet de loi, intégré par voie d'amendement au dispositif de l'article 31, moyennant des modifications rédactionnelles et de sécurisation juridique.

I. - Alinéas 1 et 2

Rédiger ainsi ces alinéas :

Lorsque la personne contrôlée fournit des éléments montrant qu'elle s'est mise en conformité avec la mesure d'exécution notifiée en application de l'article 31 dans le délai imparti, l'autorité nationale de sécurité des systèmes d'information constate qu'il n'y a pas lieu de poursuivre la procédure et en informe la personne contrôlée.

Dans le cas contraire, l'autorité nationale de sécurité des systèmes d'information notifie à la personne contrôlée les griefs retenus à son encontre et saisit la commission des sanctions mentionnée à l'article L. 1332-15 du code de la défense.

II. - Alinéa 3

1° Première phrase

Rédiger ainsi cette phrase :

Lorsque la personne contrôlée est une entité essentielle au sens des articles 8 et 10 de la présente loi et qu'elle n'apporte pas la preuve qu'elle s'est mise en conformité avec les mesures d'exécution mentionnées aux 2°, 3° et 5° de l'article 31 de la présente loi dans le délai imparti, l'autorité nationale de sécurité des systèmes d'information peut suspendre une certification ou une autorisation concernant tout ou partie des services fournis ou des activités exercées par l'entité jusqu'à ce que celle-ci ait mis un terme au manquement.

2° Deuxième phrase

Remplacer le mot :

remédié

par les mots :

mis un terme

Cet amendement vise à améliorer la qualité rédactionnelle du dispositif et à procéder aux coordinations découlant de l'intégration des dispositions de l'article 32 du présent projet de loi à l'article 31.

Il exclut par ailleurs les avertissements du champ des mesures d'exécution dont la non-application peut entraîner la suspension d'une certification ou d'une autorisation par l'Anssi. En effet, il n'est pas possible, à proprement parler, de se conformer à un avertissement, dont le prononcé n'appelle pas la mise en oeuvre d'une action, mais plutôt la non-réitération d'un fait.

Alinéa 1

Rédiger ainsi le début de cet alinéa:

Saisie par l’autorité nationale de sécurité des systèmes d’information, la commission des sanctions… (le reste sans changement)

Amendement de précision

Alinéa 1

Après les mots :

Lorsqu’elle est saisie

insérer les mots :

par l’autorité nationale de sécurité des systèmes d'information

Amendement de précision rédactionnelle.

Alinéa 3

I.- Après le mot

nommées

insérer le mot :

respectivement

II.- Après le mot :

ministre

insérer les mots :

, le Président de l’Assemblée nationale et le Président du Sénat

Pour renforcer les garanties d’indépendance de la commission des sanctions, cet amendement prévoit que les trois personnalités qualifiées en raison de leurs compétences dans le domaine de la sécurité des systèmes d’information qui y siègeront ne seront plus uniquement désignées par le Premier ministre mais nommées respectivement par le Premier ministre, le président de l’Assemblée nationale et le président du Sénat.

Alinéa 3

Compléter cet alinéa par une phrase ainsi rédigée :

Ces personnalités qualifiées ne doivent pas avoir exercé de fonctions au sein de l’autorité nationale de sécurité des systèmes d’information depuis moins de cinq ans.

Afin de pleinement garantir l’indépendance de la commission des sanctions, il convient de prévoir que les personnalités qualifiées nommées dans son collège n’exercent pas de responsabilités, ou n’ont pas exercé de responsabilités depuis moins de 5 ans, au sein de l’autorité nationale de sécurité des systèmes d’information.

Alinéa 13, première phrase

Après les mots :

La commission des sanctions peut

Insérer les mots

, en dernier recours, si le manquement persiste après que l’amende administrative prévue au I ou au II du présent article a été prononcée,

Cet amendement prévoit que la faculté pour la commission des sanctions d’interdire à une personne physique exerçant les fonctions de dirigeant dans une entité essentielle qui n’aurait pas accompli toutes ses obligations en matière de cybersécurité d’exercer des responsabilités dirigeantes dans cette entité est possible uniquement en dernier recours, si et seulement si le manquement persiste alors que l’entité essentielle s’est déjà vue imposer une amende administrative.

Il s’agit de réserver cette sanction à des cas graves et exceptionnels qui verraient un dirigeant persister à refuser de résoudre un manquement alors même que son entreprise aurait déjà été sanctionnée.

Compléter cet article par deux alinéas ainsi rédigés :

VI. – Lorsque la commission des sanctions prononce l’une des sanctions prévues aux I, II, III et IV, elle peut exiger que l’entité concernée communique au public, par tout moyen adapté et à ses frais, le manquement constaté.

La commission des sanctions peut décider, dans l’intérêt du public, de rendre publique sa décision ou un extrait de celle-ci, selon des modalités qu’elle précise.

Il s’agit d’un amendement de cohérence avec celui porté à l’article 32 qui tend à renforcer les garanties attachées à la publicisation de mesures d’exécution qui pourrait être reconnue comme une sanction.

I.- Alinéas 3, 4 et 7

Après le mot : « sens », insérer les références : « des articles 8 et 10 »

II.- Alinéa 15

Après les mots : « Nouvelle-Calédonie », rédiger ainsi la fin de cet alinéa : « dans leur rédaction issue de la loi n°..... du ..... relative a la résilience des infrastructures critiques et au renforcement de la cybersécurité »

Amendement rédactionnel

I.- Alinéa 1

Modifier ainsi cet alinéa:

1° Après les mots:

de son article 13

Insérer les mots:

et du 2° au 6° du II de l'article 39

2° Supprimer les mots:

dans les îles Wallis et Futuna

et les mots:

et dans les Terres australes et antarctiques françaises

3° Après les mots:

Polynésie française

Insérer le mot:

et

II.- Alinéa 3

Supprimer les mots:

dans les îles Wallis et Futuna,

III.- Après l'alinéa 3, insérer deux alinéas ainsi rédigés:

...- le titre II de la présente loi, à l’exception de son article 13, est applicable dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises sous réserve des adaptations suivantes :  

Dans les îles Wallis et Futuna les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l’euro dans cette monnaie.

Le présent amendement vise à clarifier l’applicabilité en Nouvelle-Calédonie et en Polynésie française des modifications du code des postes et des communications électroniques (CPCE) en matière de noms de domaine intervenues dans l’article 39.

La rédaction initialement proposée rend applicable l’ensemble du titre II à la Nouvelle-Calédonie et à la Polynésie française ce qui inclue les modifications du CPCE prévues à l’article 39. Or la gestion des noms de domaine locaux (.pf, .nc) relève des compétences propres de ces deux collectivités et les articles modifiés du CPCE ne trouvent pas à s’y appliquer.

Il est donc proposé un amendement afin de clarifier que le titre II s’applique en Nouvelle Calédonie et en Polynésie française à l’exception des modifications des articles L45 et suivants du CPCE prévues par l’article 39 du projet de loi.

De cette écriture résulte donc l’applicabilité suivante :

- le présent projet de loi, et notamment la section III du chapitre II relative aux noms de domaine, s’applique dans l’ensemble des collectivités d’outre-mer ;

- les mesures de coordination avec le CPCE prévues à l’article 39 s’appliquent pour les îles Wallis et Futuna ainsi que pour les Terres australes et antarctiques françaises mais ne s’appliquent pas en Nouvelle-Calédonie et en Polynésie française. Ces dernières ne sont donc soumises qu’aux obligations du présent projet de loi et de leurs codes respectifs pour ce qui concerne la gestion de noms de domaine locaux. 

Alinéa 11

Remplacer les mots : « sous réserve », par les mots : « sans préjudice »

Amendement rédactionnel

I.- Alinéa 15

Après le mot : « démontrer », rédiger ainsi la fin de cet alinéa : « que l'autorisation présente un intérêt économique pour la France »

II.- Alinéa 27

Après les mots : « des sanctions », insérer les mots : « pécuniaires »

Amendement de précision

Avant l'article 43

Insérer un article additionnel ainsi rédigé :

1° La section 2 du chapitre I^er du livre I^er est complétée par un article ainsi rédigé :

« Art. L. 141-10. – La Banque de France exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour les dépositaires centraux mentionnés à l’article L. 441-1. »

2° Après l’article L. 612-24 est inséré un article L. 612-24-1 ainsi rédigé :

« Art. L. 612-24-1. – L’Autorité de contrôle prudentiel et de résolution exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour les personnes mentionnées au A du I de l’article L. 612-2, à l’exception de celles mentionnées au b de son 2°. »

L’article 19 du règlement « DORA » prévoit expressément que les États membres désignent, pour les entités financières qui sont soumises à la surveillance de plusieurs autorités nationales compétentes, une seule autorité compétente pour recevoir les déclarations d’incidents majeurs liés aux TIC et les notifications volontaires des cybermenaces importantes.

Le présent amendement a pour objet de répondre à cette exigence prévue par le règlement en désignant la Banque de France et l’Autorité de contrôle prudentiel et de régulation (ACPR) comme seules autorités compétente pour exercer les fonctions et missions prévues par le règlement « DORA » en matière de déclaration des incidents majeurs liés aux technologies de l’information et de la communication (TIC) et de notification volontaire des cybermenaces importantes, respectivement pour les dépositaires centraux et pour les personnes relevant, dans le secteur de la banque, des services de paiement et des services d’investissement, de la compétence de l’ACPR, à l’exception des entreprises de marché.

La désignation d’un « guichet unique » constitue une mesure de simplification qui, sans préjudice des échanges d’informations entre les services administratifs compétents, réduit la charge administrative des entreprises qui constituent par suite un unique dossier de déclaration ou de notification.

I. - Alinéa 6

Compléter cet alinéa par les mots : 

et sont ajoutés les mots : « du présent article »

II. - Alinéa 7 

Compléter cet alinéa par les mots : 

et après la référence : « II », sont insérés les mots : « du présent article ».

Amendement rédactionnel

Rédiger ainsi cet article :

Les I et II de l’article L. 521-10 du code monétaire et financier sont ainsi rédigés :

« I. – Les prestataires de services de paiement déclarent à l’Autorité de contrôle prudentiel et de résolution tout incident opérationnel ou de sécurité majeur lié au paiement. Les prestataires de services de paiement mentionnés au I et au c) du II de l’article L. 521-10 réalisent cette déclaration conformément aux dispositions de l’article 23 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

« Lorsque les prestataires de services de paiement déclarent ces incidents à l’Autorité de contrôle prudentiel et de résolution, ils le font dans les conditions prévues par l’article 19 de ce règlement, à l’exception des entités mentionnées aux a) et b) du II de l’article L.521-1.

« L’Autorité de contrôle prudentiel et de résolution prend, au besoin, des mesures appropriées, conformément aux dispositions de l’article 22 dudit règlement, à l’exception des mesures relatives aux entités mentionnées aux a) et b) du II de l’article L.521-1.

« En application de l’article L.631-1, l’Autorité de contrôle prudentiel et de résolution communique ces incidents et, le cas échéant, les mesures prises à la Banque de France aux fins de l’accomplissement par celle-ci de ses missions prévues à l’article L.141-4.

« II. – La Banque de France évalue les incidents opérationnels ou de sécurité majeurs liés au paiement. Elle prend au besoin des mesures appropriées et en informe l’Autorité de contrôle prudentiel et de résolution en application de l’article L.631-1. »

Cet amendement vise à répercuter en droit français la fusion prévue à l’article 23 du règlement DORA entre les dispositifs de déclarations d’incidents opérationnels ou de sécurité liés au paiement prévue par la deuxième directive sur les services de paiement (DSP2) et le dispositif de déclarations d’incidents liés aux technologies de l’information et de la communication prévu par le règlement DORA, pour les entités soumises à cette double notification.

L’amendement permet de préciser que la Caisse des dépôts et consignations (CDC), qui figure au c) du II de l’article L. 521-10, sera soumise aux obligations de notification d’incident de DORA. Cette application à la CDC est conforme à la pratique consistant à rapprocher le cadre prudentiel applicable à la CDC de celui applicable aux établissements de crédit de droit commun, tout en tenant compte des particularités de la CDC.    

Par ailleurs, pour l’ensemble des prestataires de paiement, il met fin à l’exigence de notification des incidents de sécurité majeurs auprès de la Banque de France, laquelle notification sera réalisée par l’intermédiaire de l’Autorité de contrôle prudentiel et de résolution. La Banque de France conserve toutefois la prérogative de prendre des mesures appropriées en réponse à un incident majeur lié au paiement, en en informant l’ACPR.

Après l'article 49

Insérer un article additionnel ainsi rédigé :

Le III de l'article L. 532-50 du code monétaire et financier est complété par un alinéa ainsi rédigé :

« Les dispositions du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier s'appliquent aux succursales agréées conformément au I du présent article dans les conditions prévues pour les succursales d'établissement de crédit agréées conformément à l'article L.511-10 »

Cet amendement vise à étendre l’application du règlement DORA aux succursales d’entreprises d’investissement de pays tiers. Le règlement DORA s’impose en effet directement aux entreprises d’investissement dont le siège est dans l’Union européenne mais non aux succursales d'entreprises d'investissement de pays tiers. Cet amendement permet donc d’assurer une égalité de traitement entre toutes les entreprises d’investissement et de garantir ainsi un renforcement de la résilience cyber et informatique des entités financières présentes en France. Il est également cohérent avec l’approche historique suivie au sein de cet article qui a consisté à étendre l’ensemble des dispositions prudentielles pertinentes à ces succursales. 

Supprimer cet article.

Le secrétaire général de l’Autorité de contrôle prudentiel et de résolution (ACPR) dispose déjà, en l’état actuel du droit, d’un pouvoir de collecte d’informations pour l’accomplissement de ses missions qui applicable à l’ensemble des prestataires des entités financières.

Les prestataires informatiques sont donc déjà couverts par le pouvoir de collecte d’information du secrétaire général de l’ACPR, en conséquence de quoi l’article 53 constitue une surtransposition vis-à-vis de la directive « DORA » qui complexifie le droit sans modifier la portée des pouvoirs de l’ACPR.

Il est proposé par suite de supprimer cet article.  

Alinéa 8

Supprimer cet alinéa. 

Alinéa 22

Supprimer cet alinéa.

Alinéa 52

Remplacer la référence :

L. 785-4

par la référence :

L. 785-3

L’article 56 permet d’assurer l’application en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna des modifications du code monétaire et financier introduites par les articles 43 à 55 du projet de loi. 

L'article 56 prévoit de modifier l’article L. 761.1 du code monétaire et financier afin d’y ajouter la référence au règlement DORA du 14 décembre 2022. Or cette mention figure déjà dans cet article, à la suite de la publication de l’ordonnance n° 2024-936 du 15 octobre 2024 relative aux marchés des crypto-actifs.

De même, l'article 56 prévoit de modifier les articles L. 771-1 et L. 781-1 du code monétaire et financier afin d’y ajouter la référence au règlement DORA du 14 décembre 2022. Or, cette mention figure déjà dans cet article, à la suite de la publication de l’ordonnance n° 2024-936 du 15 octobre 2024 relative aux marchés des crypto-actifs.

Par ailleurs, l'article 56 prévoit de modifier l’article L. 785-4 du code monétaire et financier afin de préciser que l’article L. 613-38 est applicable dans les en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna dans sa rédaction résultant du présent projet de loi, et non plus dans celle issue de l’ordonnance n° 2020-1636 du 21 décembre 2020. Or il s’agit d’une erreur de référence, l’article L. 785-4 ne renvoyant pas à cet article. L’article à modifier est l’article L. 785-3 du code monétaire et financier.