Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Rapports législatifs

Rapport n° 393 (2024-2025), déposé le

Article 12
Enregistrement des entités « essentielles » et « importantes » auprès de l'autorité nationale de sécurité des systèmes d'information

Cet article prévoit que l'autorité nationale de sécurité des systèmes d'information établit et met à jour la liste des entités « essentielles », des entités « importantes » et des bureaux d'enregistrement sur la base des informations que ces entités et bureaux d'enregistrement lui communiquent.

La commission a adopté l'article 12 modifié par deux amendements prévoyant :

- la nécessité d'une mise à jour au minimum tous les deux ans de la liste des entités régulées par le titre II du projet de loi transposant la directive NIS 2, telle que prescrit par la directive ;

- que le décret en Conseil d'État pris pour l'application de cet article fait l'objet d'un avis de la commission nationale de l'informatique et des libertés.

I. La situation actuelle - la directive NIS 2 prévoit que les entités qui seront régulées par ses dispositions devront fournir aux autorités désignées par les États membres un certain nombre d'informations

La directive NIS 1 et le dispositif SAIV prévoyaient qu'il revenait à l'administration, et en l'occurrence en France à l'Agence nationale de sécurité des systèmes d'information (Anssi), de désigner les entités auxquelles s'appliquaient les obligations en matière de cybersécurité prévues par NIS 1.

Ces obligations concernaient en l'occurrence pour la France environ 500 entités régulées.

Avec la directive NIS 2 et le présent projet de loi de transposition, ce sont quelque 15 000 entités qui seront désormais régulées en France en tant qu'entités « essentielles » ou « importantes », telles que définies aux articles 8 à 10 du projet de loi.

Le paragraphe 3 de l'article 3 de la directive NIS 2 prévoit qu'au plus tard le 17 avril 2025, les États membres établissent une liste des entités « essentielles » et « importantes » ainsi que des entités fournissant des services d'enregistrement de noms de domaine.

Les États membres réexaminent cette liste et, le cas échéant, la mettent à jour régulièrement et au moins tous les deux ans par la suite.

Le paragraphe 4 de l'article 3 prévoit également que les États membres exigent des entités visées qu'elles communiquent aux autorités compétentes au moins les informations suivantes :

- le nom de l'entité;

- l'adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d'IP et les numéros de téléphone ;

- le cas échéant, le secteur et le sous-secteur concernés visés à l'annexe I ou II ;

- le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d'application de la directive.

Les entités doivent notifier sans tarder toute modification des informations qu'elles ont communiquées et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

Le nombre d'entités visées étant désormais très important, le dernier alinéa du paragraphe 4 de l'article 3 de la directive NIS 2 dispose que les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s'enregistrer elles-mêmes.

II. Le dispositif envisagé - la création d'un mécanisme d'auto-enregistrement obligatoire des entités régulées auprès de l'autorité nationale de sécurité des systèmes d'information

L'article 12 du présent projet de loi dispose que l'autorité nationale de sécurité des systèmes d'information établit et met à jour la liste des entités « essentielles », des entités « importantes » et des bureaux d'enregistrement sur la base des informations que ces entités et bureaux d'enregistrement lui communiquent.

En d'autres termes, il revient désormais à ces entités d'évaluer elles-mêmes si elles entrent ou pas dans les critères définis par le projet de loi, ce qui constitue un transfert de responsabilité significatif.

Ce renversement de la charge de l'identification s'appuie sur le dernier alinéa du paragraphe 4 de l'article 3 de la directive NIS 2 qui dispose que les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s'enregistrer elles-mêmes.

Si elles estiment entrer dans ces critères, alors elles devront s'enregistrer auprès de l'autorité nationale de sécurité des systèmes d'information, c'est-à-dire en l'occurrence de l'Autorité nationale de sécurité des systèmes d'information (Anssi) et lui communiquer leur identité et toutes les informations qui permettent d'expliquer en quoi elles peuvent être considérées comme des entités relevant du projet de loi.

Le deuxième alinéa de l'article 12 renvoie à un décret en Conseil d'État la définition des informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises par les entités concernées à l'ANSSI.

Ce décret d'application devra transposer le paragraphe 4 de l'article 3 qui prévoit que les États membres exigent des entités visées qu'elles communiquent aux autorités compétentes au moins les informations suivantes :

- le nom de l'entité ;

- l'adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d'IP et les numéros de téléphone ;

- le cas échéant, le secteur et le sous-secteur concernés visés à l'annexe I ou II, ces secteurs et sous-secteurs étant visés à l'article 7 du présent projet de loi ;

- le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d'application de la directive.

Les entités devront notifier sans tarder toute modification des informations qu'elles ont communiquées et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

L'Anssi a d'ores-et-déjà créé une plateforme en ligne baptisée MonEspaceNIS2 qui permet de tester si une entité entre dans le champ d'application du projet de loi.

Une fois ce dernier définitivement adopté et promulgué, cette plateforme MonEspaceNIS2 devrait être utilisée pour procéder à l'enregistrement effectif des entités.

III. La position de la commission - l'enregistrement par les entités elles-mêmes apparaît inévitable, eu égard à l'augmentation considérable d'entités régulées au titre de la cybersécurité

Le présent article 12 constitue une transposition des paragraphes 3 et 4 de l'article 3 de la directive NIS 2 qui fait le choix d'activer la possibilité de mettre en place un mécanisme national permettant aux entités de s'enregistrer elle-même.

Eu égard au nombre d'entités concernées par le titre II du projet de loi, évalué à 15 000, la mise en place d'un tel mécanisme au niveau français paraît effectivement incontournable.

Votre rapporteur a pu tester la plateforme en ligne baptisée MonEspaceNIS2, laquelle propose déjà aux entités une indication assez précise de la probabilité qu'elles entrent dans le champ des entités régulées ou non par le présent projet de loi transposant la directive NIS 2.

Si la commission spéciale considère que le projet de loi renvoie trop souvent aux décret d'application, dans le cas de cet article, le renvoi à un décret d'application paraît fondé pour établir dans le détail les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises, même si ces points sont déjà partiellement prescrits dans la directive, notamment le délai des modifications qui doivent être notifiées sans tarder et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

La commission n'a donc pas substantiellement modifié cet article, adoptant uniquement un amendement COM 101 du rapporteur Patrick Chaize visant à insister sur la nécessité de mettre à jour au minimum tous les deux ans la liste des entités visées par le titre II du présent projet de loi.

Elle a également adopté un amendement COM 20 du groupe Socialiste, Écologiste et Républicain prévoyant que la CNIL est saisie pour avis sur le projet de décret en Conseil d'État définissant les informations à transmettre au titre du présent article 12, dans la mesure où certaines d'entre elles peuvent avoir un caractère personnel.

La commission a adopté l'article ainsi modifié.

Article 13
Absence d'application des dispositions du projet de loi aux entités soumises à des exigences équivalentes en application d'un acte juridique de l'Union européenne

Cet article vise à prévoir les conditions dans lesquelles les dispositions du présent projet de loi peuvent ne pas s'appliquer aux entités soumises à des exigences équivalentes en application d'un acte juridique de l'Union européenne

La commission a adopté cet article sans modification.

I. La situation actuelle - la directive NIS 2 prévoit que ses dispositions peuvent ne pas s'appliquer aux entités soumises à des exigences équivalentes en application d'un acte juridique de l'Union européenne

L'article 4 de la directive NIS 2 porte sur la combinaison entre les dispositions de la directive et d'autres actes juridiques sectoriels de l'Union européenne.

Son paragraphe 1 prévoit ainsi que lorsque des actes juridiques sectoriels de l'Union imposent à des entités « essentielles » ou « importantes » d'adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la directive, les dispositions pertinentes de la directive NIS 2, y compris celles relatives à la supervision et à l'exécution prévues au chapitre VII, ne sont pas applicables auxdites entités.

Ce principe de lex specialis est notamment prévue pour permettre la conciliation entre les dispositions de la directive NIS 2 d'une part, et celles du règlement DORA et de la directive accompagnant ce règlement, textes destinés à améliorer la résilience du système bancaire et financier.

Elle devrait s'appliquer également à certains types d'entité relevant des secteurs « Infrastructures numériques », « Gestion des services TIC » et « Fournisseurs numériques » tels que définis par les annexes de la directive NIS 2 car ces entités devraient faire l'objet d'un règlement d'exécution spécifique de la Commission européenne. Elles seront donc, dans ce cas particulier, soumises à des mesures de gestion des risques cyber et à des obligations en matière de réponse à incident spécifiques. Elles ne seront par conséquent pas soumises aux mesures de sécurité ni aux règles de notification d'incidents s'appliquant aux entités régulées par NIS 2.

En revanche, lorsque des actes juridiques sectoriels de l'Union ne couvrent pas toutes les entités d'un secteur spécifique relevant du champ d'application de la directive, les dispositions pertinentes de la directive continuent de s'appliquer aux entités non couvertes par ces actes juridiques sectoriels de l'Union.

Le paragraphe 2 de l'article 4 prévoit que les exigences visées au paragraphe 1 sont considérées comme ayant un effet équivalent aux obligations prévues par la directive lorsque :

- comme prévu en son point a), les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures prévues à l'article 21 relatif aux mesures de gestion des risques en matière de cybersécurité ;

- comme prévu en son point b), l'acte juridique sectoriel de l'Union prévoit un accès immédiat, s'il y a lieu, automatique et direct, aux notifications d'incidents par les computer security incident response team (CSIRT), les autorités compétentes ou les points de contact uniques en vertu de la directive.

II. Le dispositif envisagé - une transposition fidèle quoique incomplète de dispositions de la directive NIS 2 portant sur sa conciliation avec des actes juridiques de l'Union portant sur des exigences sectorielles en matière de cybersécurité

La première phrase de l'article 13 prévoit que les dispositions pertinentes du présent projet de loi, y compris celles relatives à la supervision, ne sont pas applicables aux entités « essentielles » et « importantes » qui sont soumises, en application d'un acte juridique de l'Union européenne, à des exigences sectorielles de sécurité et de notification d'incidents ayant un effet au moins équivalent aux obligations résultant des articles 14 et 17.

Cette transposition est fidèle au paragraphe 1 de l'article 4 de la directive, mais ne reprend pas la précision qui prévoit que lorsque des actes juridiques sectoriels de l'Union ne couvrent pas toutes les entités d'un secteur spécifique relevant du champ d'application de la directive, les dispositions pertinentes de la directive continuent de s'appliquer aux entités non couvertes par ces actes juridiques sectoriels de l'Union.

Le renvoi à l'article 14, qui assure la transposition de l'article 21 relatif aux mesures de gestion des risques en matière de cybersécurité, permet de respecter la référence faite au même article 21 de la directive au point a) du paragraphe 2 de l'article 4 de la même directive.

La deuxième phrase de l'article 13 prévoit que pour être équivalentes, les exigences de notification des incidents doivent également prévoir un accès immédiat aux notifications d'incidents par l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi).

Cette disposition est conforme au point b) du paragraphe 2 de l'article 4 de la directive qui dispose que l'acte juridique sectoriel de l'Union doit prévoir un accès immédiat, s'il y a lieu, automatique et direct, aux notifications d'incidents par les computer security incident response team (CSIRT), les autorités compétentes ou les points de contact uniques en vertu de la directive, cette responsabilité étant confiée à l'Anssi par l'article 17 du présent projet de loi.

III. La position de la commission - une transposition permettant une bonne conciliation entre dispositif général en matière de cybersécurité et réglementation sectorielle, mais la nécessité de prévoir un amendement pour éviter que des entités échappent à toute régulation

L'article 13 apparaît comme une transposition fidèle de l'article 4 de la directive NIS 2 et assure en particulier l'articulation entre les dispositions transposant NIS 2 d'une part et celles du règlement sur la résilience opérationnelle numérique du secteur financier (dit DORA) et celles transposant la directive accompagnant ce règlement d'autre part.

Ces dispositions sont nécessaires pour éviter que des entités se voient appliquer sur les mêmes sujets deux réglementations différentes.

La commission spéciale approuve ces dispositions de transposition et n'a par conséquent pas apporté de modification au présent article 13.

La commission a adopté cet article sans modification.

Article 14
Mise en place de mesures de cybersécurité par les entités « essentielles » et « importantes »

Cet article prévoit que les entités « essentielles » et « importantes » sont tenues de prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'informations qu'elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

La commission a adopté deux amendements tendant à :

- insister sur la nécessaire proportionnalité de ces mesures, de tenir dûment compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences économiques et sociales ;

- renforcer le rôle des organes de direction des entités régulées en matière de cybersécurité, en prévoyant que les organes de direction approuvent et supervisent les mesures de pilotage de la sécurité des réseaux et systèmes d'information, leurs membres ainsi que les personnes exposées aux risques devant être formés à la cybersécurité.

La commission a adopté cet article ainsi modifié.

I. La situation actuelle - l'article 21 de la directive NIS 2 prévoit que les entités « essentielles » et « importantes » doivent prendre des mesures techniques, opérationnelles et organisationnelles pour gérer les risques cyber

Le paragraphe 1 de l'article 21 de la directive NIS 2 prévoit que les États membres veillent à ce que les entités « essentielles » et « importantes » prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Les mesures visées doivent garantir, pour les réseaux et les systèmes d'information, un niveau de sécurité adapté au risque existant, en tenant compte de l'état des connaissances et, s'il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre.

Lors de l'évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

Le paragraphe 2 de l'article 21 prévoit que ces mesures sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d'information ainsi que leur environnement physique contre les incidents, et qu'elles comprennent au moins :

- les politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information ;

- la gestion des incidents ;

- la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;

- la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;

- la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités ;

- des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité ;

- les pratiques de base en matière de « cyberhygiène » et la formation à la cybersécurité ;

- des politiques et des procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ;

- la sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs ;

- l'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d'urgence au sein de l'entité, selon les besoins.

II. Le dispositif envisagé - des obligations conformes aux dispositions de l'article 21 de la directive NIS 2 et qui feront l'objet d'un référentiel auquel devront se conformer les entités régulées

L'article 14 précise les obligations qui incombent aux différents acteurs assujettis aux dispositions du titre II du présent projet de loi transposant les dispositions de l'article 21 de la directive NIS 2.

Ces obligations s'appliquent :

- aux entités « essentielles » définies à l'article 8 ou susceptibles d'être désignées au titre de l'article 10 ;

- aux entités « importantes » définies à l'article 9 ou susceptibles d'être désignées au titre de l'article 10 ;

- aux administrations de l'État et à leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale ainsi que de la répression pénale, les missions diplomatiques et consulaires française pour leurs réseaux et systèmes d'information ;

- au Commissariat à l'énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ;

- aux juridictions administratives et judiciaires.

L'ensemble de ces acteurs sont tenus de prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour :

- gérer les risques qui menacent la sécurité des réseaux et des systèmes d'informations qu'ils utilisent dans le cadre de leurs activités ou de la fourniture de leurs services ;

- éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Il s'agit là précisément, retranscrites mot pour mot, des obligations prévues par le premier paragraphe du 1 de l'article 21 de la directive NIS 2.

Ces mesures techniques, opérationnelles et organisationnelles doivent garantir, pour leurs réseaux et leurs systèmes d'information, un niveau de sécurité adapté et proportionné au risque existant.

Si cette phrase figure au deuxième paragraphe du 1 de l'article 21 de NIS 2, la rédaction proposée ne précise pas, contrairement à la directive, qu'il s'agit de viser un niveau de sécurité adapté et proportionné au risque existant « en tenant compte de l'état des connaissances et, s'il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre ».

Il est également indiqué par la directive que « lors de l'évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences sociétales et économiques ».

Il est bien précisé au dernier alinéa de l'article 14 que ces mesures sont mises en oeuvre aux frais des acteurs concernés, ce qui représentera pour ceux d'entre eux qui sont les moins matures des coûts importants.

En vertu de l'article 14, ces mesures techniques, opérationnelles et organisationnelles visent à :

- Mettre en place un pilotage de la sécurité des réseaux et systèmes d'information adapté, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques, problématique abordée, quoique de manière plus complète, par l'article 20 de la directive NIS 2 ;

- Assurer la protection des réseaux et systèmes d'information, y compris en cas de recours à la sous-traitance (il s'agit là d'une référence à la nécessité de prendre en compte « la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs » évoquée à l'article 21 de la directive) ;

- Mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d'information et gérer les incidents, sujet lui aussi évoqué par l'article 21 de la directive ;

- Garantir la résilience des activités, point là aussi évoqué par l'article 21 de la directive.

L'article 14 prévoit qu'un décret en Conseil d'État :

- Fixe les objectifs auxquels doivent se conformer les acteurs auxquels s'applique le présent article, afin que les mesures adoptées pour la gestion des risques satisfassent aux quatre obligations énoncées ci-dessus ;

- Détermine les conditions d'élaboration, de modification et de publication d'un référentiel d'exigences techniques et organisationnelles qui sont adaptées à ces différents acteurs.

Il est précisé que ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/88130(*).

L'Anssi a indiqué à votre rapporteur que les exigences de ce référentiel en matière de cybersécurité, sur lequel elle travaille actuellement, s'inscriront dans la suite logique de l'actuelle réglementation NIS 1 et porteront principalement sur des aspects d'hygiène informatique fondamentale afin que les entités puissent se protéger contre les menaces les plus courantes.

Selon le directeur de l'Anssi, il est envisagé que ce référentiel, dont votre rapporteur a pu consulter une version de travail, s'articule autour d'une vingtaine d'objectifs de sécurité obligatoires qui seront la traduction technique, opérationnelle et organisationnelle des mesures des articles 20 et 21 de la directive NIS 2.

Chaque objectif serait assorti de mesures proposées qui constitueraient des « moyens acceptables de mise en oeuvre », dont le respect permettrait d'atteindre les objectifs. Mais ces mesures ne seraient pas elles-mêmes obligatoires, l'entité restant libre de mettre en oeuvre les moyens qu'elle souhaite tant qu'ils permettent l'atteinte des objectifs susmentionnés qui, eux, seront obligatoires.

Selon l'Anssi, ces objectifs et mesures respecteront un principe de proportionnalité entre les entités « essentielles » et les entités « importantes » afin qu'il y ait une différence claire entre les entités « essentielles » qui devront respecter un niveau d'exigence élevé, et les entités « importantes », qui constitueront la majorité des nouveaux acteurs régulés.

L'élaboration de ce référentiel est apparue comme une nécessité, un renvoi à la norme ISO27001 n'étant pas suffisant (cf.'encadré ci-après).

Il convient en outre de noter que, par défaut, l'ensemble des systèmes d'information d'une entité seront concernées par le rehaussement des mesures de cybersécurité, car ces systèmes sont tous interdépendants et susceptibles d'attaques cybercriminelles.

Celles-ci peuvent effectivement viser des systèmes d'information annexes ou supports et s'en servir pour se latéraliser vers le reste de l'infrastructure numérique.

Les entités « essentielles » et « importantes » conserveront néanmoins la possibilité d'exclure du champ d'application certains de leurs systèmes dont la défaillance n'aurait pas d'impact sur leur activité, selon des modalités qui seront précisées au niveau réglementaire.

Sont exclus du champ du décret en Conseil d'État mentionné supra et autorisés à mettre en oeuvre les exigences techniques et méthodologiques qui leur sont propres les acteurs suivants :

- Les fournisseurs de services de systèmes de noms de domaine ;

- Les offices d'enregistrement ;

- Les fournisseurs de services d'informatique en nuage ;

- Les fournisseurs de services de centres de données ;

- Les fournisseurs de réseaux de diffusion de contenu ;

- Les fournisseurs de services gérés ;

- Les fournisseurs de sécurité gérés

- Les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux ;

- Les prestataires de services de confiance.

Place de la norme ISO27001 dans la transposition nationale de NIS 2

Pour transposer et mettre en oeuvre la directive NIS 2, l'Anssi privilégie une approche de la conformité basée notamment sur la mise en oeuvre du référentiel de mesures de cybersécurité adapté à la menace cybercriminelle mentionné à l'article 14. La norme ISO27001 et le référentiel de mesures cyber de l'ANSSI poursuivent en effet des objectifs différents. L'obtention d'une certification ISO27001 ne permet pas, en elle-même, une conformité à NIS 2. Mais cette norme constitue un outil et une méthodologie pour accompagner le déploiement du référentiel de sécurité.

L'ISO27001 établit des critères et propose une méthode pour la mise en place, la tenue à jour et l'amélioration continue d'un système de management de la sécurité de l'information (dit « SMSI ») sur un périmètre défini par l'entité. Un SMSI représente un ensemble de politiques et processus de protection des données basé sur le cadre règlementaire et une analyse de risques propre au périmètre de certification. L'ISO27001 ne prescrit pas de mesures cyber mais elle est complétée par la norme ISO27002 qui liste des « bonnes pratiques » pouvant être mises en oeuvre. Il revient ainsi à l'entité de définir, elle-même, le niveau de sécurité à atteindre et le périmètre sur lequel il s'applique puis d'identifier et de mettre en oeuvre les mesures de sécurité qu'elle juge nécessaires pour atteindre ce niveau de sécurité.

La directive NIS2 impose d'atteindre un niveau de sécurité nécessaire pour faire face à la menace cybercriminelle de masse. Le référentiel élaboré par l'Anssi définit les mesures de sécurité à mettre en oeuvre, sur l'ensemble du système d'information (SI) de l'entité, pour atteindre cette cible de sécurité. Ce référentiel, en cohérence avec la directive intègre le principe de proportionnalité en adaptant le niveau de sécurité demandé en fonction de l'entité régulée (entité « essentielle » ou « importante »). À titre d'exemple, le référentiel de l'Anssi demande uniquement des sauvegardes pour les entités importantes (EI), là où il exige également des plans de continuité et de reprise d'activité pour les entités essentielles (EE). La norme ISO27001 n'impose quant à elle aucune exigence. La norme ISO27001, en tant que méthodologie, peut toutefois être utilisée comme méthode de mise en oeuvre des mesures prescrites par le référentiel de mesures cyber de l'ANSSI.

Par ailleurs, le référentiel Anssi s'inscrit dans l'approche de simplification règlementaire portée par NIS 2. Il a été élaboré avec la vocation de constituer un socle commun pour les régulations existantes et futures et ainsi limiter le « mille-feuille réglementaire ». Tout en préservant le cadre national et sa dépendance avec les enjeux de sécurité et de défense nationale, cette logique de « socle commun » permettra de favoriser la mise en place de mécanismes de reconnaissance mutuelle entre les référentiels NIS 2 des différents États membres au travers de travaux au sein du groupe de coopération NIS.

Enfin et dans cette même logique, il est à noter que le volet résilience et en particulier la gestion de crise cyber, axe majeur de la directive NIS 2 et de la transposition nationale, n'est pas directement couvert par l'ISO27001 qui renvoie le sujet à l'ISO22301. La Belgique, face aux limites de la norme, a décidé de renforcer son référentiel NIS 2 national avec des exigences de résilience complémentaires à celles présentes dans l'ISO27001.

Source : Anssi

III. La position de la commission - des obligations en matière de sécurité indispensables, qui devront être décidées par les organes de direction des entités mais qui devront rester proportionnées et faire l'objet d'un accompagnement très soutenu

1) Élever le niveau de cybersécurité des entreprises et des administrations est une nécessité

Le présent article 14 permet d'assurer la transposition de l'article 21 de la directive NIS 2 en prévoyant que les entités « essentielles » et « importantes » devront prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour :

- gérer les risques qui menacent la sécurité des réseaux et des systèmes d'informations qu'elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services ;

- éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Il s'agit là d'une des dispositions clefs du projet de loi, à laquelle la commission spéciale souscrit pleinement : l'ensemble des entités visées par la transposition de la directive NIS 2 peuvent être la cible de cyberattaques potentiellement dévastatrices et doivent par conséquent rehausser parfois fortement leur niveau de cybersécurité pour y faire face.

2) Un impératif de proportionnalité pour éviter des obligations excessives et trop coûteuses

Cet impératif étant posé, il convient de veiller à ce que les obligations qui seront imposées à ces entités, et notamment aux nombreuses entités « importantes », parfois de petite taille, demeurent raisonnables et proportionnées.

C'est la raison pour laquelle la commission spéciale a adopté un amendement COM 103 du rapporteur Patrick Chaize, directement inspiré par les dispositions de l'article 21 de la directive, qui prévoit que les mesures adoptées par les entités doivent permettre de viser un niveau de sécurité adapté et proportionné au risque existant « en tenant compte de l'état des connaissances et, s'il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre ».

Cet amendement vise également à inscrire dans la loi que « lors de l'évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences sociétales et économiques ».

De fait, les coûts de mise en oeuvre de ces mesures seront très importants, puisque l'Anssi les évalue à :

- de 450 000 à 880 000 euros de coûts d'investissements par entité, avec un coût annuel de maintien en condition de sécurité s'élevant à environ 10 % du coût d'investissement, pour les entités « essentielles » ;

- de 100 000 et 200 000 euros de coûts d'investissements par entité, avec un coût annuel de maintien en condition de sécurité s'élevant à environ 10 % du coût d'investissement pour les entités « importantes ».

Il s'agit là de montant très significatifs, d'où l'importance que les mesures qui seront prescrites, après concertation, par le référentiel de l'Anssi soient véritablement conçues au plus près des réalités de terrain, afin d'éviter au maximum des exigences disproportionnées qui ne seraient pas adaptées aux entités concernées, et notamment les plus petites d'entre elles.

En clair, il ne faudra pas imposer des mesures draconiennes et coûteuses à une petite entreprise peu exposée à la menace cyber ou pour laquelle une attaque cyber aurait peu d'impact.

3) Insister davantage sur l'implication des organes de direction des entreprises

Dans la rédaction initiale du projet de loi, il était prévu que les mesures que doivent prendre les entités régulées visent notamment à « mettre en place un pilotage de la sécurité des réseaux et systèmes d'information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques ».

Cette rédaction est apparue à la commission spéciale comme une forme de sous-transposition de l'article 20 de la directive NIS 2 qui prévoit que les décisions stratégiques en matière de cybersécurité doivent être prises par les organes de direction des entreprises ou des administrations publiques et que leurs dirigeants comme leurs personnels exposés aux risques cyber doivent être formés aux grands enjeux en matière de cybersécurité.

C'est pourquoi la commission spéciale à adopté un amendement COM 102 du rapporteur Patrick Chaize réécrivant le deuxième alinéa de l'article 14 pour prévoir que les mesures que prennent les entités régulées visent notamment à « prévoir que les organes de direction approuvent et supervisent les mesures de pilotage de la sécurité des réseaux et systèmes d'information, leurs membres ainsi que les personnes exposées aux risques devant être formés à la cybersécurité ».

Il paraît en effet indispensable, et conforme à l'esprit de la directive, d'insister sur le fait que les organes de direction doivent approuver et superviser directement les mesures relatives à la cybersécurité, ces questions essentielles relevant directement de leur compétence et de leur responsabilité.

4) Le rôle d'accompagnement de l'Anssi sera crucial pour réussir le rehaussement effectif de la cybersécurité des 15 000 entités qui devront appliquer les dispositions de ce projet de loi transposant la directive NIS 2

Le présent article 14 imposera à 15 000 entités de s'engager dans une démarche de rehaussement du niveau de sécurité de leurs systèmes d'information, ce qui suscite beaucoup d'inquiétudes et de demandes d'accompagnement, ce qu'ont clairement montré les auditions réalisées par la commission spéciale.

Il sera donc crucial que l'Anssi se mobilise très fortement pour faire connaître et comprendre les nouvelles obligations prévues par la réglementation et assurer leur mise en oeuvre effective.

Lors de son audition, le directeur général de l'Anssi a expliqué à la commission spéciale que la plateforme en ligne MonEspaceNIS2 permettra d'automatiser l'accompagnement des entités régulées en devenant le vecteur de nombreuses informations, la plateforme MonAideCyber ayant pour sa part vocation à réaliser des diagnostics de maturité de cybersécurité et d'identifier les mesures prioritaires que l'entité devra appliquer en termes de sécurité des systèmes d'information.

Mais l'Anssi prévoit également de s'appuyer fortement sur différents relais tels que les ministères coordonnateurs (chargés de l'animation des communautés sectorielles), les organisations professionnelles, les associations de collectivités territoriales, l'écosystème de prestataires de services de cybersécurité ou bien encore le réseau de Campus Cyber national et régionaux en cours de déploiement.

De fait, la commission spéciale, si elle n'a pas vocation à légiférer sur ce point, ne saurait trop insister sur la nécessité de prévoir un accompagnement très soutenu de l'ensemble des acteurs régulés afin que ceux-ci puissent progressivement se conformer à leurs obligations issues de la directive NIS 2, sachant que le délai communément admis pour cette mise aux normes sera de trois ans après la promulgation de la loi.

La commission a adopté cet article ainsi modifié.

Article 15
Opposabilité à l'ANSSI en cas de contrôle de la mise en oeuvre du référentiel qu'elle prescrit en matière de gestion des risques cyber

Cet article vise à rendre opposable à l'Anssi, en cas de contrôle effectué par elle, la mise en oeuvre du référentiel qu'elle prescrit en matière de gestion des risques cyber.

La commission a adopté un amendement visant à créer un mécanisme de reconnaissance mutuelle entre les États membres de l'Union européenne, de sorte qu'une entité qui aurait vue certifiée sa conformité à la directive NIS 2 dans un autre État membre puisse s'en prévaloir lors d'un contrôle de l'Anssi, dès lors que celle-ci a validé le niveau équivalent de sécurité garanti par le référentiel dudit État membre.

La commission a adopté cet article ainsi modifié.

I. La situation actuelle - une modalité directement introduite par la France pour simplifier la mise en oeuvre des contrôles en matière de cybersécurité

Le présent article 15 prend sens dans le contexte de la transposition de la directive NIS 2 mais ne trouve pas son origine directement dans l'une de ses dispositions.

Il constitue une modalité d'application faisant partie de la marge de choix de l'État membre.

II. Le dispositif envisagé - la création d'un dispositif d'opposabilité à l'Anssi en cas de contrôle de la mise en oeuvre du référentiel qu'elle prescrit en matière de gestion des risques cyber

L'article 14 prévoit qu'un décret en Conseil d'État détermine les conditions d'élaboration, de modification et de publication d'un référentiel d'exigences techniques et organisationnelles adapté aux différents acteurs tenus d'atteindre les objectifs fixés par le même décret pour que les mesures techniques, opérationnelles et organisationnelles adoptées pour la gestion des risques permettent effectivement de :

- mettre en place un pilotage de la sécurité des réseaux et systèmes d'information adapté, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques ;

- assurer la protection des réseaux et systèmes d'information, y compris en cas de recours à la sous-traitance ;

- mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d'information et gérer les incidents ;

- Garantir la résilience des activités.

Il est précisé que ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/88131(*).

Le présent article 15 dispose que les acteurs qui mettent en oeuvre les exigences de ce référentiel peuvent s'en prévaloir auprès de l'Anssi lors d'un contrôle pour démontrer le respect des objectifs qui leur sont fixés par le décret en Conseil d'État en matière de gestion des risques cyber.

Si ces acteurs ne mettent pas en oeuvre les exigences de ce référentiel, ils seront tenus de démontrer que les mesures qu'ils mettent en oeuvre permettent de se conformer à ces objectifs en matière de gestion des risques cyber.

Ainsi, l'utilisation du référentiel n'est pas obligatoire mais très fortement incitée dans la mesure où son application permet, lors d'un contrôle de l'Anssi, de prouver efficacement et rapidement que l'acteur contrôlé s'est conformé à ses obligations pour atteindre ses objectifs en matière de gestion des risques cyber.

Dans un souci d'adaptation et de proportionnalité, le non recours au référentiel reste possible, mais fait peser sur l'acteur la charge de prouver qu'il a mis en oeuvre des mesures techniques, opérationnelles et organisationnelles qui lui permettent de se conformer à ses objectifs même si celles-ci ne correspondent pas, en tout ou partie, à celles qui sont prescrites par le référentiel.

III. La position de la commission - une mesure de simplification bienvenue, auquel il convient d'adjoindre un mécanisme de reconnaissance mutuelle des référentiels de niveau équivalent entre les États membres de l'Union européenne

Le présent article 15 ne vise pas à transposer une disposition de la directive, mais à mettre en place un système d'opposabilité pour simplifier les contrôles de l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire de l'Anssi), ce qui a pour objet de faciliter la tâche de cette dernière mais également de protéger les entités qui se seront conformées aux exigences du référentiel prévu à l'article 14.

Les obligations mises à la charge des entités auxquelles s'appliquera le titre II du présent projet de loi étant très lourdes, la commission s'est montrée très favorable aux dispositions de cet article 15 qui introduisent une mesure de simplification et d'efficacité bienvenue, mais également une mesure de flexibilité en ne rendant pas le référentiel de l'Anssi obligatoire, même si les entités régulées auront tout intérêt à s'y conformer.

Afin de prévoir le cas des entreprises exerçant leurs activités dans plusieurs États membres et appliquant partout un même référentiel qui ne serait pas celui de la France mais qui serait reconnu par l'Anssi elle-même comme de même niveau que son propre référentiel, la commission spéciale a adopté un amendement COM 104 du rapporteur Patrick Chaize visant à créer un mécanisme de reconnaissance mutuelle entre les États membres de l'Union européenne, de sorte qu'une entité qui aurait vue certifiée sa conformité à la directive NIS 2 dans un autre État membre puisse s'en prévaloir lors d'un contrôle de l'Anssi, dès lors que celle-ci a validé le niveau équivalent de sécurité garanti par le référentiel dudit État membre.

La commission a adopté cet article ainsi modifié.

Article 16
Exigences de protection cyber supplémentaires pour les OIV et pour les administrations

Cet article vise à conférer au Premier ministre le pouvoir de rajouter des obligations supplémentaires en matière de cybersécurité aux opérateurs d'importance vitale (OIV) ainsi qu'aux administrations, en particulier les administrations régaliennes les plus sensibles

La commission a adopté cet article modifié par un amendement rédactionnel.

I. La situation actuelle - l'article 21 de la directive NIS 2 impose des obligations en matière de cybersécurité aux entités que celle-ci régule

Comme mentionné dans le commentaire de l'article 14, le paragraphe 1 de l'article 21 de la directive NIS 2 prévoit que les États membres veillent à ce que les entités « essentielles » et « importantes » prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Le présent article 16 prévoit qu'à ces obligations en matière de cybersécurité s'en ajoutent d'autres pour rehausser encore le niveau de sécurité des opérateurs d'importance vitale (OIV) et de plusieurs catégories d'administrations.

II. Le dispositif envisagé - un dispositif de protection cyber renforcé par rapport aux autres entités régulées pour les OIV et pour les administrations de l'État auxquelles s'applique NIS 2.

L'article 1er du présent projet de loi prévoit, dans une disposition codifiée à l'article L. 1332-2 du code de la défense, que sont désignés opérateurs d'importance vitale (OIV) par l'autorité administrative :

- Les opérateurs publics ou privés exerçant, au moyen d'infrastructures critiques situées sur le territoire national, une activité d'importance vitale32(*) ;

- Les opérateurs publics ou privés, gestionnaires, propriétaires ou exploitants d'établissements mentionnés à l'article L. 511-1 du code de l'environnement ou comprenant une installation nucléaire de base mentionnée à l'article L. 593-2 du même code, lorsque la destruction ou l'avarie d'une ou plusieurs installations de ces établissements peut présenter un danger d'une particulière gravité pour la population ou l'environnement.

Le premier alinéa de l'article 16 prévoit que ces opérateurs d'importance vitale (OIV) tiennent à jour et communiquent à l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) la liste de leurs systèmes d'information d'importance vitale selon les modalités fixées par le Premier ministre.

En vertu des dispositions du 2° de l'article L. 1332-1 du code de la défense tel qu'il résulte des dispositions de l'article 1er du présent projet de loi, les systèmes d'information d'importance vitale des OIV sont les systèmes d'information nécessaires à l'exercice d'une activité d'importance vitale ou à la gestion, l'utilisation ou la protection d'une ou plusieurs infrastructures critiques.

Les OIV devront donc impérativement tenir à jour et communiquer à l'Anssi une liste de ces systèmes d'information d'importance vitale.

Le deuxième alinéa de l'article 16 prévoit en outre que les OIV devront non seulement mettre en oeuvre sur leurs systèmes d'information d'importance vitale les exigences du référentiel mentionné à l'article 14 ainsi que les exigences spécifiques à ces systèmes d'information fixées par le Premier ministre. Pour ces OIV, se conformer au référentiel de l'Anssi ne suffira donc pas, il faudra également que leurs systèmes d'information se conforment à des exigences spécifiques supplémentaires.

Le troisième alinéa du présent article 16 prévoit que mettent en oeuvre les exigences du référentiel mentionné à l'article 14 ainsi que les exigences spécifiques fixées par le Premier ministre à l'égard des systèmes d'information permettant des échanges d'informations par voie électronique avec le public et d'autres administrations, les entités suivantes :

- les administrations qui sont entités « essentielles » ou « importantes » ;

- les administrations de l'État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale, ou des missions diplomatiques et consulaires françaises et de leurs réseaux et systèmes d'information ;

- le Commissariat à l'énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ;

- les juridictions administratives et judiciaires.

Cela signifie que pour chacune de ces administrations particulièrement sensibles il sera nécessaire de se conformer non seulement aux exigences du référentiel de l'Anssi prévu par l'article 14 du présent projet de loi, mais également aux « exigences spécifiques fixées par le Premier ministre à l'égard des systèmes d'information permettant des échanges d'informations par voie électronique avec le public et d'autres administrations ».

Ces exigences devraient pour l'essentiel correspondre à celles du référentiel général de sécurité (RGS)33(*) qui impose aux autorités administratives la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations.

Le quatrième alinéa de l'article 16 prévoit que les exigences spécifiques fixées par le Premier ministre prévues aux deuxièmes et troisième alinéas peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des prestataires de services certifiés, qualifiés ou agréés ou prévoir que le recours à des dispositifs matériels ou logiciels ou à des prestataires de services certifiés, qualifiés ou agréés emporte présomption de conformité à l'exigence de sécurité concernée.

Ces exigences peuvent également prescrire des audits de sécurité réguliers réalisés par des organismes indépendants.

Il est précisé que les personnes mentionnées au présent article 16 appliquent ces exigences à leurs frais.

Ce pouvoir de prescription de matériels, logiciels ou prestataires de service ou de prescription d'audits de sécurité se justifie par le caractère particulièrement sensible des OIV et des administrations visées au troisième alinéa de l'article 16, ce qui justifie que le Premier ministre, sur la base des travaux de l'Anssi, puissent faire preuve d'exigences renforcées vis-à-vis de ces entités.

III. La position de la commission - l'ajout d'exigences de cyber protections spécifiques pour les OIV et les administrations de l'État est justifiée, eu égard à la sensibilité de leurs systèmes d'information

Alors que l'article 14 du projet de loi prévoit que les entités régulées par le titre II transposant la directive NIS 2 devront mettre en oeuvre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d'information, l'article 16 confère au Premier ministre le pouvoir de rajouter des obligations supplémentaires pour les opérateurs d'importance vitale (OIV) ainsi que pour les administrations, et en particulier les administrations régaliennes les plus sensibles.

Si le principe de proportionnalité invite à ne pas imposer des protections trop lourdes et coûteuses à des entités qui feraient l'objet de peu de menaces cyber ou dont une éventuelle défaillance aurait des conséquences limitées, il conduit également à prévoir que des mesures renforcées puissent être prévues pour les entités les plus critiques ou les plus essentielles au bon fonctionnement de l'économie et de la société.

La commission spéciale a donc considéré que les dispositions du présent article 16 étaient proportionnées à leur objectif et a seulement adopté un amendement rédactionnel COM 105 du rapporteur Patrick Chaize.

La commission a adopté cet article ainsi modifié.

* 30 Règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013.

* 31 Règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013.

* 32 L'autorité administrative précise, le cas échéant, dans l'acte de désignation de l'opérateur d'importance vitale, l'activité ou la liste des activités d'importance vitale exercées par l'opérateur qui constituent des services essentiels au fonctionnement du marché intérieur de l'Union européenne définis par le règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels et qui, à ce titre, doivent être regardés comme des entités critiques au sens de cette directive

* 33 C'est l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives qui avait introduit ce référentiel général de sécurité (RGS).

Les thèmes associés à ce dossier

Partager cette page