Séance du 11 mars 2025

M. le président. La parole est à M. Olivier Cadic. (Applaudissements sur des travées du groupe UC.)

M. Olivier Cadic. Monsieur le président, madame la ministre, mes chers collègues, j’interviens au titre de mon groupe Union Centriste, mais, comme vous vous en doutez, ce temps de parole sera également l’occasion pour moi de faire passer quelques messages qui me tiennent à cœur en qualité de président de la commission spéciale.

Je tiens à remercier les membres de cette commission pour leur confiance et leur participation. J’aurai une attention spéciale à l’égard de Catherine Morin-Desailly, qui a présidé, il y a deux ans, la commission spéciale sur le projet de loi visant à sécuriser et réguler l’espace numérique, et qui m’a apporté son soutien et son expérience.

Je souscris en tous points aux constats et aux observations des rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, qui ont fait évoluer le texte dans le bon sens – je vous remercie d’ailleurs, madame la ministre, de l’avoir souligné –, celui du respect de la lettre des directives à transposer et celui de la simplification pour les entreprises, les collectivités et les administrations publiques qui y seront assujetties.

Je salue leur travail, ainsi que celui de nos collègues qui ont largement participé aux travaux de la commission spéciale et contribué à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’écosystème.

Je tiens d’ailleurs à exprimer toute ma gratitude à ces derniers, en particulier à l’Alliance pour la confiance numérique (ACN), au CyberCercle ou à la CyberTaskForce. Leur expertise a nourri nos réflexions.

Certains amendements ont été adoptés en commission spéciale. D’autres ont été déposés pour être examinés lors de la séance publique, afin que le Gouvernement puisse éclaircir plusieurs points d’attention que nous avons relevés et s’engager sur ces derniers. Mais j’y reviendrai plus en détail.

Ce texte était très attendu par l’ensemble des professionnels et des parties prenantes des secteurs privé et public, car la transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024.

Les circonstances politiques que l’on connaît nous auront conduits à surmonter une dissolution de l’Assemblée nationale : alors que le projet de loi devait initialement être présenté en juin 2024, il a finalement été déposé le 15 octobre. Nous avons ensuite dû composer avec la censure du Gouvernement, avant de pouvoir auditionner Mme la ministre déléguée chargée de l’intelligence artificielle et du numérique, en janvier dernier.

En tout état de cause, vous aurez été, madame la ministre, un heureux élément de continuité dans ce processus, ce qui est à souligner.

Nous devons réaliser, dans le domaine de la cybersécurité, un effort tout particulier en matière de sensibilisation et de prise en compte de la gravité des risques encourus. Je participe à cet effort en tant que rapporteur sur les crédits de l’Anssi depuis 2017.

En 2023, les cyberattaques ont coûté près de 90 milliards d’euros à l’économie française. Le Panorama de la cybermenace 2024, que l’Anssi a publié ce matin, démontre que ces attaques ont encore progressé l’année dernière.

Ce projet de loi nous permet de diffuser un message de mobilisation. La commission spéciale y a contribué : j’ai ainsi souhaité que nos auditions fassent l’objet d’une large diffusion publique. Notre devoir est de faire prendre conscience à nos concitoyens des menaces cyber qui pèsent sur eux.

Notre objectif premier n’est pas d’empêcher les cyberattaques. Elles ne pourront que s’accentuer dans les années qui viennent – c’est un fait. Vous avez indiqué, madame la ministre, que la question n’est pas de savoir si un organisme sera attaqué, mais quand il le sera. Pour ma part, j’ai l’habitude de dire qu’il y a ceux qui ont été attaqués et ceux qui le sont déjà, mais qui ne le savent pas encore. L’objectif des acteurs concernés est d’être plus résilients et de redémarrer très vite après une cyberattaque.

Je voudrais ici relayer quelques-unes des nombreuses observations qui nous ont été faites.

J’ai relevé un premier paradoxe. Bien que l’Anssi ait indiqué avoir conduit, depuis septembre 2023, des consultations avec plus de soixante-dix fédérations professionnelles, ainsi qu’avec les onze principales associations d’élus et quatre fédérations de collectivités territoriales, et en dépit du fait que l’étude d’impact du projet de loi comporte plus de 900 pages, l’ensemble des personnes que nous avons entendues ont déploré un manque d’information et de concertation, notamment sur les dispositions réglementaires d’application du projet de loi.

Cela soulève un second paradoxe. De nombreux intervenants ont souligné l’absence de transposition de certaines dispositions figurant dans les directives, telles que les définitions des notions de périmètre d’activité, d’incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative », laquelle est susceptible d’engendrer un risque d’une « surtransposition réglementaire ».

Le projet de loi renvoie à quarante décrets en Conseil d’État. De fait, ni les acteurs concernés ni la commission spéciale n’ont été rassurés sur la méthode de concertation et d’élaboration de ces derniers.

J’ai eu plusieurs fois le sentiment que le projet de loi donnait carte blanche à l’administration, sans que le législateur ait son mot à dire.

C’est pourquoi la commission spéciale a formulé plusieurs recommandations à l’attention du Gouvernement : premièrement, veiller à la proportionnalité des obligations des entités assujetties ; deuxièmement, fournir un effort de simplification des mesures d’application ; troisièmement, se garder de toute surtransposition réglementaire ; quatrièmement, enfin, accompagner les collectivités territoriales dans cette démarche nouvelle, en tenant compte des problématiques de compétences et de financement.

À titre plus personnel, j’estime, avec mon groupe, qu’il est important que le projet de loi ne soit pas perçu comme un catalogue inintelligible d’obligations et de sanctions. Il doit au contraire faire valoir une vision positive de l’élévation du niveau de résilience et de cybersécurité de tout le pays.

Plus largement, et pour conclure en ce qui concerne la dimension européenne de cette transposition, je voudrais poser la question de l’harmonisation européenne, ou plutôt, devrais-je dire, du risque de non-harmonisation, source de distorsions de concurrence avec nos voisins européens.

Un exemple précis vaut mieux qu’un long discours : comme l’a rappelé opportunément notre collègue Vanina Paoli-Gagin, nos voisins belges ont déjà transposé la directive NIS 2. Ils nous ont indiqué qu’ils prenaient pour référence le respect de la norme ISO 27001 sur les systèmes de management de la sécurité de l’information. En d’autres termes, en Belgique, on considère qu’une entreprise qui respecte cette norme remplit les obligations de la directive.

Est-ce qu’une entreprise française qui respecterait la norme ISO 27001 et les obligations complémentaires prévues en Belgique serait considérée comme remplissant ses obligations dans notre cadre national ? Non, répond l’Anssi ! C’est révélateur d’une démarche qui ne va pas dans le sens de la simplification, de l’harmonisation et de la concurrence au sein de l’Union européenne.

Vous nous annoncez, madame la ministre, la création d’un label national : cela promet… Il convient clairement de trouver le point d’équilibre entre le besoin légitime de sécurité nationale et l’acceptation des normes par les acteurs concernés.

Ce processus ne peut être laissé à la seule discrétion d’une agence qui ne rend aucun compte devant les entreprises et les collectivités. J’en appelle à vous, madame la ministre, pour élever au niveau politique le pilotage de la mise en œuvre de ce projet de loi.

En conclusion, je voudrais évoquer mon amendement n° 1 rectifié quinquies. Je souhaiterais qu’il ne soit pas possible d’imposer aux fournisseurs de services de chiffrement d’intégrer des dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.

Garantir la sécurité numérique constitue un véritable enjeu du texte. Laisser des brèches dans le cryptage des données, via des « portes dérobées », appelées backdoors, peut poser de véritables problèmes. Fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité face aux acteurs internationaux.

Cet amendement a reçu de nombreux soutiens de la part des acteurs du numérique. Votre avis, madame la ministre, fera l’objet d’une large attention. Je vous inviterai, mes chers collègues, à voter mon amendement.

Notre travail ne sera pas terminé avec le vote du texte. Pour être efficace, le projet de loi doit être largement accepté par tous. Cela dépendra de la qualité du dispositif qui sera retenu pour le mettre en œuvre.

Le groupe Union Centriste votera évidemment ce texte. (Applaudissements sur les travées du groupe UC.)

Mme Catherine Morin-Desailly. Bravo !

M. le président. La parole est à Mme Michelle Gréaume. (Applaudissements sur les travées du groupe CRCE-K, ainsi que sur des travées du groupe SER.)

Mme Michelle Gréaume. Monsieur le président, madame la ministre, mes chers collègues, il y a des décennies où rien ne se passe, et des semaines où le temps s’accélère.

Le monde s’embrase ; nous assistons à une militarisation croissante d’internet et à une explosion de la cybercriminalité. En ce sens, la cybersécurité s’impose aujourd’hui comme un enjeu stratégique, qui irrigue l’ensemble des sphères de notre société, de nos institutions et de notre économie.

Si le texte dont nous débattons aujourd’hui répond à certaines urgences, il demeure en deçà des véritables enjeux. Il est, en réalité, le produit d’une doctrine politique qui s’est résignée à la dépendance, préférant la résilience à la souveraineté, l’adaptation à la maîtrise, et la soumission aux rapports de force du capitalisme numérique mondialisé plutôt que la reconquête de nos capacités industrielles et technologiques.

Alors que la France était le pays de référence en matière de savoir-faire et de conception de produits numériques à grande échelle, notre dépendance technologique n’a jamais été aussi grande vis-à-vis du cloud et des logiciels américains.

Pourtant, comme le soulignent de nombreux chercheurs, nous avons été capables de déployer intégralement des réseaux filaires, satellitaires ou mobiles, ainsi que des câbles sous-marins, en nous appuyant quasi exclusivement sur des acteurs industriels nationaux. L’invention du Minitel, la mise au point de la technologie Numéris, le déploiement d’un réseau mobile GSM, de l’ADSL ou encore de la carte Vitale, tout cela était le fruit d’un tissu industriel et de recherche national.

Mais les gouvernements successifs ont fait le choix de la désindustrialisation dans les secteurs des télécoms et de l’électronique grand public. Ils ont laissé disparaître des sociétés comme Thomson, Alcatel ou Gemplus, alors qu’elles disposaient de brevets essentiels pour la distribution de contenus numériques.

Mme Catherine Morin-Desailly. Eh oui !

Mme Michelle Gréaume. Ommic, fleuron français de semi-conducteurs pour l’industrie des télécommunications et le domaine spatial, a lui aussi été vendu. De nos jours, le Gouvernement continue de délaisser Atos.

La privatisation et l’ouverture à la concurrence des réseaux téléphoniques ont balayé les laboratoires de recherche de France Télécom.

Les résultats de ces renoncements sont criants : nous avons manqué le tournant du cloud computing et des plateformes logicielles stratégiques. Nous avons abandonné notre destin numérique aux Gafam (Google, Apple, Facebook, Amazon, Microsoft) et aux grandes entreprises transnationales, qui dictent désormais les normes, fixent les prix et captent la valeur de notre propre développement numérique.

À l’heure actuelle, la France importe près de 20 milliards d’euros de technologies chaque année. Loin d’être un acteur de la révolution numérique en cours, nous en sommes devenus les consommateurs passifs, tributaires des infrastructures étrangères, prisonniers de systèmes d’exploitation, de solutions logicielles et de services cloud extraterritoriaux. Nous n’embrassons pas le futur, nous l’achetons ou nous le louons !

Le texte dont nous débattons aujourd’hui est le résultat de cet abandon d’une volonté de souveraineté numérique. Cette dernière laisse la place à la notion de résilience.

En effet, cette notion, centrale dans ce nouveau train de directives, traduit une stratégie orientée vers l’aval de la chaîne de valeur, fondée sur la sécurisation des solutions logicielles, des architectures réseau et des systèmes d’information, de nouvelles obligations de reporting et la surveillance des prestataires de technologies critiques. Tout cela doit se mettre en place sans que les coûts pour les entreprises et les collectivités territoriales soient finement évalués.

Néanmoins, lors des auditions de la commission spéciale, la question du financement et de l’accompagnement des nouvelles entités soumises à régulation a été soulevée par l’ensemble des acteurs, comme par des sénateurs de tous bords.

Mme Cécile Cukierman. Très bien !

Mme Michelle Gréaume. En effet, les entités devront s’identifier elles-mêmes et se mettre en conformité. Comme le soulignent de nombreux avis, assumer cette charge constituera un défi pour nombre d’entre elles, en termes financiers, mais aussi en ce qui concerne les compétences qu’elles devront acquérir ou développer.

Au-delà des coûts, c’est la possibilité même de trouver des personnels suffisamment qualifiés pour mettre en œuvre ces dispositions qui suscite des interrogations dans certaines régions où les ressources humaines sont rares et où, nous le savons, le recours aux prestataires de cybersécurité se traduira par des hausses de prix, dont les conséquences financières sont mal anticipées par le Gouvernement.

J’y insiste, cette interrogation sur les compétences est l’aboutissement de choix politiques d’externalisation des compétences et de plateformisation de l’action publique.

Ce texte, malheureusement, ne permettra pas d’enrayer la concentration des ressources et des services critiques entre les mains de grandes entreprises transnationales, majoritairement extraeuropéennes – IBM, Intel, Google, Microsoft, Amazon, etc. Or cela conditionne directement l’autonomie stratégique des États et leur capacité à définir les futurs modèles de production et d’innovation industrielles.

Tous ces points sont absents de ce projet de loi.

Enfin, au-delà du fond, nous émettons les réserves les plus vives quant à la méthode du Gouvernement, car ce texte renvoie à quarante reprises à des décrets d’application ou à des mesures réglementaires ultérieures.

M. le président. Il faut conclure, ma chère collègue.

Mme Michelle Gréaume. Pour les parlementaires du groupe Communiste Républicain Citoyen et Écologiste – Kanaky (CRCE-K), l’enjeu, au-delà de la seule logique de résilience, est celui de l’émancipation technologique et économique face aux grandes plateformes numériques et aux multinationales. (Applaudissements sur les travées du groupe CRCE - K.)

Mme Cécile Cukierman. Très bien !

M. le président. La parole est à M. Akli Mellouli. (Applaudissements sur les travées du groupe GEST.)

M. Akli Mellouli. Monsieur le président, madame la ministre, mes chers collègues, dans un contexte marqué par l’apparition de nouvelles tensions géopolitiques et d’une guerre hybride, nous devons nous mobiliser contre les nouveaux risques liés à la cybermenace, qui s’est accrue sur notre territoire.

C’est dans ce contexte que nous devons adapter notre droit et nous prononcer sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, lequel transpose trois directives européennes : Dora, REC et NIS 2. Celles-ci nous permettront de protéger nos collectivités, nos infrastructures critiques et nos entreprises face à la cybercriminalité.

Si la transposition de ces trois directives est indispensable en raison de l’accroissement de la cybercriminalité, nous devons nous interroger sur les moyens et l’accompagnement des acteurs appelés à les mettre en œuvre.

La directive REC a été négociée et adoptée sous la présidence française du Conseil de l’Union européenne. Elle correspond à la stratégie française de la protection des activités. Il s’agit de se rapprocher de l’objectif de résilience de nos infrastructures d’importance vitale. Ce projet de loi permettra, s’il est adopté, de compléter notre stratégie actuelle, en l’étendant à de nombreux secteurs, notamment à la santé publique et à l’environnement.

Par ailleurs, la définition des infrastructures critiques retenue dans le projet de loi permet d’aller plus loin que ce qui est prévu dans la directive, laquelle ne mentionne que les infrastructures nécessaires « à la fourniture d’un service essentiel » : la définition du projet de loi inclut, quant à elle, les sites industriels ou les installations publiques dont les dysfonctionnements sont susceptibles d’avoir des conséquences graves pour la population et son environnement. Nous saluons cette évolution.

Néanmoins, les efforts demandés à ces entités critiques sont importants : les difficultés financières, humaines et matérielles, susceptibles d’être occasionnées par l’application de ce texte, ne peuvent être occultées.

Les inquiétudes dont nous ont fait part les plus petites structures soumises à ces obligations sont légitimes. Pour les collectivités, les nouvelles mesures risquent de se traduire par des charges supplémentaires, dans un contexte où elles sont invitées par l’État – quand elles n’y sont pas contraintes – à réduire leurs dépenses.

J’en viens maintenant à la transposition de la directive Dora sur la résilience opérationnelle numérique des acteurs financiers. Il est indispensable que ces acteurs se dotent de moyens pour résister aux menaces auxquelles ils font face, car leur vulnérabilité est particulièrement forte dans un secteur interconnecté et complexe.

Le projet de loi transpose ainsi de manière efficace cette directive. Il permettra de réglementer avec rigueur un secteur largement exposé aux cybermenaces.

Enfin, NIS 2, qui a pour objectif d’assurer un niveau de cybersécurité élevé, est une directive ambitieuse. Nous devons toutefois nous interroger sur les modalités de sa mise en œuvre.

Nous faisons face à un accroissement général de la cybermenace. Nos infrastructures critiques sont déjà concernées par ces enjeux. Désormais, nos collectivités sont aussi vulnérables face à ce risque. Les récentes attaques contre nos mairies ou nos hôpitaux nous rappellent qu’il est nécessaire d’anticiper la menace. Les cyberattaques représentent un coût important pour l’ensemble des acteurs de la sphère publique.

C’est pourquoi le projet de loi, qui procède à la transposition de la directive NIS 2 dans notre droit, prévoit d’inclure, dans le périmètre de la régulation, près de 1 500 collectivités territoriales, ainsi que quelque 15 000 entités essentielles.

Si le groupe écologiste salue cette volonté de mettre en œuvre une véritable protection et d’assurer la résilience de nos infrastructures critiques et de nos collectivités, il émet néanmoins quelques réserves sur les moyens dont disposent l’ensemble des acteurs concernés tant dans la mise en œuvre des dispositions de NIS 2 que dans leur contrôle.

Le passage à l’échelle induit par la directive NIS 2 constitue un défi majeur, puisque le nombre d’entités régulées sera porté de 500 à 15 000 et que le nombre de secteurs concernés passera de six à dix-huit. Cette mise en conformité représente un coût estimé à 2 milliards d’euros, dont 690 millions d’euros par an pour les collectivités, alors même que nombre d’entre elles manquent de ressources humaines et techniques en cybersécurité.

Nous regrettons ainsi l’absence d’un véritable plan d’accompagnement des acteurs, qui aurait permis de conforter l’approche visant à renforcer la résilience.

Par ailleurs, nous déplorons l’instauration de sanctions financières importantes, dans un contexte où les collectivités, leurs groupements et leurs établissements publics administratifs souffrent d’ores et déjà de fortes contraintes budgétaires.

Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes.

Aussi, le groupe écologiste proposera par voie d’amendement une exonération des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d’information, afin d’éviter des contraintes supplémentaires.

Nous aurions aimé qu’une approche alternative aux sanctions financières soit mise en place autour d’un véritable plan national d’accompagnement. Cela aurait permis de clarifier le rôle des centres de réponse aux incidents cyber, les CSIRT (Computer Security Incident Response Team), en précisant leur financement ainsi que les modalités de l’accompagnement de ces entités nouvellement soumises à la directive NIS2 et de la mutualisation des moyens de nos collectivités.

Mes chers collègues, nous le savons, ce projet de loi est nécessaire. Il permet des avancées en apportant des réponses aux enjeux vitaux de la cybersécurité et en amorçant la réflexion sur la construction d’une cybersécurité territoriale.

Néanmoins, les circonstances budgétaires ne permettent pas aux acteurs concernés d’avancer dans cette voie sereinement. Une approche solidaire d’accompagnement par l’État est essentielle pour éviter que les petites collectivités ne soient laissées seules face aux cybermenaces. Celles-ci sont en progression sur notre sol et ne peuvent nous laisser sans réaction.

C’est pourquoi le groupe Écologiste – Solidarité et Territoires votera pour ce projet de loi, même si nous aurions souhaité aller plus loin dans l’élaboration d’une stratégie européenne de nature à nous assurer autonomie et souveraineté en la matière. (Applaudissements sur les travées du groupe GEST.)

M. le président. La parole est à Mme Audrey Linkenheld. (Applaudissements sur les travées du groupe SER.)

Mme Audrey Linkenheld. Monsieur le président, madame la ministre, mes chers collègues, du 1^er au 3 avril 2025, Lille accueillera, comme chaque année, le Forum international de la cybersécurité (FIC), qui réunit les principaux acteurs du secteur. C’est dire si l’enjeu cyber est bien identifié dans cette ville. Et pourtant, en mars 2023, elle a subi une intrusion dans son système informatique dont le coût a été évalué à près de 2 millions d’euros. Certes, les assurances couvriront une partie des frais et aucune donnée n’a été perdue, mais le fonctionnement habituel de la collectivité a été fortement perturbé.

Lille a été victime d’une attaque malgré l’écosystème cyber qui l’entoure. Une collectivité sur dix déclare l’avoir été dans les douze derniers mois, d’après le baromètre de la maturité cyber des collectivités publié à l’occasion du dernier salon des maires. On voit bien là à quel point la menace cyber a évolué depuis une dizaine d’années : elle est devenue systémique.

Une législation européenne en construction permanente tente de faire face à ces évolutions technologiques rapides et de contrer les attaques d’ampleur par une meilleure prévention et une plus grande coordination entre les États membres.

Comme nous l’avions signalé dans la proposition de résolution européenne présentée avec Catherine Morin-Desailly et Cyril Pellevat, il faut prendre garde à ce que cet enchaînement de textes européens ne complexifie pas l’ensemble du paysage en matière de cybersécurité. Nous devons aussi veiller au financement de tous les investissements induits.

Cette question financière est l’une de celles qui se posent dans le cadre du projet de loi que nous examinons et qui a pour objet de transposer – enfin, oserai-je dire – la directive sur la résilience des entités critiques, la directive NIS 2, qui étend le dispositif actuel de prévention et de protection à un plus large tissu économique et social ainsi qu’au secteur public, et le règlement Dora, applicable aux entités financières.

Avec ces textes, c’est un changement d’échelle qui s’opère en ce qui concerne tant les exigences de sécurisation des systèmes d’information et de résilience que les catégories d’entités visées. Environ 15 000 entreprises nouvelles sont concernées et 1 500 collectivités, à savoir les régions, les départements, les métropoles, les communautés urbaines, les communautés d’agglomération et les communes de plus de 30 000 habitants, deviennent des entités essentielles. Et c’est sans compter les collectivités qui sont désormais considérées comme des entités importantes.

Le défi pour ces structures publiques et privées est de taille : il importe de mieux se protéger, comme le montre mon exemple lillois. Cependant, le retard collectif d’investissement dans le domaine de la cybersécurité ne sera pas aisé à rattraper.

Les fortes tensions sur la filière des métiers cyber nous semblent être un point d’alerte majeur, tout comme les coûts en matière d’infrastructures, de formation et de mise en conformité, qui peuvent être lourds à supporter pour toutes les entités. Il est possible que les entreprises en ressentent les effets sur leur rentabilité, et que l’on constate une répercussion sur les prix des services payés par les utilisateurs finaux, avec un risque accru d’exclusion numérique pour certains d’entre eux.

La plupart des amendements du groupe Socialiste, Écologiste et Républicain visent donc à assurer une montée en puissance réellement progressive et faisant l’objet d’une concertation régulière de la future loi, avec un accompagnement opérationnel et financier qui tienne mieux compte des capacités de chacun.

C’est pour nous la condition de l’acceptabilité du projet de loi. Celui-ci ne prévoit pas de date d’application, mais il comporte des contrôles et des sanctions. Or l’enjeu cyber ne peut pas être vécu comme punitif. Rançongiciel, hameçonnage, déni de service : oui, la menace est réelle ; oui, nous avons besoin d’une meilleure cyberprotection, mais rien ne serait pire que des blocages dans les esprits et sur le terrain, parce qu’on oblige et on sanctionne au lieu d’expliquer et d’aider.

Le rôle de l’Anssi est à cet égard précieux, mais elle ne pourra pas tout faire, tout de suite et toute seule.

Aussi, dans le droit fil des travaux de la commission spéciale et des ajouts qui ont déjà été actés, nous souhaitons vivement que la stratégie nationale cyber suggérée par le rapporteur Patrick Chaize soit complétée par des éléments concrets et territoriaux, comme un plan d’accompagnement local ou un sous-préfet chargé de ces questions.

Une clarification du rôle et du financement des CSIRT est également attendue, de même que la sollicitation de l’avis de la Commission nationale de l’informatique et des libertés (Cnil).

Nous proposons enfin de réfléchir à un soutien financier des structures publiques et privées. Nous reprenons par exemple l’idée d’un crédit d’impôt, déjà défendue en 2021 par nos collègues Rémi Cardon et Sébastien Meurant dans leur rapport sur la cybersécurité des entreprises.

Face aux cybermenaces croissantes issues de groupes criminels privés ou associées à des ingérences étrangères, l’adoption de mesures permettant d’améliorer notre cyber-résilience et notre cybersécurité est indispensable. Nous avons largement contribué aux travaux de la commission spéciale à cet égard.

Aussi, le groupe Socialiste, Écologiste et républicain votera les principales dispositions transposées dans ce texte. Nous resterons néanmoins vigilants sur les conditions effectives de leur mise en œuvre et l’attribution de moyens financiers et opérationnels dédiés à l’adaptation des entreprises et des administrations. (Applaudissements sur les travées du groupe SER.)

M. le président. La parole est à Mme Marta de Cidrac. (Applaudissements sur les travées du groupe Les Républicains.)

Mme Marta de Cidrac. Monsieur le président, madame la ministre, mes chers collègues, pour commencer, permettez-moi de féliciter nos trois rapporteurs pour le travail qu’ils ont mené sur ce sujet crucial qu’est le renforcement de la résilience et de la cybersécurité de nos infrastructures et pour leurs apports au projet de loi.

Ce texte de loi transcrit en droit français trois directives européennes essentielles pour adapter notre cadre juridique à cette menace croissante.

La première est la directive REC, qui modernise notre approche en passant d’une logique de protection à une véritable stratégie de résilience des infrastructures critiques.

Le deuxième est la directive NIS 2, qui élargit considérablement le périmètre des entités soumises aux obligations de cybersécurité, dont le nombre passe de 500 à près de 15 000.

Le troisième est la directive Dora, qui vise à protéger le secteur financier contre les risques cyber, un enjeu crucial pour la stabilité économique du pays.

Ce projet de loi est essentiel au regard de la montée en puissance des cyberattaques, et notamment des rançongiciels. C’est une menace qui touche toutes nos infrastructures vitales. Établissements stratégiques, hôpitaux, collectivités locales, et même petites et moyennes entreprises : personne n’est à l’abri ! Comme le rappellent Patrick Chaize, Hugues Saury et Michel Canévet dans leur rapport, en un an, les attaques ont bondi de 30 %, avec des conséquences économiques et sociales considérables.

Les exemples ne manquent pas, madame la ministre. Je vous rappelle notamment l’attaque dont a été victime l’hôpital André-Mignot, dans les Yvelines, où vous vous êtes rendue à la fin du mois de février. Cet établissement a été paralysé durant des mois, ce qui a nui à l’offre et à l’organisation des soins dans le département. Ces événements ne sont malheureusement pas que des incidents techniques : il s’agit bel et bien de tentatives d’atteinte à notre souveraineté nationale et à notre résilience.

Je remercie la commission spéciale, présidée par Olivier Cadic, de s’être saisie de ce sujet et d’avoir fait preuve de vigilance face au risque de surtransposition, ce qui aurait pu ouvrir la porte à une inflation normative au-delà du cadre européen.

Je forme donc le vœu que l’examen en séance publique suive une dynamique similaire.

Pour autant, aussi nécessaire soit-il, ce texte soulève encore des questions et appelle des engagements clairs du Gouvernement. J’espère que le débat de ce soir permettra d’apporter des réponses.

La mise en œuvre des obligations ainsi transposées risque de peser sur les collectivités territoriales et les entreprises, en particulier sur les plus petites d’entre elles. Au niveau réglementaire, un cadre clair et réaliste doit être défini pour éviter toute surtransposition excessive.

Un accompagnement financier et technique sera indispensable pour que les entités concernées puissent réellement se conformer aux exigences de cybersécurité. Je n’oublie pas la question de la coordination et du contrôle, à laquelle il faudra apporter des réponses réalistes et pragmatiques.

Les responsabilités de l’Anssi seront considérablement élargies. L’Agence sera-t-elle prête, en termes de moyens et de personnel, à assurer ce rôle élargi de supervision ?

Par ailleurs, quelle sera la place laissée à l’harmonisation européenne afin d’éviter des doublons et des contraintes disproportionnées pour nos entreprises ?

Enfin, l’examen du texte devra permettre de clarifier et de renforcer certains points essentiels, comme les seuils de classification des entités essentielles et importantes ou encore l’accompagnement des acteurs privés et publics, lequel doit être renforcé pour garantir une application efficace et proportionnée des obligations de cybersécurité.

Nous devons légiférer vite, car le temps nous est compté et la transposition de certaines dispositions est déjà en retard. C’est le cas notamment de NIS 2. Pour autant, ne confondons pas vitesse et précipitation. Ce texte est un premier pas indispensable, mais sa réussite dépendra des mesures concrètes d’accompagnement et de mise en œuvre que le Gouvernement devra impérativement détailler. À une transposition légale et minimaliste du Parlement ne doit pas succéder une surtransposition réglementaire.

Mes chers collègues, en plus d’être des obligations légales, la protection de nos infrastructures critiques et le renforcement de la cybersécurité sont des impératifs pour la souveraineté de notre pays. (Applaudissements sur les travées du groupe Les Républicains.)

M. le président. La parole est à M. Mickaël Vallet. (Applaudissements sur les travées du groupe SER.)

M. Mickaël Vallet. Monsieur le président, madame la ministre, mes chers collègues, il est sept heures du matin, quelque part en France, lorsqu’un dysfonctionnement touche une station de traitement d’eau potable desservant une métropole de plusieurs centaines de milliers d’habitants. Du fait du manque d’anticipation, le service n’est pas rétabli aussitôt, et ce qui est d’abord un incident isolé devient une panne qui s’aggrave en quelques heures : les réservoirs se vident et le réseau de distribution cesse de fonctionner. Dans les hôpitaux, dans les industries, on rationne la consommation ; la population panique et les autorités peinent à coordonner la réponse d’urgence. Et le pire, c’est que ce n’est ni une attaque ni une catastrophe naturelle qui est la cause de tout cela, mais une simple défaillance technique aggravée par un manque de planification, d’anticipation et de résilience. Cette situation est techniquement parfaitement vraisemblable.

Il est des textes qui surgissent dans nos débats parlementaires comme une évidence au vu du contexte que nous traversons. Le projet de loi que nous examinons aujourd’hui appartient à cette catégorie.

Regardons au-delà de la France, comme l’ont fait quelques-uns des orateurs précédents. Le tragique de l’Histoire, imposé à l’Ukraine depuis trois ans, a mis en évidence la vulnérabilité des infrastructures critiques déjà soumises aux risques naturels et aux attaques physiques et cyber, qui se sont intensifiées ces dernières années.

À cet égard, la transposition de la directive REC dans le titre I^er du présent projet de loi, sur lequel je concentrerai mon intervention, ne fait que tirer les conséquences d’une réalité incontestable : la vulnérabilité croissante de nos infrastructures essentielles dans un monde où les crises deviennent la norme.

Nous avons ainsi vécu une crise sanitaire qui a révélé les fragilités de nos chaînes logistiques. Nous avons vu ces dernières années des collectivités tétanisées par des cyberattaques, des entreprises stratégiques paralysées par des rançongiciels, des États étrangers déployer leur influence par la manipulation de l’information et le sabotage économique.

Nos infrastructures critiques sont non plus simplement des rouages invisibles de notre quotidien, mais des cibles, des vulnérabilités, des enjeux de puissance. Les yeux des gouvernants se dessillent enfin face aux menaces des impérialismes russes et chinois, mais aussi américains.

J’insisterai sur quelques points du titre I^er.

Il ne crée pas un nouveau dispositif national de sécurité des activités d’importance vitale définies dans le code de la défense, l’actuel ayant prouvé son efficacité, mais il utilise la transposition pour réviser cette politique publique essentielle.

Il acte une évolution conceptuelle importante : nous sommes non plus dans une logique de protection statique des infrastructures, mais dans une approche dynamique de résilience. Cette réforme normative constitue ainsi l’opportunité de moderniser notre organisation nationale : rationalisation de la classification du dispositif, simplification des documents de planification requis ou encore renforcement des modalités de supervision.

À cet égard, la multiplication par cinq du nombre d’opérateurs d’importance vitale, qui passera de 300 à près de 1 500, est révélatrice de la nécessité d’une vigilance accrue, dans un monde où les risques sont de plus en plus systémiques et interdépendants.

Dans une démarche constructive en commission spéciale, les sénateurs socialistes ont permis, de l’avis général, d’améliorer la précision du texte, avec le dépôt et l’adoption de plusieurs amendements. C’est de nouveau dans cet esprit de responsabilité que nous procéderons à l’examen en séance publique de ce projet de loi. (Applaudissements sur les travées du groupe SER.)

M. le président. La parole est à Mme Catherine Belrhiti. (Applaudissements sur les travées du groupe Les Républicains.)

Mme Catherine Belrhiti. Monsieur le président, madame la ministre, mes chers collègues, le projet de loi que nous étudions aujourd’hui revêt une importance capitale : la protection et la résilience de nos infrastructures critiques face au renforcement des cyberattaques.

Dans un monde où les menaces numériques se multiplient et où nos infrastructures essentielles interconnectées sont de plus en plus exposées au risque cyber, nous avons le devoir de doter notre pays des outils nécessaires pour protéger ses intérêts fondamentaux.

Ce texte, qui transpose notamment les directives européennes NIS 2 et REC, constitue une avancée majeure dans ce domaine, mais il exige de notre part une vigilance accrue et un engagement sans faille.

Il ne se passe plus une semaine sans que des cyberattaques viennent nous rappeler la vulnérabilité de nos infrastructures numériques. Rappelons que les attaquants se saisissent de toutes les faiblesses techniques de nos systèmes d’information. Des hôpitaux ont été paralysés, des collectivités territoriales prises en otage par des rançongiciels et des entreprises clés de notre économie et de notre base industrielle et technologique de défense (BITD) ciblées par des actes de cyberespionnage.

La liste est longue et les conséquences sont désastreuses. La France subit une pression constante et omniprésente dans le cyberespace. En 2024, les événements de sécurité portés à la connaissance de l’Anssi ont connu une augmentation de 15 % par rapport à 2023. Dans ce contexte, la France n’a d’autre choix que de renforcer la sécurité de ses infrastructures vitales.

En ce sens, je tiens à saluer l’avis rendu par le Conseil d’État le 6 juin 2024, dans l’ensemble positif, qui a permis de nous éclairer sur le contenu du projet de loi, son champ d’application et les compétences des acteurs désignés, mais également de souligner ses diverses faiblesses, lesquelles ont depuis été corrigées.

Ainsi, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à répondre à ces défis en transposant plusieurs directives européennes qui s’articuleront correctement avec notre législation nationale. Il prévoit notamment une meilleure identification des entités essentielles et importantes, une responsabilisation accrue des dirigeants en matière de cybersécurité et des sanctions plus dissuasives en cas de manquement pour les opérateurs négligents.

S’il constitue une avancée significative, sa mise en œuvre nécessitera des moyens adaptés et une coordination efficace entre l’État, les entreprises et les collectivités territoriales. Ce texte va plus loin que la transposition, puisqu’il élargit, dans son article 62, le champ d’application de la résilience opérationnelle numérique au secteur financier. Ce choix cohérent se justifie au regard de l’objectif de protection de notre économie et de nos concitoyens.

Outre l’élargissement du champ d’application, le projet de loi prévoit un renforcement des pouvoirs de l’Anssi, qui joue un rôle central dans notre dispositif de protection. Cependant, il sera impératif de lui donner les moyens nécessaires à la réalisation de ses missions.

Si nous pouvons nous en réjouir, nous devons cependant nous assurer que les obligations imposées par ce texte ne deviennent pas un fardeau insurmontable pour nos entreprises et nos administrations. La cybersécurité doit être perçue non pas comme une contrainte, mais comme un investissement stratégique pour garantir la pérennité de notre économie et la sécurité de nos concitoyens.

Il nous faudra donc veiller à accompagner les acteurs concernés, notamment les petites et moyennes entreprises, qui sont les plus fragiles face à ce danger, dans la mise en conformité avec ces nouvelles exigences.

L’État doit jouer son rôle en assurant une coordination efficace et en mettant à disposition les ressources nécessaires, mais les entreprises et les collectivités locales ont également un rôle essentiel à jouer.

Ce projet de loi représente une avancée majeure, mais il ne doit être qu’une étape. C’est avec cette ambition que je vous invite, mes chers collègues, à le soutenir et à poursuivre ensemble notre engagement en faveur d’une France plus résiliente face au défi du numérique. (Applaudissements sur les travées du groupe Les Républicains.)

M. le président. La discussion générale est close.

M. le président. La parole est à M. Laurent Somon.

M. Laurent Somon. Lors des scrutins publics n^os 225 et 226, j’ai commis une erreur de manipulation : MM. Alain Joyandet et Georges Naturel souhaitaient voter contre.

M. le président. Acte est donné de ces mises au point, mon cher collègue. Elles figureront dans l’analyse politique des scrutins concernés.

M. le président. Nous reprenons la discussion du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Nous en sommes parvenus à la discussion du texte de la commission.

projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

TITRE I^er

RÉSILIENCE DES ACTIVITÉS D’IMPORTANCE VITALE

Chapitre I^er

Dispositions générales

Article 1^er

Le chapitre II du titre III du livre III de la première partie du code de la défense est ainsi rédigé :

« CHAPITRE II

« Résilience des activités d’importance vitale

« Section 1

« Dispositions générales relatives aux activités d’importance vitale

« Art. L. 1332-1. – Pour l’application du présent chapitre, on entend par :

« 1° Activités d’importance vitale : les activités indispensables au fonctionnement de la défense ou de la sécurité de la Nation ainsi qu’aux activités économiques, de la société, de la préservation de la santé publique ou de l’environnement ;

« 2° Infrastructure critique : tout ou partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système nécessaire à l’exercice d’une activité d’importance vitale ou dont une perturbation pourrait mettre gravement en cause la santé de la population ou l’environnement ;

« Parmi les infrastructures critiques, sont notamment distingués :

« a) Les points d’importance vitale, c’est-à-dire les installations les plus sensibles, notamment celles qui sont difficilement substituables ;

« b) Les systèmes d’information d’importance vitale, c’est-à-dire les systèmes d’information nécessaires à l’exercice d’une activité d’importance vitale ou à la gestion, l’utilisation ou la protection d’une ou plusieurs infrastructures critiques ;

« 3° (nouveau) Incident : un événement qui perturbe ou est susceptible de perturber de manière importante l’exercice d’une activité d’importance vitale ;

« 4° (nouveau) Résilience : la capacité d’un opérateur à prévenir et à se protéger contre tout incident, ainsi qu’à assurer la continuité de l’activité d’importance vitale qu’il exerce.

« Art. L. 1332-2. – I. – Sont désignés opérateurs d’importance vitale par l’autorité administrative :

« 1° Les opérateurs publics ou privés exerçant, au moyen d’une ou de plusieurs infrastructures critiques situées sur le territoire national, une activité d’importance vitale.

« L’autorité administrative précise, le cas échéant, dans l’acte de désignation de l’opérateur d’importance vitale, l’activité ou la liste des activités d’importance vitale exercées par l’opérateur qui constituent des services essentiels au fonctionnement du marché intérieur de l’Union européenne définis par le règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels et qui, à ce titre, justifient que cet opérateur soit regardé comme une entité critique au sens de cette directive ;

« 2° Les opérateurs publics ou privés, gestionnaires, propriétaires ou exploitants d’établissements mentionnés à l’article L. 511-1 du code de l’environnement ou comprenant une installation nucléaire de base mentionnée à l’article L. 593-2 du même code, lorsque la destruction ou l’avarie d’une ou plusieurs installations de ces établissements peut présenter un danger d’une particulière gravité pour la population ou l’environnement.

« II. – Ces opérateurs mettent en œuvre, à leurs frais, les obligations leur incombant prévues au présent chapitre.

« Lorsqu’un opérateur d’importance vitale exerce une activité d’importance vitale ou gère une infrastructure critique pour le compte d’une personne publique, cette dernière en est informée par l’autorité administrative.

« Sous-section 1

« Dispositions applicables aux opérateurs d’importance vitale

« Art. L. 1332-3. – Les opérateurs d’importance vitale réalisent une analyse des risques naturels ou d’origine humaine, accidentels ou intentionnels, y compris à caractère terroristes et ceux qui revêtent un caractère transsectoriel ou transfrontière qui pourraient perturber l’exercice de leurs activités d’importance vitale ou la sécurité de leurs infrastructures critiques, notamment des points d’importance vitale désignés par l’autorité administrative.

« Cette analyse est réalisée au plus tard dans un délai de neuf mois à compter de la désignation prévue au I de l’article L. 1332-2 et réévaluée au moins tous les quatre ans.

« Sur le fondement de cette analyse, les opérateurs d’importance vitale adoptent des mesures proportionnées de résilience techniques, opérationnelles et organisationnelles afin d’assurer la continuité des activités d’importance vitale qu’ils exercent et de sauvegarder leurs infrastructures critiques.

« L’analyse des risques ainsi que les mesures de résilience sont détaillées dans un document dénommé “plan de résilience opérateur” élaboré par l’opérateur, au plus tard dans un délai de dix mois à compter de la désignation prévue au I de l’article L. 1332-2, et approuvé par l’autorité administrative.

« Lorsque, en application d’accords internationaux régulièrement ratifiés ou approuvés, de lois ou de règlements, l’opérateur a déjà décrit dans un document particulier tout ou partie des mesures prévues au troisième alinéa, l’autorité administrative peut décider que ce document tient lieu, pour tout ou partie, du “plan de résilience opérateur”.

« En cas de refus de l’opérateur d’élaborer ce plan, de le modifier afin de le rendre conforme aux exigences prévues au présent article ou de le mettre en œuvre, l’autorité administrative le met en demeure de le réaliser, de le modifier ou de le mettre en œuvre dans un délai qu’elle fixe et qui ne saurait être inférieur à un mois.

« L’autorité administrative peut assortir cette mise en demeure d’une astreinte d’un montant maximal de 5 000 euros par jour de retard à compter de l’expiration du délai imparti dans la mise en demeure.

« L’astreinte peut également être prononcée à tout moment, après l’expiration du délai imparti par la mise en demeure, s’il n’y a pas été satisfait, après que l’intéressé a été invité à présenter ses observations.

« Les opérateurs mentionnés au 2° du I de l’article L. 1332-2 mettent en œuvre ces mesures de résilience sous réserve des dispositions du titre I^er et du chapitre III du titre IX du livre V du code de l’environnement.

« Un décret en Conseil d’État précise la nature des mesures de résilience pour chaque catégorie d’opérateur d’importance vitale mentionnée au I de l’article L. 1332-2.

« Art. L. 1332-4. – Les opérateurs d’importance vitale réalisent, au plus tard dans un délai de neuf mois à compter de la désignation prévue au I de l’article L. 1332-2, une analyse de leurs dépendances à l’égard de tiers, y compris ceux situés en dehors du territoire national, pour l’exercice de leurs activités d’importance vitale. Celle-ci comprend notamment une analyse des éventuelles vulnérabilités de leurs chaînes d’approvisionnement et de sous-traitance. Les mesures de résilience adoptées par les opérateurs d’importance vitale tiennent compte de cette analyse.

« Les opérateurs d’importance vitale prennent les mesures nécessaires pour garantir l’application du présent chapitre.

« Art. L. 1332-5. – Les opérateurs dont un ou plusieurs points d’importance vitale sont désignés en application du présent chapitre réalisent pour chacun d’eux un document dénommé “plan particulier de résilience” détaillant les mesures de protection et de résilience les concernant.

« Ces mesures comportent notamment des dispositions efficaces de surveillance, d’alarme, de protection matérielle et de conditions d’accès. Le plan est approuvé par l’autorité administrative.

« Lorsque, en application d’accords internationaux régulièrement ratifiés ou approuvés, de lois ou de règlements, un point d’importance vitale fait déjà l’objet de mesures de protection suffisantes décrites dans un document particulier, l’autorité administrative peut décider que ce document tient lieu de “plan particulier de résilience”.

« En cas de refus de l’opérateur d’élaborer ce plan, de le modifier afin de le rendre conforme aux exigences prévues aux alinéas précédents ou de le mettre en œuvre, l’autorité administrative le met en demeure de le réaliser, de le modifier ou de le mettre en œuvre dans un délai qu’elle fixe et qui ne saurait être inférieur à un mois.

« L’autorité administrative peut assortir cette mise en demeure d’une astreinte d’un montant maximal de 5 000 euros par jour de retard à compter de l’expiration du délai imparti dans la mise en demeure.

« L’astreinte peut également être prononcée à tout moment, après l’expiration du délai imparti par la mise en demeure, s’il n’y a pas été satisfait, après que l’opérateur concerné a été invité à présenter ses observations.

« Art. L. 1332-6. – Avant d’accorder une autorisation d’accès physique ou à distance à ses points d’importance vitale et systèmes d’information d’importance vitale, lorsqu’il estime nécessaire de s’assurer que le comportement de la personne devant faire l’objet de l’autorisation d’accès n’est pas de nature à porter atteinte à l’exercice d’une activité d’importance vitale ou à la sécurité d’une infrastructure critique, l’opérateur d’importance vitale peut demander l’avis de l’autorité administrative compétente dans les conditions prévues à l’article L. 114-1 du code de la sécurité intérieure, selon des modalités fixées par décret en Conseil d’État.

« Il peut également solliciter cet avis avant le recrutement ou l’affectation d’une personne à un poste pour l’exercice duquel il est nécessaire d’avoir accès aux points d’importance vitale ou aux systèmes d’information d’importance vitale ou qui implique l’occupation de fonctions sensibles.

« Les fonctions sensibles sont celles qui sont indispensables à la réalisation d’une activité d’importance vitale ou dont l’occupation expose l’opérateur à des vulnérabilités. Elles sont énumérées par l’opérateur dans le plan de résilience prévu au quatrième alinéa de l’article L. 1332-3 du présent code en tenant compte, le cas échéant, de critères déterminés par l’autorité administrative en fonction du secteur d’activité de l’opérateur.

« Les cas dans lesquels les accès physiques ou à distance peuvent justifier la demande d’avis sont précisés par l’opérateur dans le plan de résilience prévu au même quatrième alinéa et, le cas échéant, dans le plan particulier de résilience prévu à l’article L. 1332-5 en tenant compte des vulnérabilités à des actes de malveillance.

« La personne concernée est informée de l’enquête administrative dont elle fait l’objet.

« En cas d’avis défavorable de l’autorité administrative, l’opérateur d’importance vitale est tenu de refuser l’autorisation s’il est une personne morale de droit privé. Un avis défavorable ne peut être émis que s’il ressort de l’enquête administrative que le comportement de la personne ayant fait l’objet de l’enquête est de nature à porter atteinte à l’exercice d’une activité d’importance vitale ou à la sécurité d’une infrastructure critique.

« Art. L. 1332-7. – Les opérateurs d’importance vitale désignés au titre du 1° du I de l’article L. 1332-2 notifient à l’autorité administrative, au plus tard vingt-quatre heures après en avoir pris connaissance, tout incident susceptible de compromettre la continuité de leurs activités d’importance vitale dans des conditions fixées par décret en Conseil d’État.

« L’autorité administrative informe le public de cet incident lorsqu’elle estime qu’il est dans l’intérêt général de le faire.

« Sous-section 2

« Dispositions applicables aux entités critiques d’importance européenne particulière

« Art. L. 1332-8. – Les opérateurs d’importance vitale qui fournissent les services essentiels ou des services essentiels similaires à ou dans au moins six États membres en informent l’autorité administrative au plus tard en même temps que la présentation pour approbation du plan de résilience prévu au quatrième alinéa de l’article L. 1332-3.

« Ces opérateurs sont identifiés comme entités critiques d’importance européenne particulière dans les conditions prévues à l’article 17 de la directive (UE) du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil.

« Les opérateurs qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense, du nucléaire ou de la répression pénale, ou qui fournissent des services exclusivement destinés aux entités de l’administration publique exerçant dans ces domaines, peuvent être exonérés par l’autorité administrative de tout ou partie des obligations mentionnées à la présente sous-section, dans des conditions prévues par décret en Conseil d’État.

« Art. L. 1332-9. – Lorsque l’opérateur a été désigné par la Commission européenne comme entité critique d’importance européenne particulière il peut, sur demande motivée de la Commission européenne ou d’un ou de plusieurs des États membres auxquels ou dans lesquels le service essentiel est fourni et avec l’accord de l’autorité administrative compétente, faire l’objet d’une mission de conseil au titre de laquelle il doit garantir l’accès aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels qui sont nécessaires à l’exécution de cette mission de conseil, dans le respect des secrets protégés par la loi.

« Sur le fondement des conclusions de la mission de conseil, l’opérateur se voit communiquer par la Commission européenne un avis sur le respect de ses obligations et, le cas échéant, sur les mesures qui pourraient être prises pour améliorer sa résilience.

« Sous-section 3

« Dispositifs techniques concourant à la protection des installations d’importance vitale

« Art. L. 1332-10. – À des fins de protection des établissements, installations et ouvrages d’importance vitale mentionnés au I de l’article L. 1332-2, les services de l’État concourant à la défense nationale, à la sûreté de l’État et à la sécurité intérieure peuvent procéder, au moyen de caméras installées sur des aéronefs, à la captation, à l’enregistrement et à la transmission d’images dans les conditions définies aux articles L. 2364-2 à L. 2364-4.

« Sous-section 4

« Dispositions applicables aux systèmes d’information

« Art. L. 1332-11. – I. – Pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, les opérateurs d’importance vitale mettent en œuvre les obligations prévues aux articles 14 à 16 et au premier alinéa de l’article 17 de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

« II. – Pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d’information, le Premier ministre peut décider des mesures que les opérateurs mentionnés au I de l’article L. 1332-2 doivent mettre en œuvre.

« Section 2

« Contrôles et sanctions administratives

« Sous-section 1

« Habilitation et contrôles

« Art. L. 1332-12. – Sont habilités à rechercher et constater les manquements aux prescriptions du présent chapitre, à l’exception de l’article L. 1332-11, ainsi qu’aux dispositions réglementaires prises pour son application, en vue de la saisine de la commission prévue à l’article L. 1332-15, les agents de l’État spécialement désignés et assermentés à cette fin dans des conditions précisées par décret en Conseil d’État.

« Art. L. 1332-13. – Les agents mentionnés à l’article L. 1332-12 ont accès, pour l’exercice de leurs missions, aux locaux des opérateurs d’importance vitale. Ils peuvent pénétrer dans les lieux à usage professionnel ou dans les lieux d’exécution d’une prestation de service.

« Ils peuvent accéder à tout document nécessaire à l’accomplissement de leur mission auprès des administrations publiques, des établissements et organismes placés sous le contrôle de l’État et des collectivités territoriales ainsi que dans les entreprises ou services concédés par l’État, les régions, les départements et les communes.

« Ils peuvent recueillir, sur place ou sur convocation, tout renseignement, toute justification ou tout document nécessaire aux contrôles. À ce titre, ils peuvent exiger la communication de documents de toute nature propres à faciliter l’accomplissement de leur mission. Ils peuvent les obtenir ou en prendre copie, par tout moyen et sur tout support, ou procéder à la saisie de ces documents en quelques mains qu’ils se trouvent.

« Ils peuvent procéder, sur convocation ou sur place, aux auditions de toute personne susceptible d’apporter des éléments utiles à leurs constatations. Ils en dressent procès-verbal. Les personnes entendues procèdent elles-mêmes à sa lecture, peuvent y faire consigner leurs observations et y apposent leur signature. En cas de refus de signer le procès-verbal, mention en est faite sur celui-ci.

« Ils sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l’article 226-13 du code pénal. Le secret professionnel ne peut leur être opposé.

« Les manquements sont constatés par des procès-verbaux, qui font foi jusqu’à preuve contraire. Il est dressé procès-verbal des vérifications et visites menées en application du présent article.

« Art. L. 1332-14. – Il est interdit de faire obstacle à l’exercice des fonctions des agents habilités. L’opérateur contrôlé est tenu de coopérer avec l’autorité administrative. Les agents mentionnés à l’article L. 1332-12 peuvent constater toute action de l’opérateur d’importance vitale de nature à faire obstacle au contrôle.

« Le fait pour quiconque de faire obstacle aux demandes de l’autorité compétente nécessaires à la recherche des manquements et à la mise en œuvre de ses pouvoirs de contrôle prévus à la présente sous-section, notamment en fournissant des renseignements incomplets ou inexacts, ou en communiquant des pièces incomplètes ou dénaturées, est puni d’une amende administrative prononcée par la commission des sanctions mentionnée à l’article L. 1332-15 dont le montant, proportionné à la gravité du manquement, ne peut excéder dix millions d’euros ou, lorsqu’il s’agit d’une entreprise, 2 % du chiffre d’affaires annuel mondial hors taxes de l’exercice précédent, le montant le plus élevé étant retenu.

« Ces dispositions ne s’appliquent pas à l’État et à ses établissements publics administratifs qui font l’objet d’un contrôle.

« Sous-section 2

« Sanctions

« Art. L. 1332-15. – Tout manquement aux dispositions du présent chapitre peut donner lieu aux sanctions prévues à l’article L. 1332-17, prononcées par une commission des sanctions instituée à cet effet auprès du Premier ministre.

« Cette commission est saisie par l’autorité administrative des manquements constatés lors des contrôles effectués en application de l’article L. 1332-13. Cette autorité notifie à l’opérateur concerné les griefs susceptibles d’être retenus à son encontre.

« La commission des sanctions reçoit les rapports et procès-verbaux des contrôles.

« Art. L. 1332-16. – La commission des sanctions mentionnée à l’article L. 1332-15 est composée :

« 1° D’un membre du Conseil d’État, président, désigné par le vice-président du Conseil d’État, d’un membre de la Cour de cassation désigné par le premier président de la Cour de cassation, d’un membre de la Cour des comptes désigné par le premier président de la Cour des comptes ;

« 2° Et de trois personnalités qualifiées nommées respectivement par le Premier ministre, le président de l’Assemblée nationale et le président du Sénat en raison de leurs compétences dans le domaine de la sécurité des activités d’importance vitale.

« Un suppléant est désigné dans les mêmes conditions pour les membres mentionnés au 1°.

« Les membres de la commission des sanctions exercent leurs fonctions en toute impartialité. Dans l’exercice de leurs attributions, ils ne reçoivent ni ne sollicitent d’instruction d’aucune autorité.

« Le président de la commission désigne un rapporteur parmi ses membres. Celui-ci ne peut recevoir aucune instruction.

« La commission des sanctions statue par décision motivée. Aucune sanction ne peut être prononcée sans que l’opérateur concerné ou son représentant ait été entendu ou, à défaut, dûment convoqué. La commission peut auditionner toute personne qu’elle juge utile.

« La commission statue à la majorité des membres présents. En cas de partage égal des voix, celle du président est prépondérante.

« Le président et les membres de la commission mentionnés au 1° ainsi que leurs suppléants respectifs sont nommés par décret.

« Le mandat du président, des membres de la commission ainsi que de leurs suppléants respectifs est de cinq ans, renouvelable une fois. Ils sont tenus au secret professionnel.

« Art. L. 1332-17. – I. – En cas de manquement aux obligations découlant de l’application du présent chapitre, la commission des sanctions peut prononcer à l’encontre des opérateurs d’importance vitale, à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder dix millions d’euros ou, lorsqu’il s’agit d’une entreprise, 2 % du chiffre d’affaires annuel mondial hors taxes de l’exercice précédent, le montant le plus élevé étant retenu.

« Lorsque la commission des sanctions envisage également de prononcer la sanction prévue au deuxième alinéa de l’article L. 1332-14, le montant cumulé ne peut excéder le montant maximum prévu au premier alinéa du présent I.

« II. – En cas de manquement constaté aux obligations mentionnées à l’article 26 de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, la commission des sanctions, dans la composition prévue à l’article 36 de la même loi, peut prononcer les sanctions prévues aux articles 28 et 37 de ladite loi.

« Art. L. 1332-18. – La commission des sanctions peut ordonner la publication, la diffusion ou l’affichage de la sanction pécuniaire ou d’un extrait de celle-ci, selon les modalités qu’elle précise. Les frais sont supportés par la personne sanctionnée.

« Les sanctions pécuniaires sont versées au Trésor public et recouvrées comme créances de l’État étrangères à l’impôt et au domaine.

« Les recours formés contre les décisions de la commission des sanctions sont des recours de pleine juridiction.

« Art. L. 1332-19. – Les conditions d’application de la présente sous-section, notamment les règles de fonctionnement de la commission et les modalités de récusation de ses membres, sont définies par décret en Conseil d’État.

« Section 3

« Marchés publics et contrats de concession relatifs à la sécurité des activités d’importance vitale

« Art. L. 1332-20. – Les marchés publics des opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 sont soumis aux règles définies au titre II du livre V de la deuxième partie du code de la commande publique lorsque :

« 1° Ces marchés publics concernent la conception, la qualification, la fabrication, la modification, la maintenance ou le retrait des structures, équipements, systèmes, matériels, composants ou logiciels nécessaires à la protection des infrastructures critiques de l’opérateur ou dont le détournement de l’usage porterait atteinte aux intérêts essentiels de l’État ;

« 2° Et que cette protection ou la prévention de ce détournement d’usage ne peuvent être garanties par d’autres moyens.

« Art. L. 1332-21. – Les contrats de concession conclus par les opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 sont soumis aux règles définies au titre II du livre II de la troisième partie du code de la commande publique lorsque :

« 1° Ces contrats de concession concernent la conception, la qualification, la fabrication, la modification, la maintenance ou le retrait des structures, équipements, systèmes, matériels, composants ou logiciels nécessaires à la protection des infrastructures critiques de l’opérateur ou dont le détournement de l’usage porterait atteinte aux intérêts essentiels de l’État ;

« 2° Et que cette protection ou la prévention de ce détournement d’usage ne peuvent être garanties par d’autres moyens.

« Art. L. 1332-22. – Les opérateurs d’importance vitale qui passent un marché ou un contrat de concession en application des articles L. 1332-20 et L. 1332-21 en informent l’autorité administrative dans des conditions et des délais précisés par décret. »

M. le président. La parole est à Mme Hélène Conway-Mouret, sur l’article.

Mme Hélène Conway-Mouret. Ce projet de loi arrive au moment où la cybersécurité est devenue une priorité stratégique absolue, dans un monde interconnecté marqué par la montée en puissance du numérique et de l’intelligence artificielle. Malheureusement, on constate un recours de plus en plus désinhibé de certains pays bien identifiés à des stratégies d’influence et à des actes malveillants.

Dans ce contexte, la sécurité de nos infrastructures n’est plus une option ; elle est tout simplement vitale.

Le texte est néanmoins source de préoccupation pour les plus petites entités, qui peuvent être d’une importance critique pour notre souveraineté. Je pense en particulier aux entreprises qui forment notre base industrielle et technologique de défense, aux côtés des grands groupes industriels dont elles sont souvent les sous-traitants et les fournisseurs. Ces entreprises ne disposent pas toutes des ressources financières, humaines et organisationnelles pour satisfaire aux nouvelles normes qui vont entrer en vigueur avec cette loi. Une étude menée par la direction générale de l’armement (DGA) sur 300 entreprises a d’ailleurs révélé un niveau de maturité cyber très faible.

Mon groupe déposera plusieurs amendements afin de fixer un calendrier d’application progressif et différencié des mesures de contrôle en fonction du niveau de préparation des entités concernées, d’instaurer de la souplesse dans les obligations de transmission des informations et d’accompagner la transformation numérique des TPE-PME avec un crédit d’impôt. Il s’agira aussi d’exonérer du coût des contrôles, qui peut être insurmontable pour les plus petites structures, les entités qui n’ont pas volontairement manqué à leurs obligations.

Vous l’aurez compris, nous soutenons la mise en place de toutes les mesures qui peuvent assurer la protection de nos entreprises, mais souhaitons les accompagner au mieux pour préserver leur compétitivité.

M. le président. La parole est à Mme Michelle Gréaume, sur l’article.

Mme Michelle Gréaume. La demande de rapport sur la mise en œuvre du contrôle des investissements étrangers, que nous souhaitions insérer à cet article, a été déclarée irrecevable au titre de l’article 45 de la Constitution. Il s’agit pourtant d’un sujet qui concerne des entreprises de cybersécurité, de l’aérospatiale, de l’intelligence artificielle et de la robotique.

Madame la ministre, il est impératif de protéger les entreprises françaises des risques d’appropriation par des acteurs étrangers des savoir-faire technologiques en matière de cybersécurité. Le Gouvernement doit rester vigilant et proactif à cet égard.

M. le président. L’amendement n° 92, présenté par le Gouvernement, est ainsi libellé :

Alinéa 7

Après la première occurrence du mot :

de

rédiger ainsi la fin de l’alinéa :

l’économie ou de la société ainsi qu’à la défense ou à la sécurité de la Nation ;

La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargée de l’intelligence artificielle et du numérique. Comme je l’ai expliqué dans mon intervention liminaire, il s’agit de se rapprocher du dispositif de sécurité des activités d’importance vitale (SAIV) mis en place en France en 2006 avec un peu d’avance.

Notre volonté est d’harmoniser, de simplifier et d’éviter de surtransposer. Comme nous avions pris de l’avance, il me semble plus simple et plus efficace de nous en tenir aux dispositions de 2006 pour protéger ces entités essentielles pour notre nation, qui ont déjà investi et mis en place des procédures.

Un changement de périmètre exigerait d’elles un travail important et s’éloignerait de la philosophie qui a été la nôtre de faire le plus simple possible.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. L’objet de cet amendement est la suppression de la précision sur le champ des activités d’importance vitale introduite en commission. Le Gouvernement propose de revenir à la rédaction initiale de l’alinéa 7 de l’article 1^er.

Notre commission a en effet adopté un amendement visant à préciser le champ des activités d’importance vitale en reprenant le texte de la directive, qui retenait des notions de santé publique et d’environnement.

Pour autant, comme l’indique le Gouvernement, ce champ ne recoupe pas tout à fait celui des services essentiels de la directive REC.

Aussi, je suis favorable à cet amendement.

M. le président. Je mets aux voix l’amendement n° 92.

(L’amendement est adopté.)

M. le président. L’amendement n° 95, présenté par le Gouvernement, est ainsi libellé :

Alinéa 13

Après le mot :

prévenir

rédiger ainsi la fin de l’alinéa :

, à se protéger et à résister contre tout type d’incident afin d’assurer la continuité de la ou des activités d’importance vitale qu’il exerce.

La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée. Il s’agit d’un amendement rédactionnel qui vise à préciser la notion de résilience.

La définition adoptée par la commission spéciale ne mentionne pas explicitement la nécessité pour l’opérateur d’adopter des mesures efficaces qui lui permettent de résister face aux conséquences d’un incident. Il nous semble plus logique de revenir à la version initiale du texte.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. Cet amendement tend à préciser, selon nous utilement, la définition de la résilience telle que nous l’avions proposée.

L’avis est favorable.

M. le président. Je mets aux voix l’amendement n° 95.

(L’amendement est adopté.)

M. le président. L’amendement n° 25, présenté par Mme Conway-Mouret, M. M. Vallet, Mme Linkenheld, M. Cardon, Mmes Blatrix Contat et Narassiguin, M. Ros et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Alinéa 14

Au début, insérer les mots :

Après avoir recueilli leurs observations,

La parole est à Mme Hélène Conway-Mouret.

Mme Hélène Conway-Mouret. Nous souhaitons que l’autorité administrative recueille les observations d’un opérateur avant de le désigner en tant qu’opérateur d’importance vitale (OIV). L’objectif est simple : garantir que cette désignation, qui a nécessairement des conséquences importantes en matière de coût et d’organisation, soit réfléchie et adaptée aux réalités de chaque acteur concerné.

Cette consultation permettra de prendre en considération des facteurs essentiels, tels que la taille de l’opérateur, qui va de la TPE au grand groupe, les risques spécifiques à son secteur et sa capacité à assurer la résilience de ses infrastructures. Cette procédure figure d’ores et déjà dans le code de la défense, aux termes duquel, lorsque l’autorité administrative notifie à l’opérateur son intention de le désigner comme OIV, celui-ci dispose d’un délai de deux mois pour présenter ses observations.

Nous proposons de consacrer ce principe dans la loi, compte tenu des implications que la désignation en tant qu’OIV entraîne. Il s’agit d’une simple mesure de bon sens que je vous invite à soutenir, mes chers collègues.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. cet amendement prévoit que les opérateurs d’importance vitale ne puissent être désignés comme tels par l’autorité administrative qu’après avoir produit leurs observations.

Cette possibilité est déjà prévue par l’article R. 1332-3 du code de la défense. Néanmoins, la rédaction de cet amendement nous pose problème. En effet, dans l’hypothèse où l’opérateur ne produirait aucune observation, la procédure s’arrêterait, ce qui n’est pas satisfaisant.

Aussi, il me semble préférable de nous en tenir à ce qui est prévu dans la partie réglementaire du code de la défense. C’est pourquoi je demande le retrait de cet amendement, faute de quoi l’avis sera défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Le Gouvernement prévoit d’intégrer cette disposition relative à la consultation, qui est importante, par voie réglementaire. Pour autant, rien ne s’oppose à ce qu’elle soit inscrite dans la loi.

C’est pourquoi le Gouvernement émet un avis favorable sur cet amendement.

M. le président. Je mets aux voix l’amendement n° 25.

(L’amendement n’est pas adopté.)

M. le président. L’amendement n° 93, présenté par le Gouvernement, est ainsi libellé :

Alinéa 22

Remplacer les mots :

naturels ou d’origine humaine, accidentels ou intentionnels

par les mots :

de toute nature

et les mots :

terroristes et ceux qui revêtent un caractère transsectoriel ou transfrontière

par le mot :

terroriste

La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée. Cet amendement vise, là encore, à restaurer la rédaction initiale du projet de loi. En effet, il semble préférable de conserver la définition la plus souple et la plus large possible. Il convient donc de conserver la notion des risques « de toute nature », afin de coller au plus près du terrain et de garder de la flexibilité, conformément à la lecture que nous avons de ce texte.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. Cet amendement vise à revenir à la rédaction initiale de l’alinéa 22, après que la commission spéciale a adopté un amendement précisant la nature des risques devant être analysés par les opérateurs d’importance vitale.

Cependant, comme le relève le Gouvernement, il est préférable de conserver une approche globale. C’est pourquoi la commission spéciale émet un avis favorable sur cet amendement.

M. le président. La parole est à Mme Audrey Linkenheld, pour explication de vote.

Mme Audrey Linkenheld. Je tiens à expliquer la position du groupe socialiste sur cet amendement.

Il nous semble regrettable que le Gouvernement, par cet amendement, revienne sur la précision apportée en commission spéciale par l’adoption de l’un de nos amendements. En effet, contrairement à ce qui figure dans l’objet de l’amendement n° 93, la définition que nous avions proposée n’est pas « relativement large », puisqu’elle est directement inspirée des articles 5 et 12 de la directive REC.

Il nous paraissait utile de préciser, comme c’est le cas dans la directive, la nature des risques que les différentes entités doivent analyser : « risques naturels ou d’origine humaine, accidentels ou intentionnels, y compris à caractère terroriste », mais pas seulement – c’était d’ailleurs notre intention en déposant cet amendement.

Par conséquent, nous voterons contre cet amendement, pour nous en tenir à la rédaction que la commission spéciale avait adoptée.

M. le président. Je mets aux voix l’amendement n° 93.

(L’amendement est adopté.)

M. le président. L’amendement n° 108, présenté par le Gouvernement, est ainsi libellé :

Alinéa 32, deuxième phrase

Supprimer les mots :

et de sous-traitance

La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée. L’amendement que je vous présente maintenant est important : il tend, en effet, à supprimer la notion de sous-traitance de l’analyse des dépendances des opérateurs d’importance vitale. Il en a beaucoup été question lors de la discussion générale.

Le sujet qui nous occupe aujourd’hui est d’importance critique pour la cybersécurité de notre nation. Cependant, il nous faut l’aborder avec un certain pragmatisme et ne pas surtransposer ; or la question de la sous-traitance ne fait pas partie de la directive REC, laquelle mentionne seulement les chaînes d’approvisionnement.

Il nous semble donc nécessaire de revenir au texte initial pour coller au plus près de la directive européenne et ne pas introduire de nouvelles lourdeurs administratives, qui plus est au moment où nous débattons de la directive relative à la publication d’informations en matière de durabilité par les entreprises (CSRD), pour ne prendre que cet exemple.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. Cet amendement vise à supprimer la notion de sous-traitance de l’analyse des dépendances que seront tenues de réaliser les opérateurs d’importance vitale. Cette disposition prévue par la commission spéciale me semblait pourtant renforcer le dispositif de résilience des activités d’importance vitale, la chaîne de sous-traitance pouvant constituer une source de vulnérabilité à part entière.

Pour autant, je suis sensible aux arguments du Gouvernement, qui considère que l’extension de l’analyse des dépendances aux sous-traitants pourrait se traduire par une charge supplémentaire pour les opérateurs.

Aussi, dans la mesure où je souhaite non seulement protéger, mais aussi ne pas surtransposer, sur cet amendement, je m’en remets à la sagesse de la Haute Assemblée.

M. le président. Je mets aux voix l’amendement n° 108.

(L’amendement est adopté.)

M. le président. L’amendement n° 113, présenté par MM. Saury, Canévet et Chaize, au nom de la commission spéciale, est ainsi libellé :

Alinéa 34

Remplacer le mot :

dont

par les mots :

pour lesquels

La parole est à M. le rapporteur.

M. Hugues Saury, rapporteur. Il s’agit d’un amendement rédactionnel.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Avis favorable.

M. le président. Je mets aux voix l’amendement n° 113.

(L’amendement est adopté.)

M. le président. L’amendement n° 62 rectifié, présenté par MM. C. Vial et E. Blanc, est ainsi libellé :

Alinéa 35

Après les mots :

Ces mesures

Insérer les mots :

précisent les équipements matériels et les dispositifs numériques installés et mis en œuvre et

La parole est à M. Étienne Blanc.

M. Étienne Blanc. Il s’agit d’un amendement de précision.

L’opérateur d’importance vitale relevant de la catégorie d’entité critique doit assurer une activité d’importance vitale et fournir des services essentiels au sens de la directive REC.

La rédaction actuelle de l’article 1^er ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et des procédures mises en œuvre par l’opérateur.

Toutefois, le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs assurant leur efficacité, notamment pour éclairer la décision de l’autorité administrative chargée de l’approuver.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. Aux termes de cet amendement, les mesures figurant dans les plans particuliers de résilience devront comporter « les équipements matériels et les dispositifs numériques installés et mis en œuvre ».

Cet amendement me semble satisfait par la rédaction actuelle de l’alinéa 35. En effet, les « dispositions », puisque c’est le terme qui y figure, doivent être entendues comme l’ensemble des mesures prises ou envisagées par l’opérateur, lesquelles concernent aussi les équipements et les matériels, et pas seulement les procédures mises en œuvre par celui-ci. L’alinéa 35 mentionne ainsi la protection matérielle.

Par conséquent, la commission spéciale demande le retrait de cet amendement ; à défaut, elle émettra un avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Même avis pour les mêmes raisons.

J’ajoute que le droit définit les objectifs et les finalités du plan particulier de résilience. Pour autant, il n’a pas pour objet de détailler l’ensemble des éléments – la rédaction actuelle permet justement d’avoir une vue d’ensemble – pour que chaque plan soit le plus adapté possible à l’opérateur. Face à la multiplicité des secteurs, les plans types seront arrêtés par le Premier ministre dans des conditions qui seront prévues par voie réglementaire.

M. le président. Monsieur Blanc, l’amendement n° 62 rectifié est-il maintenu ?

M. Étienne Blanc. Dans la mesure où elles figureront dans le compte rendu de nos travaux, les explications de M. le rapporteur et de Mme la ministre me satisfont pleinement. C’est pourquoi je retire cet amendement, monsieur le président.

M. le président. L’amendement n° 62 rectifié est retiré.

Je suis saisi de deux amendements identiques.

L’amendement n° 26 est présenté par Mme Conway-Mouret, M. M. Vallet, Mme Linkenheld, M. Cardon, Mmes Blatrix Contat et Narassiguin, M. Ros et les membres du groupe Socialiste, Écologiste et Républicain.

L’amendement n° 49 est présenté par MM. Dossus, Mellouli, Benarroche, G. Blanc et Dantec, Mme de Marco, MM. Fernique et Gontard, Mme Guhl, M. Jadot, Mmes Ollivier et Poncet Monge, M. Salmon, Mmes Senée, Souyris, M. Vogel et les membres du groupe Écologiste - Solidarité et Territoires.

Ces deux amendements sont ainsi libellés :

Alinéa 40

Compléter cet alinéa par les mots :

, pris après avis de la Commission nationale de l’informatique et des libertés

La parole est à Mme Hélène Conway-Mouret, pour présenter l’amendement n° 26.

Mme Hélène Conway-Mouret. Ce projet de loi prévoit que, avant d’accorder une autorisation d’accès physique ou à distance des points d’importance vitale et des systèmes d’information d’importance vitale, les OIV peuvent demander l’avis de l’autorité administrative compétente, selon des modalités fixées par décret en Conseil d’État.

Il convient d’assortir ce décret d’un avis de la Commission nationale de l’informatique et des libertés (Cnil). La sollicitation de cette autorité administrative indépendante est d’ailleurs prévue près d’une quarantaine de fois dans le texte. Ce que nous demandons n’a donc rien d’extraordinaire.

En effet, ces enquêtes peuvent donner lieu à la consultation de données sensibles comme des casiers judiciaires et au traitement automatisé des données personnelles, ce qui soulève des questions quant à la protection de ces dernières.

L’objectif de cet amendement est donc de garantir un juste équilibre entre la sécurité des infrastructures critiques et le respect des libertés individuelles. Cet avis de la Cnil est d’autant plus justifié que cette mission entre parfaitement dans ses prérogatives, ce qu’elle nous a confirmé lorsque nous l’avons consultée.

M. le président. La parole est à M. Thomas Dossus, pour présenter l’amendement n° 49.

M. Thomas Dossus. Il s’agit de compléter cet article afin de préciser que le décret encadrant les enquêtes administratives de sécurité pour l’accès aux « points […] et systèmes d’information d’importance vitale » soit pris après avis de la Cnil.

En effet, ces enquêtes pourront impliquer notamment la consultation du bulletin n° 2 du casier judiciaire, ainsi que le recours à des traitements automatisés de données personnelles, données de nature sensible dont le traitement doit être défini avec la plus grande vigilance pour garantir le respect des libertés individuelles.

Face à cet élargissement des pouvoirs d’enquête, il nous a paru essentiel que la mise en œuvre de ces procédures soit éclairée et encadrée par l’expertise de la Cnil.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. Les amendements identiques n^os 26 et 49 ont donné lieu à d’importants débats au sein de la commission spéciale, entre volonté d’encadrer et souhait de ne pas alourdir la procédure.

C’est pourquoi je sollicite l’avis du Gouvernement sur ces amendements, qui visent à ce que le décret relatif aux enquêtes administratives de sécurité soit pris après avis de la Cnil. Le Gouvernement pourra en particulier nous préciser si la Cnil a été consultée sur le cadre actuel et le contenu de ce projet de loi et, le cas échéant, nous indiquer quel a été son avis.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Mesdames, messieurs les sénateurs, vous connaissez mon attachement à la protection des données personnelles. Le décret prévu à cet article détaille la procédure de saisine, laquelle n’a pas d’incidence sur les données personnelles.

En effet, cette procédure vise trois objectifs : premièrement, déterminer les cas dans lesquels une enquête peut être ouverte ; deuxièmement, définir la procédure avec le ministère coordinateur qui peut être saisi pour avis par les OIV ; troisièmement, fixer la liste des personnes pour lesquelles cette procédure ne serait pas applicable.

Il n’est donc pas question de données personnelles dans ce décret ou dans cette procédure. C’est pourquoi le Gouvernement demande le retrait de ces amendements identiques.

M. le président. Quel est donc l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. Même avis que le Gouvernement.

M. le président. La parole est à Mme Audrey Linkenheld, pour explication de vote.

Mme Audrey Linkenheld. Je m’étonne de l’avis du Gouvernement.

Comme l’a indiqué Hélène Conway-Mouret, nous avons consulté la Cnil, laquelle nous a confirmé que le décret entrait bien dans son champ de compétences.

Par conséquent, en adoptant ces amendements, nous n’accorderions pas à la Cnil de nouvelles prérogatives, pas plus que nous ne surchargerions son pouvoir de contrôle. Au contraire, nous nous appuierons sur les prérogatives qui sont les siennes, dont la Cnil elle-même considère qu’elles recouvrent le contenu de ce décret.

M. le président. Je mets aux voix les amendements identiques n^os 26 et 49.

(Après une épreuve à main levée déclarée douteuse par le bureau, le Sénat, par assis et levé, n’adopte pas les amendements.)

M. le président. Je mets aux voix l’article 1^er, modifié.

(L’article 1^er est adopté.)

Chapitre II

Dispositions diverses

Article 2

I. – Le code de la défense est ainsi modifié :

1° Au dernier alinéa de l’article L. 1333-1, les mots : « certains établissements, installations ou ouvrages, relevant de l’article L. 1332-1 » sont remplacés par les mots : « certaines infrastructures des opérateurs d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 » ;

2° À la fin du premier alinéa de l’article L. 2113-2, les mots : « établissements, aux installations ou aux ouvrages mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 » ;

3° Après le mot « personnel », la fin du deuxième alinéa de l’article L. 2151-1 est ainsi rédigée : « identifié dans les documents de planification des opérateurs désignés au titre de l’article L. 1332-2 visant à garantir la continuité de leur activité. » ;

4° À l’article L. 2151-4, les mots : « d’élaborer des plans de continuité ou de rétablissement d’activité et de notifier aux personnes concernées par ces plans » sont remplacés par les mots : « de notifier aux personnes concernées » ;

5° Au deuxième alinéa de l’article L. 2171-6, les mots : « publics et privés ou des gestionnaires d’établissements désignés par l’autorité administrative conformément aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 » ;

6° Aux premier et quatrième alinéas de l’article L. 2321-2-1, les mots : « mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 » ;

7° L’article L. 2321-3 est ainsi modifié :

a) Au premier alinéa, les mots : « mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 » ;

b) Au deuxième alinéa, les mots : « mentionné aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionné au I de l’article L. 1332-2 » ;

8° À l’article L. 4231-6, les mots : « publics ou privés ou par des gestionnaires d’établissements désignés par l’autorité administrative conformément aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 ».

II. – Au dernier alinéa de l’article 226-3 du code pénal, les mots : « mentionnés à l’article L. 1332-1 » sont remplacés par les mots : « d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 ».

III. – Le code des postes et des communications électroniques est ainsi modifié :

1° Au e du I de l’article L. 33-1, les mots : « mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 » ;

2° Au premier alinéa de l’article L. 33-14 et au deuxième alinéa du I de l’article L. 34-11, les mots : « mentionnés à l’article L. 1332-1 » sont remplacés par les mots : « d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 ».

IV. – Aux 2° des II et VI de l’article L. 1333-9 du code de la santé publique, les mots : « certains établissements, installations ou ouvrages relevant de l’article L. 1332-1 » sont remplacés par les mots : « certaines infrastructures des opérateurs d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 ».

V. – Le code de la sécurité intérieure est ainsi modifié :

1° Au 1° de l’article L. 223-2, les mots : « exploitants des établissements, installations ou ouvrages mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 » ;

2° À la première phrase du premier alinéa de l’article L. 223-8, les mots : « établissements, installations ou ouvrages mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « infrastructures des opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 ».

VI. – Au troisième alinéa de l’article 15 de la loi n° 2006-961 du 1^er août 2006 relative au droit d’auteur et aux droits voisins dans la société de l’information, les mots : « publics ou privés gérant des installations d’importance vitale au sens des articles L. 1332-1 à L. 1332-7 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 » – (Adopté.)

Article 3

I. – La sixième partie du code de la défense est ainsi modifiée :

1° Le chapitre I^er du titre II du livre II est complété par un article L. 6221-2 ainsi rédigé :

« Art. L. 6221-2. – En l’absence d’adaptation, les références faites, par des dispositions du présent code applicables à Saint-Barthélemy, à des dispositions qui n’y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement. » ;

2° Au chapitre II du même titre II, il est ajouté un article L. 6222-1 ainsi rédigé :

« Art. L. 6222-1. – La sous-section 2 de la section 1 du chapitre II du titre III du livre III de la première partie n’est pas applicable à Saint-Barthélemy. » ;

3° Le chapitre II du titre IV du livre II est complété par un article L. 6242-2 ainsi rédigé :

« Art. L. 6242-2. – La sous-section 2 de la section 1 du chapitre II du titre III du livre III de la première partie n’est pas applicable à Saint-Pierre-et-Miquelon. » ;

4° Le chapitre II du titre I^er du livre III est complété par un article L. 6312-3 ainsi rédigé :

« Art. L. 6312-3. – La sous-section 2 de la section 1 du chapitre II du titre III du livre III de la première partie n’est pas applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. »

II. – L’article 711-1 du code pénal est ainsi rédigé :

« Art. 711-1. – Sous réserve des adaptations prévues au présent titre, les livres I^er à V du présent code sont applicables, dans leur rédaction résultant de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna. »

III. – Le chapitre II du titre I^er du livre II du code des postes et des communications électroniques est ainsi modifié :

1° Après le mot « résultant », la fin du 1° du VII de l’article L. 33-1 est ainsi rédigée : « de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. » ;

2° Après le mot « résultant », la fin de l’article L. 33-15 est ainsi rédigée : « de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. » ;

3° L’article L. 34-14 est complété par les mots : « dans sa rédaction résultant de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».

IV. – Au premier alinéa des articles L. 285-1, L. 286-1, L. 287-1 et L. 288-1 du code de la sécurité intérieure, les mots : « loi n° 2023-703 du 1^er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense » sont remplacés par les mots : « loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » – (Adopté.)

Chapitre III

Dispositions transitoires

Article 4

Le présent titre entre en vigueur à une date fixée par décret en Conseil d’État, et au plus tard un an après la promulgation de la présente loi.

Les opérateurs d’importance vitale désignés avant la date d’entrée en vigueur du titre I^er de la présente loi sont regardés comme désignés en application du I de l’article L. 1332-2 du code de la défense dans sa rédaction résultant du chapitre I^er de la présente loi à la date de son entrée en vigueur.

Ces opérateurs restent soumis aux obligations qui leurs sont applicables avant la date d’entrée en vigueur du titre I^er de la présente loi jusqu’à l’accomplissement des obligations prévues aux articles L. 1332-2 à L. 1332-5 et à l’article L. 1332-11 du code de la défense dans leur rédaction résultant de la présente loi – (Adopté.)

Avant l’article 5

M. le président. L’amendement n° 54, présenté par MM. Dossus, Mellouli, Benarroche, G. Blanc et Dantec, Mme de Marco, MM. Fernique et Gontard, Mme Guhl, M. Jadot, Mmes Ollivier et Poncet Monge, M. Salmon, Mmes Senée, Souyris, M. Vogel et les membres du groupe Écologiste - Solidarité et Territoires, est ainsi libellé :

I. - Avant l’article 5

Insérer un article additionnel ainsi rédigé :

L’État met en place un plan national d’accompagnement au renforcement de la cybersécurité sur cinq ans qui identifie les compétences nécessaires et les besoins de formations sur les territoires.

Un volet de ce plan est consacré à l’accompagnement technique et financier des TPE et PME, ainsi qu’aux villes moyennes et petites intercommunalités.

Le plan clarifie le rôle des centres de réponse aux incidents de sécurité informatique territoriaux, et leur financement, dans l’accompagnement des entités nouvellement soumises à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) et la mutualisation des moyens des collectivités.

Un bilan de la mise en œuvre de la directive est réalisé deux ans après la promulgation de la présente loi pour évaluer les difficultés et ajuster les mesures d’accompagnement.

II. – En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :

Chapitre…

De l’accompagnement des entités soumises à des exigences renforcées de cybersécurité

La parole est à M. Thomas Dossus.

M. Thomas Dossus. La transposition, par ce projet de loi, des directives NIS 2 et REC va considérablement accroître le nombre d’entités régulées en France, celui-ci passant de 500 dans le cadre de NIS 1 à près de 15 000 après l’adoption de ce texte, selon l’exposé des motifs. Cette augmentation massive concerne une grande diversité d’acteurs, une majorité étant des PME-TPE et des collectivités territoriales.

Il est ressorti des nombreuses auditions menées par la commission spéciale qu’un accompagnement était absolument nécessaire d’un point de vue tant technique – pour la mise en place de mesures de sécurité et la bonne compréhension des obligations – que financier, avec l’investissement nécessaire dans la cybersécurité et le besoin de recrutement, de formation ou de sensibilisation. Sans un soutien adéquat, le risque est grand que l’application de ce texte se fasse de façon inégale et potentiellement inefficace, avec un développement des vulnérabilités.

C’est pourquoi nous prévoyons un plan national permettant de structurer cet accompagnement pendant une durée de cinq ans en prévoyant divers dispositifs, notamment : l’identification précise des compétences nécessaires ; la mise en place d’un soutien technique concret pour aider les entités à évaluer leurs risques ; la définition des mécanismes d’aide financière ciblés pour les PME-TPE et les collectivités territoriales ; la clarification du rôle et du financement des centres de réponse aux incidents de sécurité informatique territoriaux ; et la réalisation d’un bilan de la mise en œuvre de la directive deux ans après sa promulgation, afin d’évaluer les difficultés rencontrées et d’ajuster les mesures d’accompagnement en fonction des besoins constatés sur le terrain.

Un accompagnement progressif nous paraît essentiel pour garantir une mise en conformité efficace et éviter d’imposer des charges disproportionnées aux plus petites structures, tout en assurant une élévation générale du niveau de cybersécurité.

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Cet amendement semble satisfait par l’article 5 bis introduit par la commission spéciale qui prévoit l’élaboration d’une stratégie nationale en matière de cybersécurité.

Dans le contexte de la transposition de la directive NIS 2, cette stratégie devra bien sûr revenir en détail sur l’indispensable accompagnement des PME-TPE et des collectivités territoriales dans leur montée en maturité cyber.

C’est la raison pour laquelle la commission spéciale demande le retrait de cet amendement ; à défaut, elle émettra un avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Le Gouvernement demande également le retrait de cet amendement, pour les raisons avancées par le rapporteur, mais aussi au regard d’un certain nombre d’autres éléments.

L’accompagnement des entités est au cœur du dispositif de ce projet de loi, j’ai eu l’occasion de le rappeler. C’est un impératif bien identifié sur lequel le Gouvernement est pleinement mobilisé. J’ai demandé à l’Anssi d’entamer un certain nombre d’actions en la matière qui seront progressivement mises en place : MonEspaceNIS2, Cyber PME et MonAideCyber, autant de dispositifs qui prévoient déjà un accompagnement.

Je souhaite aller plus loin et avoir l’assurance que nous communiquerons avec toutes les entités qui seront assujetties au texte, pour les accompagner de façon proactive et les sensibiliser via l’accompagnement de tous les réseaux qui sont mobilisés par le texte : je pense aux associations d’élus, mais aussi aux fédérations syndicales et professionnelles. Nous sommes à l’œuvre afin que ces entités puissent se saisir pleinement des obligations qui sont les leurs.

Cependant, tout cela ne peut figurer dans la loi. En outre, dans cet amendement, il est fait référence aux TPE ; or, dans la mesure où elles sont composées de moins de 50 équivalents temps plein (ETP), celles-ci ne sont pas assujetties aux dispositions du texte.

M. le président. Je mets aux voix l’amendement n° 54.

(L’amendement n’est pas adopté.)

TITRE II

CYBERSÉCURITÉ

Chapitre I^er

De l’autorité nationale de sécurité des systèmes d’information

Article 5

L’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du code de la défense est chargée de la mise en œuvre de la politique du Gouvernement en matière de sécurité des systèmes d’information régie par le présent titre et de son contrôle.

Le Premier ministre peut désigner un organisme autre que l’autorité nationale de sécurité des systèmes d’information mentionnée au premier alinéa pour exercer à l’égard de certaines entités, à raison de leur activité dans le domaine de la défense, certaines des responsabilités de cette autorité prévues par le présent titre.

Les missions de l’autorité nationale et des organismes désignés par le Premier ministre ainsi que leurs conditions d’exercice sont précisées par décret en Conseil d’État. Ces missions comprennent notamment l’accompagnement et le soutien au développement de la filière cybersécurité en coordination avec les ministères compétents.

M. le président. La parole est à Mme Catherine Morin-Desailly, sur l’article.

Mme Catherine Morin-Desailly. Cela a été dit, nos collectivités territoriales, nos hôpitaux et nos entreprises subissent de plus en plus de cyberattaques qui emportent de nombreuses conséquences : coût des réparations, interruption des services ou de l’activité pouvant avoir des conséquences graves, vol de données. Le travail de transposition des directives européennes réalisé aujourd’hui est donc crucial pour que l’ensemble des États membres de l’Union européenne disposent d’un niveau de protection efficace et harmonisé.

En France, c’est l’Anssi, en première ligne dans l’application de la directive NIS 2, qui devra relever au moins deux grands défis.

Le premier défi est celui de l’appropriation par les entités concernées de leurs nouvelles obligations. L’Agence devra construire un cadre de confiance avec les entreprises et les près de 1 500 collectivités territoriales concernées ; pour ces dernières, la mise en conformité nécessitera d’importants moyens humains et financiers. Le Gouvernement devra donc les accompagner dans le cadre des prochaines lois de finances. Cela doit faire partie de l’effort global de défense dont M. Lecornu n’a pas manqué de parler ces derniers jours. Vous l’avez rappelé, madame la ministre, la menace est grande, la guerre est bien hybride et les menaces cyber, très nombreuses.

Par conséquent, nous attendons aussi du Gouvernement qu’il énonce clairement sa stratégie cyber. Nous la demandons depuis des années. La mission commune d’information créée sur l’initiative du groupe Union Centriste dont j’étais la rapporteure en 2014 plaidait déjà pour une gouvernance stratégique du secteur numérique et une montée en compétences du plus grand nombre.

L’article 5 bis conduisant à l’élaboration d’une stratégie nationale par le Premier ministre, introduit par voie d’amendement par la commission spéciale, est fondamental.

Le second défi à relever concerne la mise en œuvre, enfin, au-delà des plans Draghi, d’une industrie française et européenne compétitive, susceptible de répondre à la demande qui découlera de l’application des directives. Nos entreprises fournissent des solutions fiables et imperméables aux lois extraterritoriales. Elles doivent prioritairement bénéficier de l’effet de ruissellement suscité par la loi. Il y a là un enjeu économique d’emploi, mais aussi de souveraineté.

C’est la raison pour laquelle j’ai absolument tenu à préciser que les missions de l’Anssi comprennent aussi l’accompagnement et le soutien au développement de la filière cybersécurité en coordination avec les ministères concernés.

Je remercie les rapporteurs et les membres de la commission spéciale d’avoir soutenu cet amendement.

M. le président. Je mets aux voix l’article 5.

(L’article 5 est adopté.)

Article 5 bis (nouveau)

Afin de parvenir à un niveau élevé de cybersécurité et de le maintenir, le Premier ministre élabore une stratégie nationale en matière de cybersécurité, qui comprend notamment :

1° Les objectifs et priorités de la Nation en matière de cybersécurité, couvrant en particulier les secteurs mentionnés à l’article 7 ;

2° Une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité ;

3° Un cadre de gouvernance visant une coordination renforcée entre les acteurs et autorités définis au 2° dans le but d’atteindre les objectifs et priorités mentionnés au 1° ;

4° Un inventaire des mesures garantissant le partage d’informations par les acteurs et autorités mentionnés au 2° sur les risques, les menaces et les incidents en matière de cybersécurité ainsi que la préparation, la réaction et la récupération des services après incident ;

5° Un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des entreprises, des administrations publiques et des citoyens à la cybersécurité ;

6° Les indicateurs clés de performance aux fins de l’évaluation de la mise en œuvre de la stratégie nationale en matière de cybersécurité.

La stratégie nationale en matière de cybersécurité est mise à jour au moins tous les trois ans.

À compter de 2026 et tous les deux ans, le Gouvernement remet au Parlement, avant le 30 septembre des années concernées, un rapport sur la mise en œuvre de la stratégie nationale en matière de cybersécurité. Ce rapport précise notamment l’évolution des indices de performance définis par ladite stratégie.

M. le président. L’amendement n° 65, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :

I. – Alinéa 1

Rédiger ainsi cet alinéa :

Afin de parvenir à un niveau élevé de souveraineté numérique et de le maintenir, le Premier ministre élabore une stratégie nationale, notamment en matière de cybersécurité, qui comprend notamment :

II. - Après l’alinéa 6

Insérer quatre alinéas ainsi rédigés :

…° Un plan de financement de la formation et de la recherche en matière de cyber sécurité ;

…° Un plan permettant de financer une véritable doctrine de l’autonomie technologique maximale en matière de renseignement et de cyberdéfense, en faisant du recours à des technologies extra- européennes une exception devant être motivée ;

…° Une évaluation du coût de notre dépendance aux solutions numériques extra-européennes ;

…° Une évaluation fine de l’externalisation des services numériques au sens large et du recours aux prestations intellectuelles informatiques par l’État, les organismes publics et les collectivités territoriales ;

La parole est à M. Fabien Gay.

M. Fabien Gay. Il ne peut y avoir de stratégie nationale en matière de cybersécurité sans souveraineté numérique.

Au vu des bouleversements mondiaux – nul besoin d’en dire plus –, on ne peut pas se résigner ou être réduit à acheter ou louer des solutions extérieures, surtout américaines, notamment pour le cloud. Nous devons passer d’une stratégie numérique de la confiance à une stratégie de la souveraineté, en procédant à une évaluation fine de notre dépendance afin d’y remédier. À l’instar du Conseil d’État, nous appelons à un arrêt de l’externalisation en faveur d’un « capitalisme des plateformes ».

Je profite du temps qui me reste pour interroger Mme la ministre. Ce texte n’est pas que technique : on ne peut pas parler de cybersécurité sans évoquer les entreprises et les salariés qui la font vivre. À cet égard, que compte faire le Gouvernement s’agissant d’Atos ?

Madame la ministre, vous êtes en négociation sur les supercalculateurs jusqu’au 25 mai prochain – nous nous en réjouissons tous. Pour autant, il s’agit d’une grande entreprise, qui compte 10 000 salariés en France, 130 000 dans le monde ; elle est l’un des leaders en infogérance, dans le cloud et en cybersécurité.

Faut-il laisser des acteurs privés dépecer l’entreprise ou intervenir au minimum ? Certains plaident pour la nationalisation complète. Pour notre part, dans le cadre d’une mission d’information sur la situation et l’avenir du groupe Atos conduite par un sénateur du groupe socialiste, un sénateur et une sénatrice du groupe Les Républicains et moi-même, nous avons plaidé pour une entrée au capital à hauteur de 15 % pour sauver l’entreprise.

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur. La stratégie nationale en matière de cybersécurité devra avant tout se concentrer sur les moyens de protéger nos entreprises, nos administrations et nos collectivités territoriales contre les attaques cyber qui peuvent paralyser leurs services et lourdement les pénaliser, tout comme leurs utilisateurs.

Il faut bien sûr encourager parallèlement le développement en France de l’écosystème des entreprises spécialisées en matière de cybersécurité, mais il ne paraît en pratique pas possible de prétendre avoir recours uniquement à des technologies françaises ou européennes.

Pour ce qui relève de la souveraineté numérique, je propose à Fabien Gay de voter en faveur de l’amendement n° 36 que nous examinerons dans quelques instants et qui répond à sa demande.

C’est pourquoi la commission spéciale demande le retrait de l’amendement n° 65 au profit de l’amendement n° 36 ; à défaut, elle émettra un avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Monsieur le sénateur, vous mentionnez l’importance de la stratégie cyber. Je vous rejoins sur ce point. Elle a été présentée pour la première fois en 2015, réactualisée en 2018 et en 2021 ; le Président de la République a annoncé à la fin de l’année dernière qu’elle le serait de nouveau cette année.

L’Anssi et le secrétariat général de la défense et de la sécurité nationale (SGDSN) vous apporteront plus de précisions sur ces stratégies, qui visent à avancer dans trois domaines : une réponse à la menace, une sécurisation de notre nation et une protection de nos entités critiques – nous parlons de ce dernier point aujourd’hui.

Après des discussions avec la commission spéciale, le Gouvernement a fait le choix d’ajouter la mention de la stratégie nationale en matière de cybersécurité dans ce projet de loi, conformément à votre souhait, monsieur le rapporteur, alors que telle n’était pas son intention initiale.

Pour autant, le Gouvernement demande le retrait de l’amendement n° 65 au profit de l’amendement n° 96 qu’il a déposé et qui vise lui aussi à définir cette stratégie. Il nous semble important que cette définition se concentre sur des objets stratégiques – les objectifs, la gouvernance, les indicateurs –, afin de pouvoir en rendre compte devant le Parlement.

L’ajout de plans divers ou autres précisions ne paraît pas relever du niveau stratégique qui est celui que le Gouvernement vise dans l’amendement n° 96. Cette stratégie pourra être déclinée en mesures sectorielles, mais il n’est pas nécessaire que cela figure dans la loi.

M. le président. La parole est à M. Fabien Gay, pour explication de vote.

M. Fabien Gay. Monsieur le rapporteur, nous avons présenté cet amendement sans préciser que tout devait relever de l’échelon français, ni même européen. Nous appelons à dresser la liste des dépendances et à les évaluer afin d’envisager comment les réduire d’ici cinq ou dix ans et de voir s’il existe une solution française, voire européenne. Évidemment, dans un certain nombre de domaines, nous serons obligés de coopérer. Vous avez bien perçu la nuance : nous n’appelons pas à nous priver dès demain de toute solution extérieure au profit de réponses franco-françaises.

Madame la ministre, je vous remercie d’avoir répondu complètement à côté de ma question… Je sais qu’il faut aller vite, qu’il est déjà tard, qu’il ne faut pas retarder les débats, mais le sujet est important et le Sénat n’est pas une assemblée technique : on peut sortir de ses fiches !

Comment avoir un débat sur la cybersécurité sans parler du réel ? Que fait-on de l’entreprise Atos, qui, je le répète, compte 10 000 salariés en France, 130 000 dans le monde ? D’accord, l’État veut sauver les supercalculateurs ; nous nous en réjouissons, nous le redisons.

Atos est un leader dans le domaine de la cybersécurité et de l’infogérance informatique, qui s’est notamment occupé des jeux Olympiques et gère de nombreux ministères. D’ailleurs, certains appels d’offres ne sont pas renouvelés. J’interpelle donc le Gouvernement. Continuons-nous à ne pas renouveler les appels d’offres qu’a remportés Atos et à les attribuer à d’autres ? C’est tout de même une question dont on devrait débattre ici !

La cybersécurité ne se réduit pas à des aspects techniques : il faut entrer dans le réel, y compris celui des 10 000 salariés qui font cette entreprise.

Après, ce n’est pas grave : je ne voulais secouer personne, surtout pas Mme la ministre qui n’était pas prête à répondre à cette question…

M. le président. La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée. Monsieur le sénateur, vos propos me surprennent. L’amendement que vous avez déposé concerne la stratégie nationale en matière de cybersécurité.

La question que vous posez à propos d’Atos a été jugée irrecevable dans le cadre de ce débat.

M. Fabien Gay. Donc on n’en reparle pas ? Excusez-moi !

Mme Clara Chappaz, ministre déléguée. Vous avez présenté un amendement sur la stratégie, je vous réponds donc sur la stratégie.

La question d’Atos est importante, mais elle n’est pas l’objet de nos discussions et ne relève pas de ce texte. C’est pourquoi je vous invite à la poser à d’autres occasions, qui sont nombreuses, par exemple dans le cadre d’une séance de questions d’actualité au Gouvernement.

M. le président. La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Mme Catherine Morin-Desailly. Je vais suivre l’avis du rapporteur, car il s’agit ici de transposer trois directives portant sur les questions de cybersécurité, de cyberdéfense et de cyberrésilience. Cela étant, pour avoir travaillé pendant de nombreuses années sur ces sujets, je comprends parfaitement les questions qui ont été posées par mon collègue.

J’ai l’impression de radoter en le répétant, mais depuis 2013, la commission des affaires européennes du Sénat a mis ce sujet sur la table et a dénoncé, gouvernement après gouvernement, l’absence totale de stratégie globale et offensive en faveur de la souveraineté numérique. Aujourd’hui, on pleure parce qu’on se rend compte, dans le nouveau contexte international, que nos dépendances technologiques sont très dangereuses. Elles nous menacent désormais directement, et nos infrastructures sont particulièrement vulnérables.

Si nous ne nous réarmons pas, tant sur le plan militaire que sur le plan cyber, nous serons mal, c’est vrai. Sébastien Lecornu l’a d’ailleurs rappelé ce week-end : nous pouvons avoir l’arme de dissuasion nucléaire, mais si nous ne sommes pas du tout équipés en matière de cybersécurité, nous avons déjà perdu la guerre.

Je comprends donc l’agacement de certains collègues, madame la ministre déléguée, car nous avons alerté à maintes reprises sur ces enjeux, à travers des résolutions européennes. Bien sûr, la France n’est pas seule responsable, puisque ce secteur est régulé par l’Union européenne. Mais, pour reprendre l’expression de la journaliste Maria Ressa, nous avons remporté ce qu’elle a appelé « la course des tortues ». Nous avons fini par réglementer, en adoptant le règlement européen sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA), afin de créer des conditions plus équitables d’émergence de nos propres entreprises.

Toutefois, le chemin reste long, et nous avons encore énormément de travail pour enfin mettre en place une politique industrielle ambitieuse, laquelle nous fait cruellement défaut et devrait être notre priorité absolue, aux côtés des réglementations.

Pour autant, je respecte la logique du texte et les priorités qu’il fixe. Gardons néanmoins en tête l’ampleur de la tâche qui nous attend. (M. Mickaël Vallet applaudit.)

M. le président. Je mets aux voix l’amendement n° 65.

(L’amendement n’est pas adopté.)

M. le président. Madame la ministre, mes chers collègues, il est minuit. Je vous propose de prolonger notre séance jusqu’à minuit et demi.

Il n’y a pas d’observation ?…

Il en est ainsi décidé.

Je suis saisi de deux amendements faisant l’objet d’une discussion commune.

L’amendement n° 96, présenté par le Gouvernement, est ainsi libellé :

I. – Alinéa 2

Supprimer les mots :

, couvrant en particulier les secteurs mentionnés à l’article 7

II. – Alinéas 3, 5 et 6

Supprimer ces alinéas

III. -Alinéa 4

Remplacer les mots :

définis au 2°

par les mots :

concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité

La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée. J’ai déjà évoqué cet amendement, qui vise à compléter les ajouts pertinents de la commission spéciale en intégrant explicitement la notion de stratégie dans le texte, conformément à ce qui était prévu par la directive. Il tend aussi à préciser ce que doit contenir cette stratégie : ses objectifs, son cadre de gouvernance et les indicateurs de performance sur lesquels nous pourrons nous appuyer pour l’évaluer.

J’en profite pour rebondir sur votre propos, madame la sénatrice. Depuis de nombreuses années, le Gouvernement défend, notamment à l’échelon européen, l’ambition de construire notre souveraineté technologique et numérique, tout en renforçant notre résilience. C’est absolument essentiel.

Les discours que nous entendons aujourd’hui à l’échelle européenne montrent que cette politique industrielle et cette vision commencent à porter leurs fruits. Elles intègrent désormais pleinement des exigences en matière de cybersécurité. L’appui à notre écosystème numérique, comme je l’ai souligné dans mon propos liminaire, est une véritable priorité.

M. le président. L’amendement n° 39, présenté par M. M. Vallet, Mmes Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, M. Ros et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Alinéa 6

Après le mot :

publiques

Insérer les mots :

, des communes

La parole est à M. Mickaël Vallet.

M. Mickaël Vallet. Cet amendement porte sur la diffusion et l’intégration de la culture du risque jusqu’à l’échelon communal. J’avais proposé à la commission spéciale un amendement visant à inclure la question du risque cyber dans les plans communaux de sauvegarde, mais celui-ci a été déclaré irrecevable en application de l’article 40 de la Constitution.

Cette fois, l’amendement soutenu par le groupe Socialiste, Écologiste et Républicain tend à prévoir que la stratégie nationale en matière de cybersécurité mentionne explicitement les communes, afin que l’échelon communal soit pleinement pris en compte, accompagné et intégré dans le dispositif.

Nous savons tous à quel point la question du risque cyber concerne les communes, comme en attestent les incidents qui ont touché nos départements ces dernières années.

M. le président. Quel est l’avis de la commission spéciale sur ces deux amendements ?

M. Patrick Chaize, rapporteur. La commission spéciale a émis un avis défavorable sur l’amendement n° 96. Le Gouvernement propose en effet de revenir sur le texte qu’elle avait adopté en supprimant plusieurs alinéas de l’article 5 bis. Or ces dispositions sont essentielles, notamment celles qui précisent que la stratégie nationale en matière de cybersécurité comprend un cadre de gouvernance, un plan de sensibilisation à destination des entreprises, des administrations publiques et des citoyens, ainsi que des indicateurs clés de performance permettant d’évaluer la mise en œuvre de cette stratégie.

L’amendement n° 39 semble satisfait par l’alinéa 6 de l’article 5 bis, qui mentionne explicitement les administrations publiques, qui incluent les collectivités territoriales et leurs groupements. En conséquence, la commission spéciale en demande le retrait ; à défaut, elle émettra un avis défavorable sur son adoption.

M. le président. Quel est l’avis du Gouvernement sur l’amendement n° 39 ?

Mme Clara Chappaz, ministre déléguée. Le Gouvernement demande son retrait au profit de l’amendement n° 96.

M. le président. La parole est à Mme Audrey Linkenheld, pour explication de vote.

Mme Audrey Linkenheld. Je souhaite expliquer mon vote sur l’amendement du Gouvernement pour témoigner de la surprise qui est la mienne et rejoindre l’avis du rapporteur.

Nous avons collectivement admis qu’il était nécessaire d’inscrire dans ce projet de loi la notion de stratégie nationale en matière de cybersécurité. Je trouve extrêmement surprenant, madame la ministre, que vous nous expliquiez qu’une telle stratégie ne concernerait pas ce qui fait Nation, en particulier les collectivités locales.

Vous avez eu l’occasion de vous rendre dans ma commune. Je vous ai relaté l’incident que j’ai également évoqué à la tribune : la cyberattaque dont a été victime la ville de Lille. Vous avez aussi visité notre campus cyber, le premier en région, et constaté les besoins d’accompagnement et de sensibilisation, notamment pour les collectivités locales. Vous les avez vus et vous avez souscrit à leurs demandes. Alors, comment allons-nous expliquer demain à ces collectivités territoriales qu’elles ne relèveraient pas de la stratégie nationale en matière de cybersécurité ? Même question pour les entreprises, d’ailleurs…

La commune que j’évoquais, victime d’une cyberattaque, est aujourd’hui soumise à un contrôle de la chambre régionale des comptes. Je ne m’étendrai pas davantage sur ce point, n’ayant pas compétence pour en parler ici. Mais savez-vous ce que la chambre régionale des comptes demande à cette collectivité territoriale ? Une stratégie en matière de cybersécurité ! Et demain, nous devrions affirmer que les stratégies locales en matière de cybersécurité n’ont aucun lien avec la stratégie nationale ? Que tout ce que nous avons dit sur la nécessité d’un accompagnement technique et financier, à la fois public et privé, au niveau local, n’aurait rien à voir avec cette stratégie nationale ?

Cela me semble absolument incompréhensible pour l’ensemble des entités concernées par ce projet de loi, alors même que nous partageons tous l’objectif de cyberrésilience et de cyberprotection. C’est la raison pour laquelle je ne comprends pas cet amendement. Notre groupe ne le votera pas.

M. le président. La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée. Madame la sénatrice, je tiens à clarifier mon propos : nous sommes absolument d’accord sur l’objectif de cette stratégie. Comme j’ai eu l’occasion de le dire dans mon propos liminaire, il est essentiel d’assurer la protection de toutes nos entités et de les accompagner face aux cybermenaces.

La différence entre nous porte simplement sur la rédaction de cet article. Pour notre part, nous proposons un cadre général, qui englobe bien entendu les entreprises et les collectivités territoriales, mais aussi l’ensemble des acteurs concernés, allant ainsi au-delà de la précision que vous souhaitez apporter. Toutefois, l’objectif reste le même, et j’y suis particulièrement attentive.

Vous l’avez souligné, j’ai rencontré de nombreuses personnes ayant subi des cyberattaques, et je suis pleinement consciente du rôle central des collectivités territoriales dans ce domaine. C’est d’ailleurs pourquoi le Gouvernement a fait le choix de les inclure parmi les entités soumises à la directive NIS 2. Nous avons pleinement conscience de cet enjeu, et il constitue un élément fondamental de notre stratégie nationale en matière de cybersécurité.

M. le président. Je mets aux voix l’amendement n° 96.

(L’amendement n’est pas adopté.)

M. le président. Je mets aux voix l’amendement n° 39.

(L’amendement n’est pas adopté.)

M. le président. L’amendement n° 43, présenté par Mmes Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Après l’alinéa 3

Insérer un alinéa ainsi rédigé :

…°Le cadre d’intervention et le rôle des Csirt (Computer Security Incident Response Team) territoriaux dans la politique de cybersécurité, leur financement et leur déploiement sur le territoire en hexagone comme en outre-mer ;

La parole est à Mme Audrey Linkenheld.

Mme Audrey Linkenheld. À travers cette série d’amendements, nous cherchons à décliner concrètement ce que pourrait être un véritable plan d’accompagnement local, tel que nous l’avions présenté en commission spéciale et tel que nos collègues écologistes l’ont également repris précédemment dans leur amendement général.

Cet amendement n° 43 porte plus spécifiquement sur les Csirt, les centres de réponse aux incidents cyber (Computer Security Incident Response Teams). En commission, comme sur le terrain, nous avons souligné à plusieurs reprises la nécessité de clarifier leur rôle ainsi que leur financement, qui arrive à échéance avec la fin des fonds européens. Or, jusqu’à présent, nous n’avons eu ni débat ni clarification sur l’avenir de ces structures.

Par cet amendement, nous souhaitons donc ouvrir cette discussion et connaître la position du Gouvernement sur la pérennité des Csirt, qui sont absolument indispensables pour assurer une réponse opérationnelle sur le terrain, pour accompagner les entreprises ou les collectivités territoriales confrontées à des menaces, voire à des attaques.

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur. Les Csirt territoriaux relaient dans les territoires l’action de l’Anssi, ce qui est essentiel. Leur importance est consacrée par l’article 24 du projet de loi, qui prévoit leur agrément afin de leur donner plus de poids et d’importance dans la politique de cybersécurité du pays.

Il est dès lors très opportun que la stratégie nationale en matière de cybersécurité précise leur cadre d’intervention et leur déploiement dans tous les territoires, ce qui n’est pas le cas aujourd’hui.

Pour autant, l’ajout de cet alinéa ne me paraît pas indispensable. Cet amendement semble en effet satisfait par les alinéas 2 et 3 de l’article 5 bis. La commission spéciale demande donc le retrait de cet amendement ; à défaut, elle émettra un avis défavorable.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Mon avis est le même sur cet amendement que sur le précédent.

Il convient de distinguer ce qui relève de la stratégie de ce qui doit être inscrit dans la loi. Les objectifs figurant dans la stratégie ne sont pas nécessairement identiques aux dispositions que nous avons choisi d’inscrire dans la loi, justement pour préserver un cadre général.

Cela étant, les Csirt font bien sûr partie intégrante de cette stratégie, et je tiens à réaffirmer ici tout mon attachement à ces centres – j’en ai visité dans plusieurs territoires –, qui constituent un accompagnement de proximité. Toutefois, il nous semble que, tel qu’il est rédigé, l’article 5 bis les intègre déjà.

Le Gouvernement demande donc le retrait de cet amendement.

M. le président. Je mets aux voix l’amendement n° 43.

(L’amendement n’est pas adopté.)

M. le président. L’amendement n° 36, présenté par Mmes Blatrix Contat et Linkenheld, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet, Montaugé et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Après l’alinéa 5

Insérer un alinéa ainsi rédigé :

…° Les orientations permettant une approche intégrée des enjeux de cybersécurité et de souveraineté numérique ;

La parole est à Mme Florence Blatrix Contat.

Mme Florence Blatrix Contat. L’autonomie stratégique de la France et de l’Union européenne impose une protection renforcée face aux menaces posées par les législations extraterritoriales, en particulier celles des États non membres de l’Union européenne.

Il est impératif de poursuivre les investissements dans des infrastructures, des solutions et des logiciels de cloud localisés en Europe, financés par des capitaux européens et nationaux. Notre collègue Catherine Morin-Desailly a parfaitement souligné nos faiblesses et nos lenteurs en la matière. L’enjeu est donc bien de soutenir les acteurs européens et de défendre nos intérêts numériques et géostratégiques.

Cet amendement du groupe Socialiste, Écologiste et Républicain vise à inscrire dans la stratégie nationale de cybersécurité des orientations claires en matière de souveraineté numérique. Il s’agit de favoriser le recours à des infrastructures et des solutions françaises ou européennes souveraines.

L’ambition affichée par l’Union européenne de supprimer toute dépendance aux systèmes non européens d’ici à 2030 doit être réaffirmée, dans un contexte où l’alignement des priorités stratégiques des pays européens reste fragile.

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur. La commission spéciale a émis un avis favorable sur cet amendement.

Dans un contexte géopolitique particulièrement difficile, la souveraineté numérique française et européenne constitue une priorité, ce qui justifie que cette question soit traitée dans la stratégie nationale en matière de cybersécurité. Je suis donc favorable à l’ajout de cet alinéa, car, tel qu’il est actuellement rédigé, l’article 5 bis ne couvre pas cette question.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Ces orientations figurent déjà à l’article 1^er parmi les objectifs de la Nation. Il ne nous semble donc pas nécessaire de les inclure dans l’article 5bis, le Gouvernement souhaitant une rédaction ayant une portée générale. Nous sommes néanmoins très attachés à ces orientations.

Sur cet amendement, le Gouvernement s’en remet donc à la sagesse du Sénat.

M. le président. La parole est à Mme Catherine Morin-Desailly, pour explication de vote.

Mme Catherine Morin-Desailly. Je voterai cet amendement. Florence Blatrix Contat et moi avons mené de nombreux travaux sur ce sujet pour la commission des affaires européennes. Il est important d’énoncer les conditions de la reconquête d’une souveraineté que nous avons laissée s’effilocher au fil du temps. Nous avons plus que jamais besoin d’autonomie stratégique et d’une politique dédiée.

M. le président. Je mets aux voix l’amendement n° 36.

(L’amendement est adopté.)

M. le président. L’amendement n° 42, présenté par Mmes Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Après l’alinéa 6

Insérer un alinéa ainsi rédigé :

…°Les modalités de soutien aux collectivités territoriales et à leurs groupements ;

La parole est à Mme Audrey Linkenheld.

Mme Audrey Linkenheld. Cet amendement vise à préciser la stratégie nationale en matière de cybersécurité et à définir les éléments qui, selon nous, doivent y être ajoutés afin de répondre aux préoccupations des entités concernées par ce projet de loi, en particulier les collectivités territoriales.

Il tend donc à indiquer que la stratégie comprend également les modalités de soutien aux collectivités territoriales et à leurs groupements. Je parle ici non pas du principe même de ce soutien, mais de la manière dont il sera mis en place, qui reste à définir concrètement.

Si nous avons déposé cet amendement et les deux suivants, c’est parce que nous avons estimé qu’ils n’étaient pas satisfaits, monsieur le rapporteur, par l’amendement que vous avez vous-même déposé sur la stratégie nationale en matière de cybersécurité. Après la commission spéciale, nous avons fait l’effort de retravailler ces propositions et avons échangé avec vos collègues en votre absence. Si nous avions estimé que nos préoccupations étaient pleinement prises en compte, nous n’aurions pas déposé ces amendements.

Madame la ministre, lorsque nous posons des questions précises, c’est pour obtenir des réponses précises. Sur les Csirt, la question n’était pas de savoir si le Gouvernement les soutient ou non – j’espère bien qu’il y est attaché, tout comme nous le sommes –, la question posée était claire : comment seront-ils financés lorsque les fonds européens ne seront plus disponibles et alors que les régions rencontrent des difficultés financières ?

Je ne reviendrai pas sur le cas d’Atos, mais alors que nous faisons notre travail, que nous avançons des propositions, nous attendons en retour des réponses concrètes. Nous n’avons pas besoin d’être tous d’accord sur ces réponses, mais essayez au moins de nous en donner !

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur. Les modalités de soutien aux collectivités territoriales et à leurs groupements devront, bien sûr, être prévues par la stratégie nationale en matière de cybersécurité. Il ne me paraît cependant pas nécessaire d’ajouter cet alinéa à l’article 5 bis, son objet étant déjà couvert par les alinéas 2 et 5. Néanmoins, la commission spéciale s’en remet à la sagesse du Sénat sur cet amendement.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Même avis.

Je profite de mon intervention pour revenir sur la question du financement, qui mérite d’être discutée. Je connais les difficultés que rencontrent certains Csirt, mais ces dispositifs en sont pour la plupart à leur première année d’existence. Certains ont déjà trouvé leur modèle économique et fonctionnent de façon stable et fluide. Il convient d’être attentifs à la situation dans toutes les régions. Je renvoie ce sujet aux discussions budgétaires.

De plus, nous aurons plusieurs débats sur le contexte géopolitique international : la cybersécurité sera abordée dans ce cadre. Je n’ai pas de réponse plus précise à vous apporter sur ce dispositif particulier, mais sachez que nous avons bien en tête la nécessité de continuer à renforcer la cybersécurité.

M. le président. Je mets aux voix l’amendement n° 42.

(L’amendement est adopté.)

M. le président. L’amendement n° 34, présenté par Mmes Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Après l’alinéa 6

Insérer un alinéa ainsi rédigé :

…°L’identification et le renforcement des compétences et formations nécessaires sur l’ensemble du territoire ;

La parole est à Mme Audrey Linkenheld.

Mme Audrey Linkenheld. Cet amendement porte sur la question, essentielle, de l’identification et du renforcement des compétences et des formations nécessaires pour assurer la cyberrésilience et la cyberprotection. Cette problématique a été largement évoquée dans la discussion générale. Bien sûr, le coût est un facteur majeur, mais la question des moyens humains est tout aussi cruciale, d’autant que toutes les collectivités territoriales ne disposent pas forcément des ressources suffisantes.

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur. Le renforcement des compétences et des formations nécessaires en matière de cybersécurité sur l’ensemble des territoires est bien sûr une priorité et devra être traité comme tel par la stratégie nationale en matière de cybersécurité. Cet amendement semble donc en grande partie satisfait. Pour autant, la commission spéciale s’en remettra à la sagesse du Sénat sur cet amendement.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Même avis.

M. le président. Je mets aux voix l’amendement n° 34.

(L’amendement est adopté.)

M. le président. L’amendement n° 38, présenté par Mmes Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Après l’alinéa 7

Insérer un alinéa ainsi rédigé :

Dans chaque département, un sous-préfet est identifié en qualité de référent en matière de cybersécurité et résilience pour coordonner l’accompagnement des collectivités territoriales dans la mise en œuvre de leurs obligations en matière de cybersécurité et dans l’aide au maintien des services publics essentiels en cas de perturbation des services numériques.

La parole est à Mme Audrey Linkenheld.

Mme Audrey Linkenheld. Comme les précédents, cet amendement vise à préciser l’accompagnement apporté, dans les territoires, tant aux collectivités territoriales qu’aux entreprises concernées par ce projet de loi.

Cet amendement vise à ce que soit identifié, dans chaque territoire, un sous-préfet qui pourrait assurer la coordination des questions de cybersécurité. Ce sous-préfet aurait un rôle en amont, pour aider les entités à mieux se protéger, mais aussi en aval, si l’une d’entre elles était malheureusement victime d’une attaque.

De nombreux exemples d’attaques ont été cités au cours de nos débats, et nous savons à quel point un accompagnement, par une personne bien identifiée, est nécessaire. Il s’agit non pas de créer un poste supplémentaire, mais bien de désigner, parmi les sous-préfets déjà en poste, celui ou celle qui pourrait assumer cette mission cyber, en complément de ses autres responsabilités, qu’elles soient thématiques ou territoriales, selon les départements.

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur. L’idée d’identifier un sous-préfet par département comme référent en matière de cybersécurité me paraît intéressante, mais il nous semble que c’est plutôt aux équipes d’intervention d’urgence en informatique, les Cert (Computer Emergency Response Teams) ou aux Csirt régionaux de jouer le rôle d’animation de la cybersécurité à l’échelon local, sous l’égide de l’Anssi.

Sur cet amendement, la commission spéciale souhaite connaître l’avis du Gouvernement.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Je comprends l’intention des auteurs de cet amendement ; toutefois, la création d’une mission pour les sous-préfets relève du domaine réglementaire.

Une réflexion est en cours sur le renforcement du rôle des préfets et des sous-préfets dans la coordination de l’action publique à l’échelon local. Mieux vaut ne pas percuter ces travaux et en préserver la logique d’ensemble. L’appui des préfectures dans l’accompagnement des collectivités territoriales est absolument fondamental, comme je l’ai encore vu récemment dans votre département, monsieur Saury, mais le Gouvernement émet un avis défavorable sur cet amendement.

M. le président. Quel est à présent l’avis de la commission spéciale sur l’amendement n° 38 ?

M. Patrick Chaize, rapporteur. Défavorable.

M. le président. Je le mets aux voix.

(L’amendement n’est pas adopté.)

M. le président. Je mets aux voix l’article 5 bis, modifié.

(L’article 5 bis est adopté.)

Après l’article 5 bis

M. le président. L’amendement n° 35, présenté par M. Cardon, Mmes Linkenheld, Blatrix Contat, Conway-Mouret et Narassiguin, MM. Vallet, Ros et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Après l’article 5 bis

Insérer un article additionnel ainsi rédigé :

I. – Après l’article 244 quater Y du code général des impôts, il est inséré un article 244 … ainsi rédigé :

« Art. 244 … – Jusqu’au 31 décembre 2027, les dépenses exposées par les entreprises qui satisfont à la définition des microentreprises et petites entreprises donnée à l’annexe I au règlement (UE) n° 651/2014 de la Commission du 17 juin 2014 déclarant certaines catégories d’aides compatibles avec le marché intérieur en application des articles 107 et 108 du traité peuvent bénéficier d’un crédit d’impôt égal à 30 % de la somme :

« – des dépenses d’audit de cybersécurité ;

« – des dépenses d’acquisition, de souscription ou de maintenance d’un produit ou service de cybersécurité ;

« – des dépenses de formation en cybersécurité engagées par l’entreprise ;

« Les subventions publiques reçues par les entreprises à raison des dépenses ouvrant droit au crédit d’impôt sont déduites des bases de calcul de ce crédit.

« Le crédit d’impôt est plafonné à 15 000 €.

« Le crédit d’impôt est imputé sur le résultat imposable à l’impôt sur le revenu ou à l’impôt sur les sociétés de l’entreprise. »

II. – Le I s’applique aux dépenses exposées à compter du lendemain de la promulgation de la présente loi.

III. – Le I ne s’applique qu’aux sommes venant en déduction de l’impôt dû.

IV. – La perte de recettes résultant pour l’État du paragraphe précédent est compensée, à due concurrence, par la création d’une taxe additionnelle à l’accise sur les tabacs prévue au chapitre IV du titre I^er du livre III du code des impositions sur les biens et services.

V. – Un décret en Conseil d’État détermine les critères nécessaires à l’obtention de ce crédit d’impôt.

La parole est à M. Rémi Cardon.

M. Rémi Cardon. Poser une règle est une chose – c’est toujours facile – ; se donner les moyens de la faire respecter en est une autre.

Voilà quelques années, au sein de la délégation aux entreprises – je salue d’ailleurs son président, Olivier Rietmann, ici présent –, nous avons adopté à l’unanimité un rapport sur les TPE-PME, grandes oubliées de la cybersécurité. Nous avions notamment recherché des pistes pour leur donner les moyens de se moderniser et de se protéger.

En effet, les opérateurs d’importance vitale, qui sont protégés par l’Anssi, disposent déjà d’un certain nombre de services et d’outils. En général, quand on ne peut pas passer par la porte, on passe par la fenêtre. En l’occurrence, la « fenêtre », ce sont souvent les TPE-PME qui travaillent avec ces grands groupes !

C’est la raison pour laquelle cet amendement vise à instituer un crédit d’impôt en faveur des microentreprises et des petites entreprises. Dans un contexte marqué par la nécessité de faire des économies, j’ai accepté d’abaisser son plafond de 30 000 euros à 15 000 euros. L’idée est d’impulser une dynamique : n’attendons pas NIS 3, NIS 4 ou NIS 5 pour le faire !

M. le président. Quel est l’avis de la commission spéciale ?

M. Patrick Chaize, rapporteur. Dans le cadre de nos travaux, nous avions effectivement envisagé un crédit d’impôt en faveur des PME, conscients des efforts importants qui leur seront réclamés en matière de cybersécurité. Mais, après réflexion, une telle mesure nous est apparue déraisonnable dans le contexte très dégradé de nos finances publiques.

J’attire en outre l’attention de nos collègues sur le fait que le crédit d’impôt proposé par les auteurs de cet amendement créera inévitablement des effets d’aubaine. En effet, des entreprises auxquelles le présent projet de loi n’impose pas de nouvelles obligations dès lors qu’elles se situent sous les seuils prévus par NIS 2 bénéficieront du dispositif.

Au cours de nos échanges, le Gouvernement a indiqué travailler sur une forme de labellisation NIS 2 permettant aux entreprises de valoriser leurs efforts en matière de cybersécurité auprès des banques, des assurances et de leurs clients.

Dans un contexte où l’argent public devient très rare, une telle piste nous semble devoir être explorée en priorité. Je suppose que Mme la ministre déléguée nous apportera des précisions à cet égard.

En attendant, la commission spéciale émet un avis défavorable sur cet amendement.

M. le président. Quel est l’avis du Gouvernement ?

Mme Clara Chappaz, ministre déléguée. Monsieur le sénateur, je partage totalement la volonté qui est la vôtre d’accompagner les entreprises de taille modeste dans leur mise en conformité numérique. Je salue d’ailleurs les travaux que vous avez menés sur le sujet.

Ainsi que j’ai eu l’occasion de le souligner lors de la discussion générale, six attaques sur dix concernent de petites structures. C’est d’ailleurs bien pour cela que nous discutons de NIS 2 aujourd’hui.

Pour autant, le crédit d’impôt nous semble un outil inadapté. Vous connaissez, je pense, le contexte budgétaire ; nous passons beaucoup de temps à rechercher des solutions pour nos finances publiques. Il ne paraît vraiment pas opportun d’introduire une telle mesure aujourd’hui.

Par ailleurs, le crédit d’impôt envisagé par les auteurs de l’amendement pose des difficultés de fond. M. le rapporteur en a mentionné quelques-unes.

D’abord, une dépense fiscale est, par définition, très difficilement pilotable.

Ensuite, comme cela a été souligné, un tel crédit créerait des effets d’aubaine, ce qui est contraire à l’objectif de bonne gestion des finances publiques du Gouvernement.

Par ailleurs, l’amendement vise les TPE, qui ne sont pas concernées par la directive NIS 2, celle-ci s’appliquant seulement aux entreprises d’au moins cinquante équivalents temps plein (ETP). La différence de traitement ainsi créée serait peu justifiable au regard de l’objet du texte.

Enfin, le dispositif envisagé rend éligibles des dépenses ne couvrant qu’une partie de l’exercice de mise en conformité, ce qui créera nécessairement des distorsions préjudiciables à l’atteinte des objectifs.

Je n’en disconviens pas – je l’ai d’ailleurs rappelé dans la discussion générale –, la mise en conformité numérique représente un coût pour les entités concernées. Mais ces dernières doivent inscrire les dépenses en question dans le cadre d’une politique de bonne gestion. D’ailleurs, cette démarche est avant tout dans leur intérêt : encore une fois, le coût d’une cyberattaque est près de dix fois supérieur à celui de la mise en conformité.

C’est pourquoi nous avons réfléchi à une autre solution, à savoir un label qui permettra de valoriser les entités assujetties au texte. J’aurai l’occasion d’en dire un peu plus demain.

Le Gouvernement sollicite le retrait de cet amendement ; à défaut, il émettra un avis défavorable.

M. le président. La parole est à M. Fabien Gay, pour explication de vote.

M. Fabien Gay. Madame la ministre, je vous ai écoutée avec attention.

Le contexte budgétaire, dites-vous, est difficile. Visiblement, il ne l’est pas pour tout le monde ! Le Président de la République vient en effet de nous expliquer que nous allions nous surarmer et, pour cela, adhérer à un plan européen visant à lever jusqu’à 800 milliards d’euros. Comment allons-nous financer tout cela ?

Nous avions bien compris qu’il n’était pas possible de sortir les dépenses sociales ou environnementales des critères de Maastricht ; en revanche, pour les dépenses d’armement, là, cela ne pose aucun problème ! Nous aurons à en débattre.

En vous écoutant, madame la ministre, je buvais du petit lait. Je suis le rapporteur de la commission d’enquête, présidée par Olivier Rietmann, sur l’utilisation des aides publiques aux grandes entreprises et à leurs sous-traitants. Il existe quelque 2 200 dispositifs, dont le tiers environ sont des crédits d’impôt. Or je viens d’entendre parler d’« effets d’aubaine » et de dispositifs « mal ciblés » ou « difficilement pilotables ». Mais c’est formidable !

Avec M. Rietmann, nous avons prévu d’auditionner quelque vingt-cinq PDG. Lorsque nous recevrons celui de Sanofi, nous pourrons vous citer et lui expliquer que le crédit d’impôt dont son groupe bénéficie est « mal ciblé », qu’il crée des « effets d’aubaine » et qu’il faut peut-être y mettre un terme ! (Sourires sur les travées des groupes CRCE-K et SER.)

Je vous remercie vraiment de cette belle annonce ; n’hésitez pas à en faire part à M. Lombard, qui sera certainement ravi ! (M. Rémi Cardon rit.)

Pour le reste, je ne suis pas un fanatique des crédits d’impôt en général. Mais, en l’occurrence, celui-ci serait plafonné à 15 000 euros et s’appliquerait aux sous-traitants. Or vous venez de nous indiquer que six cyberattaques sur dix concernaient les petites entreprises.

Après avoir fait adopter un amendement visant à exclure les sous-traitants du dispositif prévu à l’article 1^er, arguant qu’il serait trop difficile de les y maintenir, vous refusez maintenant d’armer les petites entreprises, qui sont pourtant les plus ciblées ; c’est par elles que passent les cyberattaques qui frappent ensuite les grands groupes !

Il va falloir nous expliquer quelle est votre stratégie globale, madame la ministre. Votre objectif est-il de protéger l’ensemble de nos entreprises ? Si oui, il faut commencer par aider celles qui sont le plus attaquées et qui ont le moins de moyens pour se défendre. Vous ne voulez pas d’un crédit d’impôt ? Dont acte. Mais que proposez-vous à la place ? Vous ne pouvez pas exclure les petites entreprises du dispositif prévu à l’article 1^er et refuser de les armer financièrement à l’article 5 !

M. le président. Je mets aux voix l’amendement n° 35.

(L’amendement n’est pas adopté.)

Chapitre II

De la cyber résilience

Section 1

Définitions

Article 6

Au sens du présent titre, on entend par :

1° Bureau d’enregistrement : une entité fournissant des services d’enregistrement de noms de domaine ;

2° Office d’enregistrement : une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration de ce domaine, y compris de l’enregistrement des noms de domaine en relevant et de son fonctionnement technique, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution de ses fichiers de zone sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage ;

2° bis (nouveau) Incident : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles ;

3° Prestataire de services de confiance : un prestataire de services de confiance au sens du paragraphe 19 de l’article 3 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;

4° Prestataire de service de confiance qualifié : un prestataire de services de confiance au sens du paragraphe 20 de l’article 3 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 précité ;

5° Représentant : une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services de système de nom de domaine, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un centre de veille, d’alerte et de réponse aux attaques informatiques (CERT) à la place de l’entité elle-même concernant les obligations incombant à ladite entité en application de la présente loi ;

6° Service de centre de données : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental ;

7° Système d’information : l’ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique des données ;

8° (nouveau) Vulnérabilité : une faiblesse, susceptibilité ou faille de produits ou services des technologies de l’information et de la communication, ou d’origine humaine, qui peut être exploitée par une cybermenace.

M. le président. L’amendement n° 97, présenté par le Gouvernement, est ainsi libellé :

Alinéa 10

Remplacer les mots :

d’origine humaine

par les mots :

d’un utilisateur de ces derniers

La parole est à Mme la ministre déléguée.

Mme Clara Chappaz, ministre déléguée. Cet amendement vise à préciser qu’une vulnérabilité peut avoir pour origine un facteur humain.

M. le président. Quel est l’avis de la commission spéciale ?

M. Hugues Saury, rapporteur. Cet amendement de précision nous semble à la fois cohérent et utile. Avis favorable.

M. le président. Je mets aux voix l’amendement n° 97.

(L’amendement est adopté.)

M. le président. Je mets aux voix l’article 6, modifié.

(L’article 6 est adopté.)

Section 2

Des exigences de sécurité des systèmes d’information

Article 7

I. – Sont considérés au titre de la présente section comme des secteurs hautement critiques pour le fonctionnement de l’économie et de la société les secteurs :

1° De l’énergie ;

2° Des transports ;

3° Des banques ;

4° Des infrastructures des marchés financiers ;

5° De la santé ;

6° De l’eau potable ;

7° Des eaux usées ;

8° De l’infrastructure numérique ;

9° De la gestion des services des technologies de l’information et de la communication ;

10° De l’espace.

II. – Sont considérés au titre de la présente section comme des secteurs critiques pour le fonctionnement de l’économie et de la société les secteurs :

1° Des services postaux et d’expédition ;

2° De la gestion des déchets ;

3° De la fabrication, de la production et de la distribution de produits chimiques ;

4° De la production, de la transformation et de la distribution des denrées alimentaires ;

5° De la fabrication de certains biens, équipements et produits ;

6° Des fournisseurs de certains services numériques ;

7° De la recherche.

III. – Un décret en Conseil d’État précise les modalités d’application du présent article. Il détermine les sous-secteurs et les types d’entités relevant des secteurs mentionnés aux I et II – (Adopté.)

M. le président. Mes chers collègues, nous avons examiné vingt amendements au cours de la soirée ; il en reste quatre-vingt-quatre à examiner sur ce texte.

La suite de la discussion est renvoyée à la prochaine séance.

M. le président. Voici quel sera l’ordre du jour de la prochaine séance publique, précédemment fixée à aujourd’hui, mercredi 12 mars 2025 :

À quinze heures :

Questions d’actualité du Gouvernement.

À seize heures trente et le soir :

Trois conventions internationales examinées selon la procédure d’examen simplifié :

Projet de loi autorisant l’approbation de la résolution n° 259 portant modification de l’article 1^er de l’accord portant création de la Banque européenne pour la reconstruction et le développement afin de permettre l’élargissement limité et progressif du champ d’action géographique de la Banque à l’Afrique subsaharienne et à l’Irak (procédure accélérée ; texte de la commission n° 406, 2024-2025) ;

Projet de loi autorisant l’approbation de l’accord entre le Gouvernement de la République française et l’Observatoire du réseau d’antennes d’un kilomètre carré (SKAO) relatif à l’adhésion de la France à l’Observatoire (procédure accélérée ; texte de la commission n° 408, 2024-2025) ;

Projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, autorisant la ratification du traité sur la coopération dans le domaine de la défense entre la République française et le Royaume d’Espagne (texte de la commission n° 404, 2024-2025) ;

Explications de vote, puis vote sur la proposition de loi, adoptée par l’Assemblée nationale après engagement de la procédure accélérée, visant à proroger le dispositif d’expérimentation favorisant l’égalité des chances pour l’accès à certaines écoles de service public (texte de la commission n° 397, 2024-2025) ;

Suite du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (procédure accélérée ; texte de la commission n° 394, 2024-2025) ;

Proposition de loi visant à instaurer une trajectoire de réduction de l’artificialisation concertée avec les élus locaux, présentée par MM. Guislain Cambier, Jean-Baptiste Blanc et plusieurs de leurs collègues (procédure accélérée ; texte de la commission n° 373, 2024-2025).

Personne ne demande la parole ?…

La séance est levée.

(La séance est levée le mercredi 12 mars 2025, à zéro heure trente-cinq.)

Pour le Directeur des comptes rendus du Sénat,

le Chef de publication

FRANÇOIS WICKER