Résilience des infrastructures critiques et renforcement de la cybersécurité

Le présent article prévoit que le référentiel d’exigences techniques et organisationnelles pourra imposer le recours à des produits, services ou processus certifiés au titre du règlement (UE) 2019/881, dit Cybersecurity Act. Cette faculté vise à renforcer le niveau de sécurité des entités assujetties à la directive NIS 2, en favorisant l’usage de solutions certifiées selon un standard européen reconnu. Cependant, une incertitude demeure quant à l’intégration, dans ces schémas de certification – notamment le futur EUCS - de critères relatifs à l’immunité des fournisseurs aux droits extraterritoriaux. Plusieurs versions préliminaires du schéma ont montré des hésitations sur ce point crucial, sous la pression de certains États membres et d’acteurs économiques favorables à une approche plus souple. Or, l’absence de garanties sur l’immunité aux législations extraterritoriales (comme le Cloud Act américain) affaiblirait l’ambition même du dispositif. Elle exposerait potentiellement les données stratégiques d’entités essentielles ou importantes à des ingérences étrangères. Dans ce contexte, le présent amendement, reprenant la définition du Secnumcloud, vise à introduire explicitement un critère d’établissement en Europe pour les services certifiés que le gouvernement peut prescrire pour les entités régulées par Nis 2.

Après l’alinéa 7, insérer les trois alinéas suivants :

« Ces produits, services ou processus certifiés doivent remplir les conditions suivantes :

« 1° Le siège statutaire, administration centrale et principal établissement de la société dont émanent les produits, services ou processus certifiés en cause doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Le capital social et les droits de vote dans la société dont émanent les produits, services ou processus certifiés en cause ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

 Le présent article vise à protéger les communications électroniques en interdisant l’intégration de dispositifs affaiblissant la sécurité des systèmes de chiffrement. Toutefois, l’audition d’acteur du secteur a mis en lumière que le terme « chiffrement » est trop restrictif, car il ne renvoie qu’à une seule dimension de la sécurité numérique : la confidentialité.

Or, la cybersécurité repose sur un socle plus large, qui inclut non seulement la confidentialité, mais également l’intégrité des données, leur authentification et la non-répudiation des échanges. Ces différentes fonctions relèvent toutes de la cryptographie, terme plus englobant et mieux reconnu dans les textes juridiques français et européens.

Ainsi, le code de la défense (article L. 2321‑2) et l’article 29 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique définissent les « moyens de cryptologie » comme l’ensemble des matériels et logiciels permettant d’assurer la confidentialité, l’authentification et le contrôle d’intégrité des données. De même, au niveau européen, le règlement eIDAS (n° 910/2014) recourt explicitement au terme cryptographie pour encadrer les dispositifs de signature électronique et les services de confiance.

En substituant le terme « cryptographie » à celui de « chiffrement », le présent amendement garantit une protection complète des communications électroniques contre toute tentative d’affaiblissement des mécanismes de sécurité. Il aligne par ailleurs le texte sur la terminologie en vigueur dans le droit français et européen, et offre aux autorités de contrôle et aux juridictions une base plus claire et robuste pour prévenir et sanctionner de telles pratiques.

Substituer au mot :

« chiffrement » 

le mot :

« cryptographie ».

Le présent amendement vise à compléter la liste des définitions figurant à l’article 1er du projet de loi en y intégrant celle de la souveraineté numérique, notion centrale du texte.

Alors que le terme de souveraineté numérique irrigue l’ensemble des travaux parlementaires et des politiques publiques en matière de cybersécurité et de résilience numérique, aucune définition légale n’en est à ce jour donnée. Or, pour assurer la cohérence de la stratégie nationale et sécuriser son application juridique, il est essentiel de cadrer ce concept.

La définition proposée s’inspire de celle avancée par M. Thomas Courbe, alors directeur général des entreprises, dans le rapport parlementaire « Bâtir et promouvoir une souveraineté numérique nationale et européenne »  de juillet 2021. Elle intègre également les enjeux contemporains identifiés dans de nombreux rapports, notamment ceux du SGDSN, de la Cour des comptes, ou encore de la commission d’enquête sénatoriale sur la commande publique et la souveraineté économique.

Elle insiste sur les trois piliers de la souveraineté numérique la capacité normative, pour réguler l’espace numérique, l’autonomie technologique, indispensable face à la domination des grandes puissances extra-européennes (États-Unis, Chine), la protection contre les ingérences, notamment par le biais de l’espionnage, de l’extraterritorialité juridique ou de la dépendance à des technologies critiques.

Après l’alinéa 13, insérer l’alinéa suivant :

« 5° Souveraineté numérique : la capacité de l’État à établir les règles qui permettront d’utiliser le numérique, de contrôler les impacts de ses usages et à disposer de l’autonomie sur les technologies qui vont conditionner ces usages du numérique tout en se protégeant des ingérences et attaques étrangères. »

Cet amendement vise à prendre en compte le rôle stratégique des systèmes de détection des menaces en permettant, comme pour les OIV, la définition d’exigences spécifiques pour ces services et solutions. En effet, contrairement à la loi française qui prévoit un traitement spécifique pour les solutions de détection eu égard à leur caractère stratégique, NIS 2 ne procède pas à une hiérarchie explicite en fonction des technologies utilisées. Pourtant, les obligations strictes qu’elle impose en matière de notification des incidents rend en pratique obligatoire l’utilisation de systèmes de détection des menaces performants.

Dans ce contexte, cet amendement prévoit la définition par l’État d’exigences spécifiques pour les systèmes de détection des menaces. Celles-ci pourraient être mises en place via la qualification déjà existante de l’ANSSI pour les OIV (Visa de Sécurité) ou un référencement par une fédération professionnelle représentative du secteur. Cet amendement a été travaillé avec Jizo AI.

Après l’alinéa 3, insérer l’alinéa suivant :

« Les entités essentielles et importantes mettent en œuvre les exigences du référentiel mentionnées à l’article 14 ainsi que les exigences spécifiques fixées par le Premier ministre en matière de mise en œuvre de systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. »

Le projet de loi prévoit un modèle déclaratif, où les entités concernées s’auto-identifient auprès de l’autorité nationale compétente, en l’occurrence l’ANSSI. Cette modalité vise à responsabiliser les opérateurs tout en facilitant l’identification à grande échelle des entités assujetties (plus de 15 000 en France selon les estimations).

Cependant, rien dans le texte n’oblige actuellement l’administration à notifier officiellement aux entités concernées la bonne prise en compte de leur déclaration et leur statut effectif d’entité essentielle ou importante (EE ou EI). Cette absence de retour d’information peut générer de l’incertitude juridique et un flou opérationnel, notamment pour les entités intermédiaires ou nouvellement créées.

Le présent amendement vise donc à prévoir une notification formelle de l’enregistrement des entités déclarées, ce qui permettrait de sécuriser la situation juridique des opérateurs (preuve de l’assujettissement), déclencher les délais de mise en conformité à partir d’un point de départ clair, améliorer le suivi par les autorités compétentes. Cette mesure renforce la transparence administrative et la qualité du processus déclaratif, sans alourdir les procédures pour l’État ni pour les entités déclarantes.

Après l’alinéa 1, insérer l’alinéa suivant : 

« Les entités régulées sont informées de leur ajout à la liste des entités essentielles ou importantes. »

Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra déléguer la réalisation de contrôles à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les entités essentielles et importantes.

Toutefois, la nature hautement sensible des contrôles en question — portant sur la sécurité des systèmes d’information d’infrastructures critiques, de services essentiels — implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères.

Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient exclusivement européens. Ainsi cet amendement de repli vise à donner aux entreprises un droit de veto sur les organismes désignés par l’ANSSI.

Après l’alinéa 4, insérer l’alinéa suivant :

« Si l’organisme désigné par l’autorité nationale de sécurité de systèmes d’information n’est pas une entreprise dont le siège statutaire, l’administration centrale et le principal établissement sont situés dans un État membre de l’Union Européenne, la personne contrôlée peut demander à ce que l’organisme désigné soit remplacé par un autre remplissant ces critères. »

Cet article expose les définitions sur lesquelles reposeront la transposition de la directive (UE) 2022/2557 sur la résilience des entités critiques (REC). Il s’agit à cet alinéa de définir la notion d’infrastructure critique comme un équipement, un réseau ou un système dont une perturbation pourrait mettre gravement en cause la santé de la population ou l’environnement, ou nécessaire à une activité vitale. Or il n’est pas explicitement, ni dans le premier, ni dans le deuxième cas, fait référence à la protection des institutions, fondement de notre société démocratique et de facto cibles d’ingérences, de tentatives de déstabilisation ; il est ainsi proposé d’insérer cette notion dans la définition.

À l’alinéa 8, après le mot :

« cause »,

insérer les mots :

 « le fonctionnement des institutions, ».

Certains Opérateurs d’importances vitales (OIV) relèvent ipso facto des marchés de défense et de sécurité, mais cet état n’est pas encore juridiquement clarifié. En effet, il est possible d’écarter un prestataire non européen dans un marché de défense ou de sécurité nationale, mais cela suppose un arbitrage politique, parfois contra-legem vis-à-vis de Bercy.

Cet amendement vise donc à aligner explicitement les marchés publics et les concessions passés par les opérateurs d’importance vitale (OIV) sur le régime applicable aux marchés de défense ou de sécurité nationale. Il permet ainsi de garantir un niveau de protection équivalent pour les infrastructures critiques de la Nation.

En effet, certains marchés confiés à des OIV (tels que les gestionnaires d’aéroports internationaux, d’infrastructures portuaires, de réseaux d’eau ou d’énergie, etc.) peuvent porter sur des équipements ou services aussi sensibles que ceux des forces armées ou des ministères régaliens. C’est notamment le cas des systèmes de détection et d’analyse automatisée des bagages dans les aéroports, où des fournisseurs extra-européens (notamment Chinois) détiennent aujourd’hui une position dominante.

Cette dépendance crée un risque, par la possibilité d’exfiltration de données critiques, ou de captation biométrique. En alignant le régime juridique applicable sur celui de la défense, le présent article permet aux OIV d’écarter légalement les prestataires étrangers non sécurisés, tout en garantissant la conformité au droit européen par une justification fondée sur les intérêts essentiels de sécurité (article 346 TFUE).

Compléter cet article par les six alinéas suivants :

« Après l’article L. 1113‑2 du code de la commande publique, il est inséré un article L. 1113‑2‑1 ainsi rédigé :

« Art. L. 1113‑2‑1. – Application du régime de défense et de sécurité aux marchés des opérateurs d’importance vitale ;

« Les marchés publics et contrats de concession passés par des opérateurs d’importance vitale mentionnés à l’article L. 1332‑1 du code de la défense, lorsqu’ils ont pour objet des prestations, fournitures ou services présentant un lien direct avec la cybersécurité, la protection des systèmes d’information, le traitement de données sensibles ou la surveillance des flux physiques ou numériques, sont soumis aux règles applicables aux marchés de défense ou de sécurité nationale définies au titre II. du livre III. du code de la commande publique.

« À ce titre, les pouvoirs adjudicateurs peuvent restreindre la participation aux seules entreprises établies dans un État membre de l’Union européenne ou de l’Espace économique européen, ou dans un État ayant conclu avec la France un accord bilatéral de sécurité garantissant un niveau équivalent de protection des intérêts essentiels de sécurité.

« Le recours à cette faculté doit être justifié dans les documents de la consultation, par une analyse des risques pesant sur l’intégrité, la confidentialité ou la continuité des activités de l’opérateur concerné.

« Un décret en Conseil d’État précise les conditions d’application du présent article, notamment les critères de sécurité permettant d’activer cette faculté. »

Le présent amendement propose d’ajouter explicitement le secteur du numérique à la liste des domaines pouvant bénéficier d’une dérogation aux dispositions applicables aux entités critiques d’importance européenne particulière (ECIEP), prévues aux articles L.1332-8 et L.1332-9 du code de la défense.

En l’état, ce dispositif permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d’OIV français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Ce classement ouvre en effet la voie à une forme de surveillance technico-administrative par une autorité extérieure à l’État, sur des structures relevant pourtant d’enjeux de sécurité et de résilience. En permettant à la Commission d’intervenir, même à des fins consultatives, le texte introduit un risque de perte de maîtrise stratégique. 

Le secteur du numérique, tout comme la défense ou la sécurité publique, doit être exclu de ce périmètre. Il est devenu une composante essentielle de la souveraineté nationale, tant il conditionne le fonctionnement de l’ensemble des institutions, des entreprises et des services publics. L’infrastructure des réseaux, la cybersécurité, le traitement et le stockage des données sensibles, la maîtrise des technologies critiques ou encore le développement d’une intelligence artificielle souveraine sont des enjeux de sécurité et d’indépendance nationale. L’amendement vise ainsi à garantir que la France conserve l’entière maîtrise de la gouvernance, de la protection et du pilotage de ses infrastructures critiques dans le domaine numérique, en les excluant du champ des ECIEP. Il s’inscrit dans une démarche de défense de la souveraineté nationale face à des mécanismes de normalisation ou d’influence européens.

À l’alinéa 52, après le mot : 

« nucléaire »,

insérer les mots : 

« , du numérique ».

Le présent amendement vise à améliorer sensiblement le degré de préparation des collectivités territoriales face à la menace cyber en intégrant explicitement le risque de cyberattaque au sein du Plan Communal de Sauvegarde (PCS).

Alors que les collectivités jouent un rôle essentiel dans la continuité des services publics et la gestion des crises locales, elles sont devenues ces dernières années des cibles privilégiées des cybercriminels et d'acteurs étatiques hostiles. Selon l’ANSSI, plus de 350 collectivités ont été victimes d'une cyberattaque en 2023, dont une majorité de communes de taille moyenne, souvent démunies en matière de protection informatique.

Les exemples concrets abondent. En septembre 2024, la mairie de Caen a été victime d'une attaque par rançongiciel paralysant plusieurs de ses services administratifs pendant plusieurs jours. À la même période, la ville de Chaville (Hauts-de-Seine) a vu son système d'information compromis, entraînant la perte d'accès à des documents sensibles et des données personnelles. En 2022, la ville de La Rochelle avait également subi une cyberattaque majeure, impactant la gestion de ses services numériques.

Ces incidents démontrent la vulnérabilité des collectivités et l'impact potentiel de ces attaques : paralysie administrative, interruption des services aux usagers, atteinte à la confidentialité des données des citoyens, voire mise en danger de la sécurité des populations en cas d'atteinte aux systèmes d'alerte ou de gestion de crise.

Or, le Plan Communal de Sauvegarde, prévu par l'article L.731-3 du Code de la sécurité intérieure, constitue l'outil de référence permettant d'organiser la réponse opérationnelle de la commune en cas d'événement grave : catastrophes naturelles, risques technologiques, sanitaires… Il apparaît aujourd'hui indispensable que les risques cyber soient explicitement intégrés à ce dispositif, au même titre que les autres menaces susceptibles de désorganiser la vie locale. Le présent amendement vise donc à améliorer sensiblement le degré de préparation des collectivités en ajoutant le risque cyber au sein du plan communal de sauvegarde. Cet amendement a été travaillé avec Hexatrust.

La section 3 du chapitre I^er du titre III du livre VII du code de la sécurité intérieure est ainsi modifiée :

I. – Le I de l’article L. 731‑3 est ainsi modifié :

1° À la seconde phrase du premier alinéa, après le mot : « connus », sont insérés les mots : « y compris le risque d’incident informatique ayant un impact important sur la fourniture des services à la population, » ;

2° Après le 7°, il est inséré un 8° ainsi rédigé :

« 8° Assurant des activités de service public dont la continuité est susceptible d’être perturbée par des incidents informatiques, et dont la liste est déterminée par décret en Conseil d’État. »

II. – À l’article L. 731‑5, après le mot : « sauvegarde », sont insérés les mots : « , notamment pour prendre en compte le risque d’incident informatique, ».

III. – Les dispositions du présent article entrent en vigueur à l’occasion de l’actualisation du plan communal ou, au plus tard, à la date de sa révision.

Le présent amendement vise à garantir les droits de la défense et le respect du principe du contradictoire lors des procédures de sanction engagées à l’encontre d’une entité contrôlée dans le cadre du dispositif prévu par le présent article.

En l’état, l’article prévoit la saisine d’une commission des sanctions sans préciser que la personne contrôlée en est informée. Or, l’information préalable de la personne visée par une procédure de sanction constitue une exigence fondamentale du droit à un procès équitable.

Il est donc proposé d’inscrire explicitement dans la loi que la personne concernée est informée de la saisine de la commission. Cette disposition permettra à l’entité de préparer utilement sa défense et d’exercer pleinement ses droits tout au long de la procédure, dans un souci de transparence, d’efficacité et de légitimité de l’action administrative

Compléter l’alinéa 2 par la phrase :

« La notification fait également mention de cette saisine. »

Le dispositif prévu par cet article permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d’opérateurs d’importance vitale (OIV) français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Il est donc proposé de supprimer ces nouveaux pouvoirs confiés à la Commission européenne.

Supprimer les alinéas 53 et 54.

Cet amendement vise à renforcer la réactivité de l’ANSSI lorsqu’une entité essentielle ou importante signale un incident de sécurité. L’alinéa 11 prévoit actuellement que l’ANSSI accuse réception de la notification de l’incident si possible dans les 24h. Cette formulation est trop permissive. Dans le contexte d’une cyberattaque, chaque heure compte. Il est donc essentiel que l’acteur attaqué bénéficie rapidement d’un retour, ne serait-ce qu’une simple confirmation de réception, afin de déclencher au plus vite les mesures d’assistance et de coordination.

À l’alinéa 11, supprimer les mots :

« si possible ».

L’article 28 du projet de loi prévoit qu’une amende administrative peut être infligée à une entité qui ne coopérerait pas avec l’ANSSI ou fournirait des informations inexactes ou incomplètes.

Toutefois, la rédaction actuelle ne distingue pas entre un manquement intentionnel et une simple erreur ou omission non volontaire, pourtant fréquente dans des démarches administratives complexes, notamment pour des petites structures, des collectivités ou des opérateurs nouvellement assujettis.

En l’état, une erreur de bonne foi pourrait donc être sanctionnée aussi lourdement qu’une obstruction délibérée, ce qui est contraire au principe de proportionnalité des sanctions rappelé tant par le droit français que par la directive NIS 2 à l’article 34, qui exige des mesures « effectives, proportionnées et dissuasives ».

Le présent amendement vise donc à introduire une condition d’intentionnalité en limitant la sanction aux seuls cas où l’entité « fait volontairement obstacle » à l’exercice des missions de contrôle. Cette précision permet de mieux cibler les comportements réellement répréhensibles tout en évitant une insécurité juridique excessive pour les entités de bonne foi.

À l’alinéa 2, après le mot : 

« obstacle », 

insérer le mot : 

« volontairement »

Le présent amendement vise à instaurer un principe de priorité européenne dans le traitement, le recueil et la conservation des données issues de drones utilisés par les services de l’Etat (police, gendarmerie…)dans le cadre de la protection des opérateurs d’importance vitale (OIV).

Ces drones, employés à des fins de surveillance ou de sécurisation de sites stratégiques, sont susceptibles de capter, enregistrer et transmettre des images ou des informations particulièrement sensibles, tant sur le plan technologique que sécuritaire. Or, les données qu’ils produisent peuvent relever, directement ou indirectement, de la défense nationale, de la sécurité publique ou des intérêts fondamentaux de la Nation.

Dès lors, il est indispensable d’encadrer strictement le traitement de ces données, notamment en veillant à ce qu’elles ne soient pas confiées à des prestataires exposés à des législations extraterritoriales ou à des logiques de puissance étrangères potentiellement hostiles. Certaines entreprises non-européennes, bien que compétitives, peuvent en effet être soumises à des obligations de transmission d’informations à leur État d’origine, comme le permet le Cloud Act aux États-Unis ou des dispositifs comparables dans d’autres pays.

Prioriser les entreprises européennes permettrait de réduire la dépendance technologique de la France à l’égard d’acteurs non-européens dans des domaines sensibles, de favoriser l’émergence et la consolidation d’un tissu industriel européen, et de garantir une meilleure maîtrise des risques de sécurité nationale, en limitant l’exposition à des prestataires soumis à des puissances étrangères

Après l’alinéa 57, insérer les trois alinéas suivants :

« En cas de recours à une société tierce pour le recueil, le traitement et la conservation des données recueillies, celle-ci réunit les conditions suivantes :

« 1° Son siège statutaire, son administration centrale et son principal établissement doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Son capital social et les droits de vote dans la société ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne.

Le présent article prévoit que l’ANSSI pourra prescrire la réalisation d’audits à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les OIv.

Toutefois, la nature hautement sensible des contrôles en question implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères.

Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient français.

À la deuxième phrase de l’alinéa 4, après le mot : 

« indépendants », 

insérer les mots : 

« dont le siège statutaire, administration centrale et principal établissement sont situés sur le territoire national ».

Le présent projet de loi prévoit une mise à jour tous les deux ans des listes des entités essentielles et importantes. Cet amendement vise à réduire le délai afin qu’il devienne annuel. Un rythme annuel de mise à jour permettrait d’éviter les angles morts liés à des activités émergentes ou à la transformation rapide des opérateurs, d’assurer une couverture plus fine et plus réactive du périmètre des entités assujetties, et surtout de coordonner plus efficacement l'application de la directive NIS 2, qui demande une évaluation régulière de la criticité.

À l’alinéa 1, supprimer le mot :

« deux ».

Le présent article encadre les échanges d’informations entre les entités régulées et les autorités compétentes, notamment dans le cadre du contrôle, de l’accompagnement ou de la réponse aux incidents. Toutefois, la rédaction actuelle mentionne la nécessité de préserver les « intérêts commerciaux des entités concernées », une formule imprécise qui peut être source de confusion juridique.

Sans remettre en cause la légitime protection du secret des affaires ou des droits de propriété intellectuelle, il apparaît plus rigoureux de s’appuyer sur des notions déjà reconnues et encadrées par le droit, telles que les « secrets protégés par la loi » (secret des affaires, secret industriel ou commercial, secret de la défense nationale, etc.).

C’est ce que cherche à faire cet amendement ; cette clarification est par ailleurs conforme aux observations formulées par la CNIL lors de son audition devant la commission spéciale.

À la fin de l’alinéa 2, substituer aux mots : 

« la sécurité et les intérêts commerciaux des entités concernées » 

les mots : 

« les secrets protégés par la loi ».

Cet amendement vise à rendre obligatoire la consultation de l’autorité administrative par les OIV sur le point de recruter une personne à un poste pour l’exercice duquel il aura accès aux points d’importance vitale. Etant donné l’importance stratégique de ces points, il semble adapté d’y renforcer les contrôles.

À l’alinéa 41, substituer aux mots : 

« peut également solliciter »,

le mot : 

« sollicite ».

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à élaborer une stratégie de cyber nationale. Il ressort des auditions et de plusieurs rapports récents, notamment de la cour des comptes, qu’une déclinaison par ministère de la stratégie serait nécessaire.

En effet, chaque ministère fait face à des risques spécifiques, à des systèmes d'information hétérogènes, à des niveaux de maturité cyber très variables, et à des obligations propres liées à ses missions. Plusieurs ministères ont commencé à formaliser leur propre doctrine cyber, tandis que d’autres peinent encore à structurer leurs dispositifs. Cette situation nuit à la cohérence d’ensemble et freine l’élévation du niveau global de sécurité au sein de l’État.

Le présent amendement vise donc à prévoir que la stratégie nationale fasse l’objet de déclinaisons sectorielles ou ministérielles obligatoires. Ces déclinaisons permettront une meilleure appropriation opérationnelle par chaque administration.

Après l’alinéa 10, insérer l’alinéa suivant :

« 7° Une déclinaison des objectifs cités au 1° par ministère ; ».

Le projet de loi transpose la directive NIS 2 dans une acception particulièrement large, intégrant notamment l’ensemble des départements, des communes et des groupements de communes de plus de 30 000 habitants. Cette transposition étendue, reconnue par le Conseil d’État (avis n° 408329 du 6 juin 2024), génère de nouvelles obligations de cybersécurité qui ne tiennent pas compte des capacités réelles des collectivités concernées.

L’étude d’impact ne chiffre pas les coûts induits pour les collectivités, alors même que le Gouvernement appelle parallèlement les collectivités locales à une contribution accrue à la réduction du déficit public. Cette contradiction entre injonctions budgétaires et nouvelles charges normatives rend l’application uniforme du texte difficilement soutenable, en particulier pour les communautés de communes les plus modestes.

Le présent amendement vise à réserver le statut d’« entité importante » aux seules communautés de communes de 30 000 habitants ou plus, soit 211 structures, et à exclure celles de moins de 30 000 habitants, soit environ 779 intercommunalités, pour lesquelles les moyens humains, techniques et financiers sont insuffisants.

Il s’agit d’adapter les ambitions de la cybersécurité aux réalités des territoires, sans compromettre les objectifs de résilience ni sacrifier la soutenabilité locale.

L’amendement a été suggéré par l’Association des maires de France.

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 30 000 habitants et plus ».

La stratégie nationale en matière de cybersécurité ne saurait faire l’impasse sur le soutien à la recherche, pourtant absente de la rédaction actuelle de l’article 5 bis. Dans un contexte d’innovation accélérée, marqué par l’émergence de menaces nouvelles (IA générative, cryptographie post-quantique, deepfakes, etc.), la recherche fondamentale et appliquée constitue un pilier de notre souveraineté numérique. Il est donc indispensable que la stratégie nationale intègre les modalités de soutien à la recherche, en lien avec les laboratoires publics, les universités, les écoles d’ingénieurs, ainsi que les start-ups deeptech du secteur.

Après l’alinéa 4, insérer l’alinéa suivant :

« 3° bis Les modalités de soutien à la recherche en cybersécurité ; ».

Cet amendement vise à garantir le maintien des exigences en matière de sécurité et de confiance des systèmes et prestataires des détections des incidents de sécurité des Opérateurs d’Importance Vitale au niveau équivalent à celui en vigueur. En effet, depuis la loi de programmation militaire de 2013, les OIV doivent avoir recours à des systèmes et prestataires de service de détection des incidents de sécurité et les prestataires qualifiés par l’ANSSI. Ces systèmes doivent par ailleurs être exploités sur le sol national. Actuellement, l’ANSSI délivre aux produits et prestataires qualifiés un Visa de sécurité, accessible après une procédure de qualification particulièrement exigeante. Or à l’article 16 du projet de loi, ces dispositions sont remplacées par des exigences spécifiques qui ne concernent plus uniquement les systèmes de détection mais plus généralement tout dispositif matériel ou logiciel ou prestataire de service dont le recours peut être prescrit aux OIV. Surtout, les critères retenus ne sont pas aussi exigeants que le dispositif en vigueur : il peut s’agir de dispositifs et prestataires certifiés ou agréés (et non plus uniquement qualifiés) et ces derniers ne doivent plus obligatoirement être exploités sur le sol national. Pour des raisons de sécurité nationale, nous proposons donc de maintenir les exigences pour les systèmes et prestataires de détection des incidents de sécurité des OIV en reprenant la rédaction actuellement en vigueur à l’article L1332‑6-1 (article qui sera supprimé par les aliénas 55 et suivants de l’article premier du présent projet de loi). Cet amendement a été travaillé avec Sesame IT.

Compléter cet article par l’alinéa suivant :

« Les exigences spécifiques mentionnées à l’alinéa 2 peuvent prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’Autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’État désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre. »

Amendement d’appel

Le présent amendement vise à rétablir l’égalité de traitement entre les opérateurs d’importance vitale (OIV), qu’ils soient publics ou privés, en matière de régime de sanctions en cas de manquements à leurs obligations. Tel que rédigé, le projet de loi prévoit que les collectivités territoriales, leurs groupements et leurs établissements publics administratifs ne sont pas soumis aux amendes administratives applicables aux autres OIV. Cette exclusion crée une asymétrie injustifiée dans la mise en œuvre de la résilience des infrastructures critiques.

Pourtant, certaines activités essentielles comme l’approvisionnement en eau potable ou la gestion des déchets sont parfois assurées par des opérateurs privés soumis à sanction, parfois directement en régie par des collectivités territoriales — qui, elles, seraient exemptées de toute sanction. Cette différence de traitement ne saurait se justifier par la seule différence de statut juridique ou de capacité financière, dès lors que les risques et enjeux de continuité de service sont identiques.

Le Conseil d’État, dans son avis sur le projet de loi a explicitement relevé cette inégalité. Il a estimé que l’exclusion des collectivités territoriales du champ des sanctions administratives méconnaît à la fois le principe d’égalité devant la loi et les objectifs de la directive Nis 2 (UE) 2022/2557 sur la résilience des entités critiques. Celle-ci impose aux États membres de prévoir des sanctions qui soient « effectives, proportionnées et dissuasives » pour tous les types d’entités concernées.

En l’absence d’un mécanisme d’effet équivalent — comme un pouvoir de substitution exercé par l’État ou un dispositif contraignant de mise en conformité — cette exemption fragilise l’efficacité du dispositif global de cybersécurité et de résilience.

Il est donc proposé de supprimer cette exclusion, afin d’assurer une mise en conformité avec le droit européen, garantir une égalité devant la loi entre acteurs publics et privés, et renforcer concrètement la résilience des activités vitales pour notre pays.

Aux alinéas 2 et 3, supprimer les mots : 

« , à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs ».

Amendement d’appel

Le présent amendement vise à supprimer les dispositions relatives aux entités critiques d’importance européenne particulière, introduites par les articles L.1332-8 et L.1332-9 du code de la défense.

Ces articles prévoient notamment la possibilité pour la Commission européenne d’intervenir, sous certaines conditions, auprès d’opérateurs d’importance vitale (OIV) français identifiés comme fournissant des services essentiels au fonctionnement du marché intérieur de l’Union.

Cette disposition soulève une atteinte manifeste à la souveraineté nationale. Elle ouvre la voie à l’ingérence d’une autorité supranationale dans l’identification, l’évaluation ou l’accompagnement de structures françaises stratégiques, relevant de compétences souveraines essentielles telles que la sécurité des infrastructures critiques.

Même encadrée par l’accord préalable de l’État membre, cette intervention consacre une forme de mise sous surveillance européenne de certaines entités vitales, dont la protection doit demeurer exclusivement de la compétence des autorités nationales. Il n'appartient pas à la Commission de s’immiscer, directement ou indirectement, dans la gouvernance ou l’évaluation de nos OIV, a fortiori dans des secteurs aussi sensibles que la défense, l’énergie ou les communications – car l’exonération prévue pour ces secteurs n’est pas obligatoire, dans la rédaction actuelle.

Supprimer les alinéas 50 à 54.

Les entités essentielles ou importantes au titre de la directive NIS2 représentent les cibles les plus sensibles pour des puissances étrangères ou des groupes malveillants. Or, une grande partie de leurs systèmes critiques repose aujourd’hui sur des technologies extra-européennes, souvent soumises à des législations extraterritoriales incompatibles avec les exigences de sécurité nationale.

Le présent amendement vise donc à renforcer le contrôle parlementaire et la transparence en instaurant l’obligation, pour le Gouvernement, de remettre chaque année un rapport au Parlement sur le niveau d’exposition des entités régulées à ces dépendances critiques. Ce rapport devra également documenter les efforts de relocalisation industrielle engagés, les partenariats stratégiques, et l’évolution du tissu industriel national et européen dans les secteurs clés de la cybersécurité, du numérique et des infrastructures critiques. Un tel suivi permettra d’évaluer l’efficacité des politiques publiques de souveraineté, d’identifier les failles persistantes, et d’orienter les futures actions législatives ou budgétaires de soutien à l’écosystème industriel européen.

Compléter l’alinéa 12 par la phrase :

« Ce rapport intègre une analyse du niveau d’exposition des opérateurs d’importance vitale et des entités essentielles et importantes aux technologies non-européennes, des efforts de relocalisation engagés, de l’évolution du tissu industriel européen dans les secteurs critiques. »

Le présent amendement propose d’ajouter explicitement le secteur de la santé à la liste des domaines pouvant bénéficier d’une dérogation aux dispositions applicables aux entités critiques d’importance européenne particulière (ECIEP), prévues aux articles L.1332-8 et L.1332-9 du code de la défense.

En l’état, ce dispositif permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d’opérateurs d’importance vitale (OIV) français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Ce classement ouvre en effet la voie à une forme de surveillance technico-administrative par une autorité extérieure à l’État, sur des structures relevant pourtant d’enjeux de sécurité et de résilience nationale. En permettant à la Commission d’intervenir le texte introduit un risque de perte de maîtrise stratégique.

Le secteur de la santé, au même titre que la défense ou la sécurité publique, doit être exclu de ce périmètre. Il constitue un levier essentiel de souveraineté : maîtrise des systèmes hospitaliers, contrôle des données sensibles, réponse aux crises sanitaires, autonomie dans la production de médicaments ou de matériel médical. Cet amendement de repli vise ainsi à garantir que la France conserve l’entière maîtrise de la gouvernance, de la protection et du pilotage de ses infrastructures critiques dans le domaine de la santé, en les excluant du champ des ECIEP. Il s’inscrit dans une démarche de défense de la souveraineté nationale face à des mécanismes d’influence de la Commission européenne pouvant se transformer en instruments de pression ou de contrôle à long terme.

À l’alinéa 52, après le mot :

« nucléaire »,

insérer les mots :

« , de la santé ».

Cet amendement vise à associer pleinement les acteurs de terrain à la définition et à la mise en œuvre de la stratégie nationale en matière de cybersécurité, en intégrant dans le cadre de gouvernance les associations d’élus (comme l’AMF, l’ADF ou Régions de France) ainsi que les représentants des professionnels du secteur (telles que l’Alliance pour la Confiance Numérique, Hexatrust, le CESIN ou le Clusif). La cybersécurité est une responsabilité partagée. Elle repose non seulement sur des arbitrages stratégiques nationaux, mais aussi sur la mobilisation des acteurs locaux et des compétences industrielles réparties sur le territoire. Or, les collectivités territoriales sont souvent la cible de cyberattaques — près d’un incident sur deux les concerne selon l’ANSSI — et les TPE-PME spécialisées dans la cybersécurité sont en première ligne pour les accompagner. Intégrer ces parties prenantes dans la gouvernance permettra d’ancrer la stratégie nationale dans les réalités opérationnelles et de renforcer l’adhésion à sa mise en œuvre, tout en favorisant l’émergence d’un écosystème français et européen résilient.

À l’alinéa 4, après le mot :

« gouvernance »

insérer les mots :

« défini après consultation des associations d’élus et des représentants des professionnels du secteur de la cybersécurité ».

L’extraterritorialité de certaines législations étrangères constitue aujourd’hui un risque majeur pour la souveraineté numérique et la sécurité des systèmes d’information nationaux. De nombreuses lois, notamment celles adoptées par les États-Unis (comme le Cloud Act, le Foreign Intelligence Surveillance Act ou encore le Patriot Act), permettent aux autorités de ces pays d’accéder à des données hébergées à l’étranger dès lors que l’entreprise qui les détient est de droit national, indépendamment du lieu d’hébergement ou du traitement des données.

Cette situation crée une zone de vulnérabilité juridique pour les entités essentielles et importantes définies par la directive NIS 2. Ces structures, soumises à des exigences de cybersécurité accrues, sont parfois tentées de recourir à des solutions étrangères sans mesurer pleinement les risques induits par le cadre juridique applicable à leurs prestataires.

Il est donc impératif que les entités régulées prennent en compte l’extraterritorialité des droits auxquels sont soumis leurs prestataires lorsqu’elles choisissent des fournisseurs de services de cybersécurité, d’hébergement, de cloud ou de traitement de données. Ne pas le faire expose à des risques concrets d’ingérence, d’espionnage économique, voire de rupture de service en cas de conflit géopolitique ou de contentieux extrajudiciaire.

L’objectif de cet amendement est d’introduire une référence explicite à l’extraterritorialité dans le cadre des obligations de cybersécurité des entités assujetties, afin de renforcer la vigilance sur ce point et d’inciter au recours à des solutions européennes ou françaises offrant un haut niveau de confiance et de conformité avec les exigences de sécurité nationale.

Compléter l’alinéa 5 par les mots : 

« notamment en adoptant des solutions immunes à l’extraterritorialité de droits d’États extra-européens. »

Amendement de repli – Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra prescrire la réalisation d’audits à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les organismes d’importance vitales (OIV). Toutefois, la nature hautement sensible des contrôles en question implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères. Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient exclusivement européens.

À la deuxième phrase de l’alinéa 4, après le mot : 

« indépendants », 

insérer les mots : 

« dont le siège statutaire, administration centrale et principal établissement sont situés dans un État membre de l’Union européenne. »

Cet amendement vise à rendre obligatoire la consultation de l’autorité administrative par les OIV sur le point d’accorder une autorisation d’accès physique ou à distance à ses points d’importance vitale. Etant donné l’importance stratégique de ces points, il semble adapté d’y renforcer les contrôles

À l’alinéa 40, substituer aux mots : 

« peut demander »,

le mot : 

« demande ».

Le dispositif prévu par le présent article permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d'OIV français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Ce classement ouvre en effet la voie à une forme de surveillance technico-administrative par une autorité extérieure à l’État, sur des structures relevant pourtant d’enjeux de sécurité, de résilience nationale et de continuité des services essentiels. En permettant à la Commission d’intervenir, même à des fins consultatives, le texte introduit un risque de perte de maîtrise stratégique. Les secteurs les plus sensibles tels que le nucléaire, la sécurité publique ou la défense doivent en être exclus. Tel est le sens de cet amendement.

À l’alinéa 52, substituer aux mots : 

« peuvent être »,

le mot : 

« sont ».

L’obligation initialement prévue par le projet de loi, imposant aux opérateurs d’importance vitale d’analyser les dépendances et vulnérabilités de leurs chaînes de sous-traitance, constituait un progrès majeur en matière de sécurité nationale et de résilience des infrastructures critiques. Pourtant, cette disposition a été supprimée lors de l’examen au Sénat, affaiblissant le niveau d’exigence prévu par le texte. Or, il est aujourd’hui largement reconnu — et confirmé par les retours des services de renseignement et de cybersécurité — que les chaînes de sous-traitance constituent l’un des principaux vecteurs de risque, notamment dans les domaines cyber, logistique et technologique. Les cyberattaques récentes démontrent que les attaquants ciblent de plus en plus les fournisseurs de second ou troisième rang, souvent moins protégés, pour compromettre l’ensemble de l’écosystème.

Dans le domaine du numérique, l’exemple de l’attaque SolarWinds, qui a permis à un acteur russe d’infiltrer des milliers d’organisations via un fournisseur logiciel, ou encore celui du ransomware NotPetya propagé par la compromission d’un prestataire comptable ukrainien, illustrent le risque systémique que peuvent représenter des dépendances mal maîtrisées. L’ANSSI, dans son panorama 2024, évoque l’exemple de la compromission d’un sous-traitant informatique étranger intervenant au profit de plusieurs grandes entreprises françaises, permettant à des attaquants de pénétrer les SI de ces dernières, au moyen d’accès légitimes.  La suppression de cette obligation va donc à rebours d’une approche rigoureuse de la résilience des activités d’importance vitale. Il s’agit ici de mettre en place une exigence de cartographie et d’évaluation des risques liés aux maillons essentiels de la chaîne de valeur. 

En rétablissant cette obligation, le présent amendement contribue directement aux objectifs de la loi : renforcer la résilience nationale face aux menaces complexes et multiformes qui pèsent sur nos infrastructures critiques.

Compléter la deuxième phrase de l’alinéa 32 par les mots : 

« et de sous-traitance ».

Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra déléguer la réalisation de contrôles à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les entités essentielles et importantes. Toutefois, la nature hautement sensible des contrôles en question — portant sur la sécurité des systèmes d’information d’infrastructures critiques, de services essentiels — implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères. Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient exclusivement européens.

Compléter l’alinéa 4 par les mots :

« dont le siège statutaire, l’administration centrale et le principal établissement sont situés dans un État membre de l’Union Européenne » ;

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à élaborer une stratégie de cyber nationale. Cette dernière doit notamment permettre une approche intégrée des enjeux de cybersécurité et de souveraineté numérique.

La commande publique est l’un des principaux leviers de cette souveraineté. En 2022, la commande publique représentait 10,4 % du PIB national, soit environ 187 milliards d’euros. Elle constitue donc un levier stratégique massif pour orienter les choix technologiques, favoriser l’émergence de champions français et européens, et limiter les dépendances critiques à des acteurs extra-européens. Pourtant, comme l’a montré le rapport d’information sénatorial de juillet 2025 sur la commande publique et la souveraineté, ce levier reste sous-utilisé : les critères de sécurité ou de souveraineté sont peu mobilisés dans les appels d’offres, notamment dans le secteur numérique.

Ce même rapport met en lumière plusieurs failles préoccupantes, notamment l’attribution de marchés sensibles à des entreprises soumises à des régimes juridiques extraterritoriaux (comme le Cloud Act américain), ou l’incapacité de nombreuses entités publiques à identifier les solutions souveraines disponibles. Il recommande explicitement d'intégrer des considérations de souveraineté dans la stratégie cyber de l’État, et de former les acheteurs publics à ces enjeux.

En conséquence, le présent amendement propose d’intégrer explicitement la commande publique parmi les dimensions structurantes devant figurer dans la stratégie nationale de cybersécurité, afin qu’elle soit pleinement mobilisée au service de la résilience, de la sécurité et de l’indépendance technologique de la France.

Compléter l’alinéa 6 par les mots : 

« notamment en termes de commande publique ; ».

La CNIL et l’ANSSI, disposent toutes deux de compétences de contrôle pouvant porter sur les mêmes entités, notamment en cas d’incident de sécurité ou de vérification des dispositifs de protection des données et des systèmes d’information.

Afin d’éviter des doublons, une charge excessive pour les entités régulées ou des contradictions d’appréciation entre autorités, il convient de prévoir une coordination explicite entre la CNIL et l’ANSSI. Cela permettra notamment de définir les conditions dans lesquelles des contrôles conjoints, alternés ou séquencés peuvent être organisés, dans le respect des compétences propres de chaque autorité.

Le présent amendement prévoit donc que les modalités de cette coordination soient précisées par décret.

Après les mots : 

« présente section »,

insérer les mots : 

« notamment les modalités de coordination avec la commission nationale de l’informatique et des libertés. »

Le présent amendement vise à intégrer explicitement un objectif de souveraineté technologique et d’autonomie stratégique dans la mise en œuvre des mesures de conformité à la directive NIS 2.

Avec près de 15 000 entités françaises nouvellement assujetties à cette directive, la transposition de NIS 2 va générer un marché structurant dans le domaine de la cybersécurité. Il est donc essentiel de veiller à ce que ce marché ne soit pas capté de manière massive par des acteurs non-européens, au risque d’accroître notre dépendance technologique et d’affaiblir notre autonomie stratégique.

Le recours à des solutions ou services proposés par des entreprises soumises à des législations extraterritoriales (comme le Cloud Act américain) pourrait, dans certains cas, compromettre la sécurité des systèmes d’information sensibles, exposer des données critiques à des risques d’ingérence ou d’espionnage, et aller à l’encontre des intérêts fondamentaux de la Nation.

Cet amendement vise donc à faire de la souveraineté un critère structurant de la politique de mise en conformité à NIS 2, en incitant les entités assujetties à privilégier des solutions françaises ou européennes, offrant un niveau de confiance et de contrôle conforme aux exigences de sécurité nationale. Cet amendement a été travaillé avec Jizo AI.

Après l’alinéa 5, insérer l’alinéa suivant :

« 5° Garantir les impératifs de souveraineté, de sécurité nationale, d’autonomie stratégique et de protection des réseaux contre les ingérences étrangères et les législations à portée extraterritoriale. »

Amendement de repli.

Le projet de loi transpose la directive NIS 2 en élargissant son champ d’application bien au-delà des exigences européennes, notamment aux communes de plus de 30 000 habitants. Or, cette transposition extensive, bien que justifiée par la volonté de renforcer la cybersécurité, ignore les fortes contraintes financières et techniques du bloc communal.

L’étude d’impact n’évalue ni le coût réel de ces nouvelles obligations, ni leur soutenabilité. Leur application uniforme, immédiate et sans progressivité risque de créer des injonctions intenables, alors que les collectivités locales sont déjà appelées à contribuer massivement au redressement des finances publiques.

Le présent amendement vise à ajuster le périmètre des « entités importantes » :

– Inclusion des seules communautés de communes de plus de 20 000 habitants (environ 475 structures) ;

– Exclusion des communautés de communes de moins de 20 000 habitants (environ 515 structures), en leur laissant le temps d’organiser leur cybersécurité à un rythme adapté à leurs moyens.

L’objectif est double : éviter une surcharge normative contre-productive dans un secteur déjà sous tension (manque de prestataires qualifiés, difficulté d’ingénierie locale) et mieux calibrer les obligations selon les réalités territoriales. Le soutien à la formation, à l’ingénierie et à la diffusion des bonnes pratiques devra être renforcé.

L’amendement a été suggéré par l’association des maires de France.

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 20 000 habitants et plus ».

Le présent article encadre les échanges d’informations entre les entités régulées et les autorités compétentes, notamment dans le cadre du contrôle, de l’accompagnement ou de la réponse aux incidents. Ces échanges auront lieu entre l’ANSSI et divers organismes comme la CNIL, la Commission européenne ou encore les CSIRT. Il convient ici de s’assurer que ces informations, ces données sensibles souvent couvertes par un secret protégé par la loi, soient échangées dans un cadre sécurisé et souverain, immunisé contre les lois extraterritoriales extra européennes.

À l’alinéa 3, après les mots : 

« d’informations »,

insérer les mots : 

« notamment dans des conditions garantissant l’immunité à des lois extraterritoriales d’États extra européens. »

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à élaborer une stratégie de cyber nationale. cette dernière doit notamment permettre une approche intégrée des enjeux de cybersécurité et de souveraineté numérique. Toutefois, l’ambition stratégique affichée gagnerait à être explicitement adossée à un soutien clair et volontariste aux acteurs industriels français et européens du numérique. En effet, notre cyberrésilience ne peut durablement reposer sur des solutions dépendantes de technologies ou de prestataires soumis à des législations extraterritoriales, ou à des intérêts étrangers potentiellement divergents de ceux de la Nation. Dans ce contexte, il est proposé de préciser que la stratégie nationale de cybersécurité devra intégrer un axe prioritaire de soutien, de structuration et de montée en puissance de l’offre française et européenne.

Compléter l’alinéa 6 par les mots :

« permettant un soutien renforcé aux entreprises nationales et européennes du secteur ; ».

À l’heure où la menace pesant sur les infrastructures critiques se renforce, il est impératif que les OIV, ainsi que l’État, puissent s’appuyer sur des industriels relevant de l’espace européen, soumis aux mêmes exigences de sécurité juridique, politique et technique.

Actuellement, de nombreux marchés stratégiques échappent à tout critère de préférence géographique, exposant les systèmes vitaux de la Nation à des dépendances à l’égard d’acteurs extérieurs à l’Union européenne. Certaines de ces entreprises, peuvent être soumises à des législations extraterritoriales (comme le Cloud Act américain dans le domaine numérique), ou à des logiques de puissance étrangères incompatibles avec les intérêts fondamentaux de notre pays.

Prioriser les entreprises européennes permettrait de réduire la dépendance technologique de la France à l’égard d’acteurs non-européens dans des domaines sensibles, de favoriser l’émergence et la consolidation d’un tissu industriel européen, et de garantir une meilleure maîtrise des risques de sécurité nationale, en limitant l’exposition à des prestataires soumis à des puissances étrangères.

Cet amendement vise donc à instaurer un principe de priorité européenne pour les marchés publics nécessaires à la conception, la fabrication, la modification, la maintenance ou le retrait des structures, systèmes, matériels nécessaires à la protection des infrastructures critiques de l’opérateur.

Compléter cet article par les trois alinéas suivants :

« Art. L. 1332‑23. – Les opérateurs d’importance vitale qui passent un contrat ou un marché de concession en application des articles L. 1332‑20 et L. 1332‑22 choisissent en priorité des entreprises répondant aux critères suivants :

« 1° Son siège statutaire, son administration centrale et son principal établissement doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Son capital social et les droits de vote dans la société ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

L’Association française pour le nommage Internet en coopération (AFNIC) alerte sur les risques de surtransposition du droit européen en matière de régulation des noms de domaine. Elle critique notamment l’obligation de vérification systématique a priori de l’identité des titulaires, qu’elle juge disproportionnée par rapport aux objectifs de lutte contre la fraude. Une telle mesure devrait être réalisée a posteriori aux cas signalés ou suspects, d’autant que seuls 0,02 % des quelque 4 millions de noms de domaine sont concernés par un usage frauduleux. Imposer un contrôle systématique dans un système comptant 800 000 créations annuelles et 700 000 titulaires est irréaliste et contre-productif.

À la troisième phrase de l’alinéa 2, supprimer les mots : 

« lors de leur collecte ».

Le rapport public thématique de la Cour des comptes sur la cybersécurité publié en juin 2025 a mis en lumière la dispersion et le cloisonnement de la production d’études, de rapports et d’analyses portant sur la menace cyber en France. Ces travaux, souvent réalisés par différents ministères, opérateurs publics, agences et cabinets privés dans le cadre de missions financées sur fonds publics, ne font l’objet d’aucune consolidation coordonnée, ce qui nuit à la lisibilité globale de la menace.

Afin de remédier à cette lacune, la Cour des comptes recommande de créer un véritable observatoire de la menace cyber au sein de l’ANSSI, dont la mission serait de centraliser ces informations, d’en dégager des tendances utiles à la décision publique, et de contribuer à l’élaboration d’une stratégie fondée sur une connaissance complète et actualisée des vulnérabilités et des acteurs malveillants.

Le présent amendement vise donc à inscrire dans la loi cette mission essentielle de centralisation des données et analyses cyber au sein de l’ANSSI. Il s’agit ainsi de doter la puissance publique d’un pilotage stratégique fondé sur une connaissance consolidée, actualisée et partagée des menaces, utile à l’ensemble des ministères, des collectivités territoriales, des OIV, des entités NIS2 et du tissu industriel.

.

Compléter l’alinéa 3 par les mots :

« , ainsi que la centralisation et la synthétisation des études, données et analyses relatives aux menaces et risques cyber ».