Résilience des infrastructures critiques et renforcement de la cybersécurité

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

À la première phrase de l’alinéa 90, après le mot :

« commission »,

insérer les mots :

« mentionnés au 1° ».

Le présent amendement tend à reconnaître l’importance que revêt la sécurité des systèmes d’information, à laquelle contribue le chiffrement des communications électroniques, du point de vue de l’intérêt général.

Ce faisant, il revient sur la rédaction initiale de l’article 16 bis, qui pose des difficultés désormais connues. Celle-ci percute en particulier un travail conduit par les services de l’État, qui exige une temporalité et une sérénité avec lesquelles il serait dommageable que le législateur interfère. Le présent amendement tend donc à reconnaître l’importance du chiffrement des moyens de communication électroniques tout en laissant à ces services le temps de mener à leur terme ces travaux.

Le fruit de ceux-ci serait en outre présenté au Parlement dans le cadre d’un rapport remis dans les douze mois suivant la promulgation de la loi, afin de garantir la pleine information des parlementaires pour légiférer ultérieurement sur un sujet particulièrement complexe.

Tel est l’objet du présent amendement.

Rédiger ainsi cet article :

« La protection de la sécurité des systèmes d’information, en particulier au moyen du chiffrement des communications électroniques, est d’intérêt général majeur.

Le Gouvernement remet au Parlement, dans un délai de douze mois à compter de la promulgation de la présente loi, un rapport présentant les résultats d’un travail approfondi et interdisciplinaire visant à évaluer les enjeux techniques, juridiques et opérationnels liés à l’accès aux contenus chiffrés dans le cadre des politiques publiques de sécurité et de justice. »

Amendement rédactionnel visant à harmoniser la rédaction de l’alinéa 6 avec celles des alinéas 3, 4 et 7 de l’article 39.

À l’alinéa 6, après le mot :

« sens »,

insérer les mots :

« des articles 8 et 10 ».

Amendement de précision.

L’opérateur d’importance vitale relevant de la catégorie d’entité critique doit garantir l’activité régulière de chaque point d’importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs qui peuvent s’avérer indispensables pour assurer leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver.

À la première phrase de l’alinéa 35, après le mot :

« des », 

insérer les mots :

« dispositifs et des ».

Cet amendement a pour objectif d’inclure les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux dans le périmètre du projet de loi.

Après l’alinéa 7, insérer les deux alinéas suivants :

« g) bis Les établissements publics de santé au sens de l’article L. 6141‑1 du code de la santé publique qui ne sont pas des entités essentielles ;

« g) ter Les établissements et services sociaux et médico-sociaux au sens de l’article L. 312‑1 du code de l’action sociale et des familles qui ne sont pas des entités essentielles ; ».

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

Au début de la troisième phrase de l'alinéa 90, substituer au mot :

« Ils »,

les mots :

« Les membres ».

Le présent amendement vise à prévoir la possibilité d’une procédure dématérialisée.

En effet, il paraît nécessaire de prévoir le traitement et la conservation dématérialisés des actes lors des contrôles, à l’instar d’autres dispositifs en vigueur (voir par exemple les articles L. 511-2-1 du code de la consommation ou 801-1 du code de procédure pénale).

Les actes mentionnés au présent titre, établis par les agents et personnels mentionnés à l’article 26, peuvent être établis ou convertis sous format numérique et peuvent être intégralement conservés sous cette forme, dans des conditions sécurisées, sans nécessité d’un support papier.

Lorsque ces actes sont établis sous format numérique et que les dispositions du présent titre exigent qu’ils soient signés, ils font l’objet, quel qu’en soit le nombre de pages et pour chaque signataire, d’une signature unique sous forme numérique, selon des modalités techniques qui garantissent que l’acte ne peut plus ensuite être modifié. Ces actes n’ont pas à être revêtus d’un sceau.

Les modalités d’application du présent article sont précisées par voie réglementaire.

L’État doit veiller, à l’instar de ce qui est pratiqué dans le domaine de la sécurité routière, à faire émerger une marque nationale de prévention du risque numérique, connue du grand public, en capitalisant sur le modèle du cyber moi/s européen.

Le développement de cette marque serait confiée au Groupement d’Intérêt Public Action contre la cybercriminalité (GIP ACYMA), qui deviendrait ainsi le maître d’oeuvre d’un programme ambitieux de prévention nationale en matière de cybersécurité.

Compléter l’alinéa 7 par les mots :

« , annuellement mis en place dès 2026 et piloté par le dispositif national d’assistance aux victimes d’actes de cybermalveillance ; »

Cet amendement vise à prévoir une base législative pour permettre à l’ANSSI :

-          D’une part, de confier au cas par cas dans les schémas de certification, l’activité de certification à des organismes d’évaluation de la conformité :

o   Soit en application du droit de l’Union, en particulier l’article 56 §6 du règlement n°2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications ;

o   Soit pour la certification nationale, par exemple dans le cadre du décret n°2010-112 du 2 février 2010 en application du référentiel général de sécurité.

-          D’autre part, de soumettre à autorisation préalable ces organismes dans les cas où les schémas de certification européens ou nationaux le prévoient, afin d’évaluer leur aptitude à procéder à des évaluations et à la certification de la cybersécurité dans des domaines sensibles et présentant une technicité particulière, par exemple pour la qualification SecNumCloud.

Les organismes d’évaluation de la conformité peuvent évaluer la conformité à des exigences de cybersécurité et délivrer les certificats de conformité lorsque les schémas de certification le prévoient et le cas échéant, après autorisation de l’autorité nationale de sécurité des systèmes d’information.

Cet amendement vise à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales.

La directive NIS 2 prend en compte cette possibilité au niveau de son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la règlementation relative à la sécurité nucléaire, mentionnées à l’article L.1333-2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L.1333-2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services.

I. – À l’alinéa 2, après le mot :

« entreprises »,

insérer les mots :

« , à l’exception de celles dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités, ».

II. – À l’alinéa 3, après le mot :

« territoriales »,

insérer les mots :

« , à l’exception des établissements publics ou des régies précités dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités ».

III. – À l’alinéa 17, après le mot :

« vitale »,

insérer les mots :

« , à l’exception des opérateurs d’importance vitale dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités, ».

IV. – À l’alinéa 18, après les mots :

« présente loi »,

insérer les mots :

« à l’exception de ces opérateurs dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités ».

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

À l’alinéa 1, après la seconde occurrence du mot :

« cybersécurité »,

insérer les mots :

« et de souveraineté numérique ».

Cet amendement vise à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales.

La directive NIS 2 prend en compte cette possibilité au niveau de son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L. 1333‑2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services.

I. – À l’alinéa 2, après le mot :

« entreprises »

insérer les mots :

« , à l’exception de celles dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités, »

II. – En conséquence, à l’alinéa 9, après les mots :

« territoriales »

insérer les mots :

« , à l’exception de ces opérateurs dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités ».

Le présent amendement vise à assurer la coordination avec l’amendement n° XX visant à définir les agents agissants pour le compte des bureaux d’enregistrement, et supprime la définition de ces agents via le décret prévu à l’article L. 45-7 du code des postes et communications électroniques (CPCE).

Le présent amendement reprend également à l’article L45-5 du CPCE la formulation de l’article 22 afin de préciser que les offices et bureaux d’enregistrement du CPCE doivent répondre aux demandes des agents habilités à cet effet.

I. –  Compléter l’alinéa 20 par les mots : « tels que définis au 2°ter de l’article 6 de la loi n°       du       relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » .

II. –  Supprimer les alinéas 23 et 24.

III. – À l’alinéa 29, substituer au mot : 

« deux »,

le mot :

« trois ».

IV. – Après l’alinéa 29, insérer l’alinéa suivant :

« Pour les besoins des procédures pénales et de la sécurité des systèmes d’information, les agents habilités à cet effet par l’autorité judiciaire ou par l’autorité nationale de sécurité des systèmes d’information peuvent obtenir des offices et bureaux d’enregistrement, ainsi que des agents agissant pour le compte de ces derniers, les données d’enregistrement mentionnées au deuxième alinéa. »

V. – À l’alinéa 30, après les mots : 

« bureaux d’enregistrement »,

insérer les mots : 

« ainsi que les agents agissant pour le compte de ces derniers ».

Cet amendement vise essentiellement à reprendre la rédaction du 2. de l’article 23 de la directive NIS 2 qui régit les obligations des Etats-Membres et des entités en matière d’information aux destinataires des services lorsque l’entité essentielle ou importante identifie qu’une vulnérabilité critique est susceptible de les affecter.

Il vise à clarifier le champ des informations devant leur être communiquées en s’alignant sur le 2. de l’article 23 de la directive NIS 2, qui limite le champ des informations communiquées aux destinataires aux mesures et corrections que les utilisateurs peuvent appliquer, et, le cas échéant, les informations relatives à la vulnérabilité elle-même.

L’amendement vise également à préciser la rédaction du texte actuel qui n’indique pas à qui sont notifiés les incidents importants et les vulnérabilités critiques.

I. – Compléter l’alinéa 13 par les mots :

« aux destinataires de leurs services ».

II. – Rédiger ainsi l’alinéa 15 :

« – toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à une vulnérabilité critique qui les affecterait potentiellement. Le cas échéant, les entités informent également ces destinataires de la vulnérabilité critique elle-même. ».

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer

la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et

bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à garantir le fait que

l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier

fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au

stade de la collecte.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de

« confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute

action judiciaire.

Précisément pour pallier l’opacité des registres actuels, l’article 28 de la Directive NIS 2 prévoit

bien la collecte des informations « du point de contact qui gère le nom de domaine, si ces

coordonnées sont différentes de celles du titulaire » (art. 28.1(d)).

Le fait que la loi nationale vise bien les cas de recours à des services tiers est ainsi vital pour

l’ensemble des personnes en situation de défendre leurs droits dans l’espace numérique, notamment

les titulaires de droits de propriété intellectuelle (droit d’auteur, droits voisins, droit des marques,

des dessins et modèles…), les associations de protection de l’enfance ou associations de

consommateurs.

Force est de tirer des conséquences concrètes du fait que certains bureaux d’enregistrement de noms

de domaine font obstacle à une coopération avec les victimes d’infractions pénales ou d’attaques

contre des systèmes informatiques en se fondant sur la confidentialité, privant de recours efficace

les personnes en cas de conflit.

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

Le présent amendement tend à clarifier les dispositions qui ne trouvent pas à s’appliquer dans le cas d’un acte sectoriel de l’Union européenne reconnu comme lex specialis qui prévoit des dispositions équivalentes. Il tend ainsi à préciser que sont uniquement concernées les dispositions relatives à l’application de mesures de sécurité, à la notification des incidents ainsi qu’à celles de la supervision permettant d’en vérifier le respect. En dehors de ces dispositions, les entités restent soumises au projet de loi, comme par exemple, l’obligation d’enregistrement issue de l’article 12 dont elles ne sont pas déliées.

I. – Au début de la première phrase de l’alinéa 1, après le mot :

« dispositions »,

insérer les mots :

« des articles 14, 15 et 17 ».

II. – À la même phrase du même alinéa, après le mot :

« supervision »,

insérer les mots :

« s’agissant du respect de ces articles ».

III. – À la fin de la même phrase du même alinéa, supprimer les mots :

« aux obligations résultant des articles 14 et 17 ».

Cet amendement vise à reprendre la définition telle que prévue par la directive NIS 2 qui ne prévoit pas le facteur humain, dans un souci d’harmonisation de cette définition avec les autres Etats membres.

À l’alinéa 10, supprimer les mots : 

« , ou d’un utilisateur de ces derniers, ». 

Les articles 9 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives sont abrogés par l’article 39 de la présente loi. Les exigences à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations sont désormais prises en application de l’article 11 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et du troisième alinéa de l’article 16 du projet de loi.

Cet amendement de cohérence vise à tenir compte de cette abrogation en remplaçant au sein du droit positif les renvois à ces articles par des renvois aux exigences spécifiques mentionnées à l’article 11 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et au troisième alinéa de l’article 16 du projet de loi.

Compléter cet article par les trois alinéas suivants :

« V. – Au IV de l’article 42 de la loi n°2018 du 10 août 2018 pour un État au service d’une société de confiance, les mots : « des articles 9 à 12 » sont remplacés par les mots : « de l’article 11 » et après la troisième occurrence du mot : « administratives, », sont insérés les mots : « ainsi qu’à celles relatives aux exigences spécifiques à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations mentionnées au troisième alinéa de l’article 16 de la loi n°       du       , ».

« VI. – Au dernier alinéa de l’article 29‑4 de la loi n°90‑568 du 2 juillet 1990 relative à l’organisation du service public de la poste et à France Télécom, les mots : « des articles 9 à 12 » sont remplacés par les mots : « de l’article 11 » et après la troisième occurrence du mot : « administratives, », sont insérés les mots : « ainsi qu’à celles relatives aux exigences spécifiques à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations mentionnées au troisième alinéa de l’article 16 de la loi n°       du       , ».

« VII. – À l’article L. 212‑3 du code des relations entre le public et l’administration, les mots : « règles du référentiel général de sécurité mentionné au I de l’article 9 de l’ordonnance n° 2005‑1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives » sont remplacés par les mots : « exigences spécifiques à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations mentionnées au troisième alinéa de l’article 16 de la loi n°       du . »

Cet amendement tire les conséquences de l'adoption de l'amendement 522. Ses dispositions concernent les entités financières qui relèvent de l'Autorité des marchés financiers.

Rédiger ainsi cet article :

« I. – Après l’article L. 621‑9‑3 du code monétaire et financier, il est inséré un article L. 621‑9‑4 ainsi rédigé :

« Art. L. 621‑9‑4. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité des marchés financiers adressent à l’Autorité des marchés financiers leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité des marchés financiers leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

« III. – Les déclarations et notifications mentionnées au I et au II du présent article sont réalisées par le biais d’un document unique transmis simultanément à l’Autorité des marchés financiers et à l’autorité nationale de sécurité des systèmes d’information. »

"II.- Au tableau du I des articles L. 783-8, L. 784-8 et L. 785-7 du même code, après la ligne :

« 

l
»

est insérée la ligne suivante :

« 

».

L’amendement poursuit un objectif de cohérence en visant à soumettre l’ensemble des opérateurs d’importance vitale (OIV) aux obligations de notification d’incidents importants et de vulnérabilités critiques prévues à l’article 17. En effet, en ne visant que le premier alinéa de l’article 17 du projet de loi, la rédaction actuelle de l’article L. 1332-11 prévue à l’alinéa 60 omet l’obligation de notification par les OIV à leurs destinataires de services des incidents importants ayant un impact direct sur ceux-ci ainsi que des vulnérabilités critiques et de leurs mesures de correction.

D’autre part, l’amendement vise à clarifier l’articulation entre les obligations applicables aux opérateurs d’importance vitale (OIV) et celles qui leurs sont applicables en vertu d’un acte juridique sectoriel de l’Union européenne. En effet, il existe des OIV qui n’entrent pas dans le champ d’application de la directive NIS 2 et qui ne sont, ainsi, ni entité essentielle, ni entité importante. En revanche, ils peuvent entrer dans le champ d’application de règlementations sectorielles. Tel est le cas, par exemple, d’OIV qui relèvent du règlement DORA sans pour autant entrer dans la catégorie des entités essentielles ou des entités importantes. Il importe donc de ne pas multiplier les exigences de sécurité qui auraient une même finalité lorsque les opérateurs sont soumis à des dispositions d’effet au moins équivalent, lesquelles priment sur le régime général s’agissant d’une lex specialis.

I. – À l’alinéa 60, substituer aux mots :

« au premier alinéa de »,

le mot :

« à ».

II. – Après l’alinéa 60, insérer l’alinéa suivant :

« Les opérateurs d’importance vitale ne sont pas tenus de mettre en œuvre les obligations prévues aux articles 14 et 15 de la loi précitée lorsqu’ils sont soumis, en application d’un acte juridique de l’Union européenne, à des exigences sectorielles de sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités ou de la fourniture de leurs services ayant un effet au moins équivalent. »

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations en matière de protection des données prévues à l’alinéa 2 de l’article 19 du projet de loi.

À l’alinéa 2, après le mot : 

« enregistrement » 

insérer les mots : 

« ainsi que les agents agissant pour le compte de ces derniers ».

Cet amendement vise à corriger une erreur rédactionnelle suite à la reprise textuelle de l’article 14 du projet de loi. En tant qu’établissement public à caractère industriel et commercial, le CEA, notamment pour ses activités dans le domaine de la défense, n’est en effet pas concerné par ces exigences spécifiques fixées par le Premier ministre à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations.

Ces exigences ne concernent en effet que les administrations qui sont entités essentielles ou importantes, les administrations de l’Etat et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale, ou des missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d’information, et enfin les juridictions administratives et judiciaires.

À l’alinéa 3, supprimer les mots :

« , le Commissariat à l’énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ».

Cet amendement met en place un mécanisme de sanction à l’encontre des collectivités territoriales en cas de manquement aux obligations prévues au titre 2 du projet de loi. En cas de manquement, dans un premier temps, la commission des sanctions enjoint la collectivité territoriale concernée à mettre en place un plan de remédiation. Si ce plan n’a pas été mis en place, la commission des sanctions peut prononcer une amende administrative dont le montant ne peut excéder 10 millions d’euros.

Cet amendement se fonde sur le point n°16 de l’avis du Conseil d’État, qui indique que l’exemption dont bénéficient les collectivités territoriales « ne peut être admise » car « leur exclusion du champ des sanctions méconnaît à la fois le principe d’égalité et les objectifs de la directive ».

I. – À l’alinéa 2, supprimer les mots :

« des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, ».

II. – À l’alinéa 3, supprimer les mots :

« des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, ».

III. – Après l’alinéa 4, insérer l’alinéa suivant :

« En cas de manquement aux obligations prévues au présent titre, la commission des sanctions enjoint aux collectivités territoriales de mettre en place un plan de remédiation dans un délai d’une semaine à compter de la constatation du manquement. Si le plan de remédiation n’a pas été mis en place, la commission des sanctions peut prononcer à l’encontre de la collectivité territoriale une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d’euros. ».

Cet amendement vise à ce que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL.

Le présent PJL modifie l’article L. 1332‑6 du code de la défense dans une nouvelle rédaction qui prévoit l’élargissement du champ des enquêtes administratives de sécurité aux accès à distance aux Point d’Importance Vitale (PIV), ainsi qu’aux Systèmes d’Information d’Importance Vitale (SIIV). Il prévoit ainsi qu’avant d’accorder une autorisation d’accès physique ou informatique à un PIV ou un SIIV, un OIV peut demander l’avis de l’autorité administrative compétente dans les conditions prévues par l’article L. 114‑1 du code de la Sécurité Intérieure, selon des modalités précisées par décret.

Les enquêtes administratives prévues par l’article L. 114‑1 du CSI prévoient notamment la possiblité de consulter du bulletin n° 2 du casier judiciaire et de traitements automatisés de données à caractère personnel relevant de l’article 31 de la loi n° 78‑17 du 6 janvier 1978, qui contient une partie des condamnations pénales des personnes visées et est généralement demandé pour les emplois amenant à être en contact avec des personnes mineures.

L’avis de la CNIL permettrait ainsi de motiver davantage les demandes d’enquêtes administratives, qui peuvent entraîner la consultation de données personnelles à caractère sensible.

Compléter l’alinéa 40 par les mots :

« , pris après avis de la Commission nationale de l’informatique et des libertés ». 

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations prévues à l’article 22 du projet de loi, portant sur la communication des données relatives aux noms de domaine aux agents habilités à cet effet par l’autorité judiciaire.

II. – À l’alinéa 1, après le mot : 

« enregistrement », 

insérer les mots : 

« , ainsi que des agents agissant pour le compte de ces derniers ».

II. – En conséquence, à l’alinéa 2, après le mot : 

« enregistrement », 

insérer les mots : 

« , ainsi que les agents agissant pour le compte de ces derniers ».

La certification des services de coffre-fort numérique ayant été abrogée par l’article 26A du projet de loi, cet amendement de cohérence vise à supprimer corrélativement la compétence de l’ANSSI à contrôler le respect de cette certification.

À l’alinéa 5, supprimer les mots :

« et à l’avant dernier alinéa de l’article L. 103 ».

Le présent amendement vise deux objectifs. D’une part, il s’agit de rétablir le principe d’une entrée en application différenciée entre les plus grandes sociétés de financement et les autres entreprises de ce type. Les plus grandes sociétés de financement exercent, pour certaines, des activités critiques pour le secteur financier français et devraient être assujetties dès la promulgation de la présente loi à des standards élevés en matière de résilience et de cybersécurité. Les autres sociétés de financement, de taille modeste, devraient bénéficier d’un report de l’entrée en application de ces exigences dans le cadre d’un calendrier de mise en conformité proportionné.

D’autre part, le présent amendement vise à rétablir une date d’assujettissement des petites sociétés de financement dans des délais plus adaptés, assurant qu’à moyen terme l’ensemble du secteur financier français applique un niveau d’exigences cohérent. Le 1er janvier 2030 apparaît dans cette optique comme un horizon trop lointain et l’ampleur de cette différenciation est inéquitable par rapport à d’autres acteurs du secteur financier distribuant des services comparables aux sociétés de financement. Dans un souci d’égalité de traitement, l’échéance du 17 janvier 2027 du présent amendement offre deux ans aux petites sociétés de financement pour se préparer aux exigences de DORA, à l’instar des délais qui avaient été offerts par le règlement aux établissements de crédit.

Enfin, une entrée en application différée à un horizon aussi lointain que 2030 apparaît contraire au principe du droit français d’équivalence des exigences prudentielles entre sociétés de financement et établissements de crédit. Cette équivalence est profitable aux sociétés de financement dont les expositions bénéficient à ce titre d’un traitement prudentiel aussi favorable que celui-ci des expositions auprès des banques en application de l’article 119 du règlement « CRR ». Dans le cas où cette équivalence devait être questionnée, les sociétés de financement pourraient perdre le bénéfice de cette dérogation prudentielle. 

La nouvelle rédaction de l’article 62 proposée par le Gouvernement maintient en revanche le second alinéa introduit dans le cadre du l’examen du projet de loi au Sénat spécifiant que les sociétés de financement de petite taille et non complexe se conforment aux exigences de DORA en application du principe de proportionnalité.

À la seconde phrase de l’alinéa 1, substituer aux mots : 

« sont applicables à compter du 1^er janvier 2030 aux sociétés de financement », 

les mots : 

« ne sont applicables aux sociétés de financement remplissant les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) n° 648/2012 qu’à compter du 17 janvier 2027 ».

Le présent amendement a pour objet la mise en conformité à la directive NIS 2 qui ne conditionne pas l’interdiction d’exercer des dirigeants des entités essentielles à la persistance d’un manquement malgré l’imposition d’amendes pécuniaires.

En effet, l’article 32 §5 de la directive NIS II prévoit, lorsque les mesures d’exécution de son paragraphe 4 aux points a) à d) et au point f) imposées aux entités essentielles – mesures de police administrative reprises dans le projet de loi aux articles 25 et 31 – sont inefficaces, une procédure en deux temps :

(i) l’entité essentielle est invitée, dans un délai imparti, à pallier les insuffisances ou satisfaire aux exigences des mesures d’exécution ;

(ii) si la mesure demandée n’est pas prise dans ce délai, alors l’autorité de supervision peut notamment prévoir une interdiction d’exercer temporaire des dirigeants, personnes physiques, de ces entités essentielles.

De plus, conformément à l’article 34 paragraphe 2 de la directive NIS 2, les amendes administratives peuvent intervenir en complément de l’interdiction d’exercer.

Il est donc proposé par cet amendement de conditionner l’interdiction d’exercer des dirigeants à l’inefficacité des mesures de police administratives (mesures d’exécution) mentionnées aux article 25 et 31 du projet de loi conformément aux articles 32 et 34 de la directive NIS 2.

À l’alinéa 13, substituer aux mots :

« en dernier recours, si le manquement persiste après que l’amende administrative prévue au I ou au II du présent article a été prononcée »,

les mots :

« si les mesures d’exécution prévues aux articles 25 et 31 sont inefficaces, ».

Sans opérer de modification de fond dès lors que l’obligation de déclaration des moyens de cryptologie ainsi que son périmètre sont préservés au niveau de la loi, cet amendement s’inscrit dans une démarche de simplification règlementaire. Il vise à améliorer la lisibilité du dispositif pour les destinataires de l’obligation en permettant de s’appuyer sur le niveau règlementaire pour tenir à jour de manière régulière, en conformité avec les engagements européens en la matière, la liste des moyens et prestations concernés par l’obligation et éviter des formalités inutiles aux entreprises.

Plus précisément, il s’agirait notamment d’ouvrir la possibilité pour l’ANSSI de modifier la liste des catégories de moyens dont les caractéristiques techniques ou les conditions d’utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, qu’ils peuvent être dispensés de toute formalité préalable, par arrêté et non par décret en Conseil d’Etat : une telle procédure, dont l’obligation découle aujourd’hui de la lettre de la loi, ne paraît pas justifiée au regard de l’objet du décret comme de la fréquence et la portée des modifications à y apporter.

1° À l’alinéa 6, substituer aux mots :

« sauf dans les cas prévus au b du présent III et » les mots et le signe :

les mots :

« à l’exception, » ;

2° Compléter la première phrase de l’alinéa 6 par les mots :

« , des moyens dont les caractéristiques techniques ou les conditions d’utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, qu’ils peuvent être dispensés de toute formalité préalable » ;

3° Après le mot : 

« fixe »

rédiger ainsi la fin de la deuxième phrase de l’alinéa 6 :

« les conditions dans lesquelles sont souscrites ces déclarations, les conditions et délais dans lesquels le Premier ministre peut demander communication des caractéristiques du moyen, ainsi que la nature de ces caractéristiques. » ;

4° En conséquence, substituer à l’alinéa 7, l’alinéa suivant :

« Les a et b du III sont abrogés. »

L’amendement a pour objectif d’appliquer le règlement UE n° 2024/2847, dit CRA (CyberResilienceAct) visant à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique, qui entrera prochainement en vigueur en droit national. 

Il tire les conséquences des modifications proposées à l’article 26 à cet égard.

À l’alinéa 8, substituer aux mots :

« au règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 précité ou aux exigences mentionnées aux 4°, et 5° de l’article 26 de la présente loi »,

les mots :

« aux exigences mentionnées aux 2°, 4° ,5° et 6° de l’article 26 de la présente loi. ».

Il s’agit d’un amendement de cohérence permettant de soumettre au contrôle de l’autorité nationale de sécurité des systèmes d’information les opérateurs d’importance vitale qui ne sont pas déjà soumis à son contrôle en tant qu’entité essentielle ou importante. En effet, la rédaction actuelle de l’article 26 ne couvre que les OIV des secteurs prévus par les directives NIS2 et REC soumis au contrôle en vertu des chapitre II et III du projet de loi alors que les OIV hors du champ des directives relèvent uniquement de l’article L. 1332‑11 du code de la défense portant les obligations qui leur sont applicables.

Après l’alinéa 5, insérer l’alinéa suivant :

« 4° bis À l’article L. 1332‑11 du code de la défense. ».

Le présent amendement a pour objectif d’offrir la possibilité pour les entités régulées de se prévaloir du recours à certaines prestations de services qualifiés, pour faciliter la démonstration de leur respect à tout ou partie des objectifs de sécurité. Cet amendement répond aux préoccupations émises par la commission spéciale relative à l’encadrement du recours aux prestataires qualifiés.

Il permet en ce sens de valoriser le recours par les entités assujetties aux prestations qualifiées par l’ANSSI et de favoriser le développement de l’offre de confiance sans pour autant l’imposer aux entités régulées. L’approche incitative qu’il porte constitue une manière équilibrée de répondre à ces préoccupations. Les entités régulées pourront en fonction de leurs besoins identifier les solutions qu’elles considèrent comme adéquates à leurs enjeux. Les conditions d’application des dispositions introduites par le présent amendement seront prévues par décret en Conseil d’Etat.

Après l’alinéa 8, insérer l’alinéa suivant :

« Les personnes mentionnées au premier alinéa peuvent se prévaloir auprès de l’Autorité nationale de sécurité des systèmes d’information, lors d’un contrôle, du recours à des prestataires de services qualifiés pour démontrer leur respect de tout ou partie des objectifs mentionnés au sixième alinéa dans des conditions fixées par décret en Conseil d’État. »

Le présent amendement vise à inscrire le devoir d'information des populations, sans préjuger que
cela doive être fait par les seuls Plans Communaux de Sauvegarde, prévus par le code de la sécurité
intérieure.
Il s'agit, comme le fait le GIP ACYMA au niveau national, que la prévention soit aussi locale et
territoriale.
En effet, il est économe de prévenir les risques et sensibiliser sur la cybersécurité avec la réalisation
de publications et de campagnes de sensibilisation et de prévention contre les cybermenaces, grâce
à des contenus sous différents formats, et très fortement localement.

À la seconde phrase du premier alinéa du I de l’article L. 731‑3 du code de la sécurité intérieure, après le mot : « connus » sont insérés les mots : « y compris le risque d’incident informatique ayant un impact important sur la fourniture des services à la population, ».

Cet amendement vise à préciser la définition d’agent agissant pour le compte des bureaux d’enregistrement afin de clarifier les agents soumis au présent projet de loi. La définition vise notamment à dresser une liste non exhaustive de ces agents qui inclurait les revendeurs de noms de domaine ainsi que les fournisseurs de services d’anonymisation ou d’enregistrement fiduciaire comme la prévoit la directive.

Après l’alinéa 2, insérer l’alinéa suivant :

« 1° bis Agent agissant pour le compte des bureaux d’enregistrement : toute personne physique ou morale agissant pour le compte d’un bureau d’enregistrement telle qu’un fournisseur de services d’anonymisation, un fournisseur de services d’enregistrement fiduciaire ou un revendeur de noms de domaine. »

Par mesure de clarification et de simplification de la rédaction, le présent amendement tend, d’une part, à utiliser directement au sein du 5° de l’article les définitions prévues aux 1° et 2° du même article et, d’autre part, à ajouter les agents agissant pour le compte de bureaux d’enregistrement dans la définition prévue au même 5°.

À l’alinéa 7, substituer aux mots :

« registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine »,

les mots :

« office d’enregistrement, d’un bureau d’enregistrement, d’un agent agissant pour le compte d’un bureau d’enregistrement ».

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

Après la première phrase de l’alinéa 90, insérer la phrase :

« Le mandat des membres de la commission mentionnés au 2° est de cinq ans, non renouvelable. »

Le présent amendement vise à clarifier le fait que les procédures de vérification des données n’ont pas pour objectif de s’assurer de l’exactitude de ces données au moment de leur collecte. En effet, les offices et bureaux d’enregistrement n’ont pas les capacités d’effectuer une telle vérification au moment même de la collecte pour l’ensemble des noms de domaine.

À la troisième phrase de l’alinéa 2, supprimer les mots : 

« lors de leur collecte ».

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement l’obligation de publication des données d’enregistrement qui n’ont pas de caractère personnel prévue à l’article 21 du projet de loi.

Après le mot : 

« enregistrement », 

insérer les mots : 

« , ainsi que les agents agissant pour le compte de ces derniers ».

Le présent amendement tend à compléter les prérogatives des agents et personnels en charge des contrôles des entités assujetties en ouvrant la possibilité de prélever des échantillons de produits.

En effet, la mise en œuvre du règlement n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité) impose la pratique de prélèvements d’échantillons de produit. De même, le règlement (UE) n°2019/881 du règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE nécessitent d’effectuer des prélèvements de produits afin de tester le respect des exigences techniques qui leur sont applicables. Dans ces conditions, le présent amendement tend à ouvrir la possibilité pour les agents contrôleurs de procéder à des prélèvements, dans des conditions directement inspirées de celles prévues aux articles L. 512-23 et L. 512-24 du code de la consommation.

Après l’alinéa 6, insérer l’alinéa suivant :

« 5° Prélever des échantillons de produits dans les conditions fixées par décret en Conseil d’État pour l’application des 1°, 2°, 4° et 5° de l’article 26. Les rapports d’essais ou d’analyses des échantillons prélevés peuvent être transmis aux personnes concernées. Dans le cadre de la recherche et de la constatation des manquements, les échantillons dont la non-conformité aux obligations et aux règlementations mentionnées aux 1°, 2°, 4° et 5° de l’article 26 n’a pas été établie sont restitués ou remboursés à leur valeur le jour du prélèvement toutes taxes comprises. »

Cet amendement a pour objet de tirer les conséquences de l’amendement n°XXXX, qui soumet les personnes morales dont leurs activités visées à l’article L. 1332-2 du code de la défense les ont exclues de la qualité d’entité essentielle ou importante aux obligations des articles 14 et 17, en les soumettant également au dispositif de sanction prévu à l’article 37 de la présente loi.

Il vise par ailleurs à remplacer la notion d’entité importante ou essentielle par la notion de personne concernée, dans la mesure où les personnes morales visées, qui ont été exclues de la qualité d’entité essentielle ou importante, ne sauraient dès lors être considérées comme des entités au sens de la directive et désignées comme telles au sein de cet article.

I. – À l’alinéa 2, après le mot :

« essentielles »

insérer les mots :

« , des personnes morales qui exercent des activités soumises à autorisation au titre de l’article 1333‑2 du code de la défense et qui, de ce fait, sont exclues, en tout ou partie de la qualification d’entité essentielle, pour ces seules activités ».

II. – Au même alinéa, substituer aux mots :

« l’entité essentielle »

les mots :

« la personne concernée »

III. – En conséquence, à l’alinéa 3, après le mot :

« importantes »

insérer les mots :

« et des personnes morales qui exercent des activités soumises à autorisation au titre de l’article 1333‑2 du code de la défense et qui, de ce fait sont exclues, en tout ou partie de la qualification d’entité importante, pour ces seules activités, »

IV. – En conséquence, au même alinéa, substituer aux mots :

« l’entité importante »

les mots :

« la personne concernée ».

Le présent amendement propose de clarifier la notion d’infrastructure critique utilisée dans la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (directive « REC »), dont la transposition est assurée par le présent projet de loi.

La directive « REC » adopte une définition de la notion d’infrastructure critique plus large que celle couvrant le périmètre actuel de la notion nationale de point d’importance vitale (PIV), bien connue et appréhendée par les opérateurs concernés.

Par conséquent, le Gouvernement avait fait le choix initial de conserver le périmètre actuel des PIV, et de concevoir ces derniers comme une catégorie spécifique d’infrastructure critique au sens de la directive, au même titre que les Systèmes d’information d’importance vitale (SIIV), tout en réservant la possibilité d’avoir des infrastructures critiques ne correspondant ni à des PIV, ni à des SIIV par l’emploi de l’adverbe « notamment ».

Toutefois, la multiplication, récente, des textes européens faisant référence à la notion d’infrastructure critique telle qu’elle apparaît dans la directive « REC » (Recommandation du Conseil du 25 juin 2024 relative à un schéma directeur visant à coordonner au niveau de l’Union la réponse en cas de perturbations des infrastructures critiques ayant une dimension transfrontière notable ; Règlement (UE) 2024/1309 du Parlement européen et du Conseil du 29 avril 2024 relatif à des mesures visant à réduire le coût du déploiement de réseaux gigabit de communications électroniques, modifiant le règlement (UE) 2015/2120 et abrogeant la directive 2014/61/UE (règlement sur les infrastructures gigabit) ; Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) ; Conclusions du Conseil portant sur la révision de la stratégie de sureté maritime de l’UE (SSMUE) et son plan d’action ; Recommandation (UE) 2024/779 de la Commission du 26 février 2024 pour des infrastructures de câbles sous-marins sûres et résilientes) rend de moins en moins pertinente et intelligible la distinction entre, d’une part, des infrastructures critiques qui correspondraient aux PIV ou aux SIIV, et d’autre part, des infrastructures critiques qui n’en seraient pas.

Pour des raisons de lisibilité, de clarté du champ d’application des textes européens au niveau national et de simplification, il apparaît souhaitable de lever toute ambiguïté en prévoyant d’élargir le périmètre de la notion de PIV en rendant le caractère non substituable de l’infrastructure comme un élément d’appréciation de son caractère sensible, pour qu’elle couvre entièrement celui des infrastructures critiques physiques. Les infrastructures non physiques (SIIV) ne nécessitent en revanche pas un même ajustement

Concrètement, cette précision qui étend sur le territoire national le champ de la notion de PIV ne devrait pas conduire à une augmentation substantielle de leur nombre, car tout en étant plus large, la notion d’infrastructure critique demeure extrêmement proche de celle de PIV, telle qu’actuellement définie dans le code de la défense.

I. – À l’alinéa 9, supprimer le mot : 

« notamment ».

II. – En conséquence, à l’alinéa 40, substituer aux mots : 

« points d’importance vitale et systèmes d’information d’importance vitale », 

les mots : 

« infrastructures critiques ».

III. – En conséquence, à l’alinéa 41, substituer aux mots : 

« points d’importance vitale ou aux systèmes d’information d’importance vitale »,

les mots : 

« infrastructures critiques ». 

Cet amendement vise à exclure explicitement du champ d’application de la directive NIS 2 les activités liées à la sécurité nucléaire, pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales tout en conservant leur assujettissement à un niveau d’exigence rigoureusement équivalent à celui prévu par la directive NIS 2.

La directive NIS 2 prend en compte cette possibilité à son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L.1333-2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L.1333-2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services. Ces entités pourront également faire l’objet de contrôles de l’autorité nationale de sécurité des systèmes d’information et faire l’objet des sanctions prévues à l’article 37.

À la première phrase de l’alinéa 1, après les mots :

« domaine de la défense »

insérer les mots :

« , les personnes morales qui exercent des activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense et qui, de ce fait, sont exclues en tout partie de la qualification d’entité essentielle ou importante, pour ces seules activités, ».

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à mettre l’article 37 du projet de loi en cohérence avec le changement de terminologie précité, en permettant à la commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense de statuer sur les manquements de ces acteurs aux dispositions qui leur sont applicables.

À l’alinéa 4, après le mot : 

« et des bureaux d’enregistrement »,

insérer les mots : 

« , ainsi que des agents agissant pour le compte de ces derniers ».

Si ce nouvel article introduit au Sénat prévoit que les entités financières essentielles et importantes (EE/EI) soumises à la directive DORA n'ont pas à appliquer la directive NIS 2 "dès lors que l'adoption de ces mesures et la notification de ces incidents ont un effet au moins équivalent à ces exigences", le gouvernement rappelle que cela ne remet pas en question la nécessité pour les entités financières soumises à DORA de s'enregistrer en tant que EE ou EI au titre de NIS 2.

Par ailleurs, il convient d’apporter deux modifications formelles relatives d’une part à une erreur de référence pour la directive NIS 2 et d’autre part à l’application de l’article à la Nouvelle-Calédonie, à la Polynésie française et aux îles Wallis et Futuna.

1° Substituer à la référence :

« directive (UE) 2022/1555 du Parlement européen et du Conseil du 14 décembre 2022 […] ,

la référence : 

« directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 […] » ;

2° Compléter cet article par la phrase :

« Le présent article est applicable à la Nouvelle-Calédonie, à la Polynésie française et aux îles Wallis et Futuna ».

Pour éviter une rupture d’égalité entre la métropole et les collectivités ultramarines du Pacifique régies par le principe de spécialité législative où toute création, modification ou abrogation d’articles métropolitains relevant de la sphère de compétence de l’Etat, en l’occurrence en matière bancaire et financière, il convient de rendre applicables les dispositions transitoires et l’entrée en vigueur différée concernant les sociétés de financement prévues à l’article 62 dans ces territoires.

Après l’alinéa 2, insérer l’alinéa suivant :

« Le présent article est applicable en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna. »

S’agissant des assurances de dommages aux biens, les risques de guerre sont légalement exclus de la garantie de l’assureur, sauf convention contraire, conformément à l’article L. 121-8 du code des assurances. Cette exclusion se justifie par le caractère inassurable d’une guerre qui constitue un risque de nature systémique limitant les possibilités de mutualisation. Par exception aux principes assurantiels, la charge de la preuve repose ici sur l’assuré qui doit démontrer l’absence de lien de causalité entre le sinistre et un fait de guerre étrangère.

L’Etat est compétent en matière assurantielle dans les îles Wallis et Futuna régies par le principe de spécialité législative. La modification de l’article L. 121-8 doit être rendue applicable dans ce territoire par mention expresse.

Cette exclusion légale, issue de la loi du 13 juillet 1930, a été conçue dans un contexte international marqué par le formalisme des déclarations de guerre et l’envoi de troupes et n’a pas été pensée pour des cyberattaques. La jurisprudence n’a de plus jamais défini cette notion de « guerre étrangère » au sens de l’article L. 121-8 du code des assurances. En conséquence, la loi ne prévoit pas expressément d’exclusion pour le risque d’attaques cyber d’origine étatique (« cyberguerre »). Dans le silence de la loi, des exclusions conventionnelles disparates commencent cependant à émerger dans les polices d’assurance, ce qui crée une insécurité juridique à la fois pour les assurés et les assureurs.

Un important travail de concertation entre la Direction générale du Trésor, l’ANSSI, l’ACPR, l’AMRAE et France Assureurs a permis d’aboutir à une rédaction consensuelle qui permet à la fois (i) d’assurer une sécurité juridique aux assureurs, (ii) d’inverser la charge de la preuve, (iii) d’améliorer la rédaction issue du sénat sans remettre en cause l’objectif poursuivi et (iv) de traiter un sujet identifié comme de plus en plus problématique pour le développement de l’assurance cyber.

Rédiger ainsi cet article :

« I. – Le second alinéa de l’article L. 121‑8 du code des assurances est remplacé par les dispositions suivantes :

« Lorsque ces risques ne sont pas couverts par le contrat :

« 1° L’assuré doit prouver que le sinistre résulte d’un fait autre que le fait de guerre étrangère. Toutefois, lorsque le sinistre résulte d’une atteinte à un système de traitement automatisé de données au sens des articles 323‑1 et suivants du code pénal, il appartient à l’assureur de prouver qu’il résulte d’une guerre étrangère.

« 2° Il appartient à l’assureur de prouver que le sinistre résulte de la guerre civile, d’émeutes ou de mouvements populaires. »

« II. – Après le troisième alinéa de l’article L. 194‑1 du même code, est inséré un alinéa ainsi rédigé :

« L’article L. 121‑8 est applicable dans les îles Wallis et Futuna dans sa rédaction résultant de la loi n° du       2025 ; ».

L’article 31 alinéa 1 doit prévoir des conditions de déclenchement de la phase d’instruction, compatibles avec la réalité opérationnelle des contrôles. Or, si c’est effectivement le cas lorsque de manière évidente les mesures de contrôle ont révélé un manquement, cela doit également être possible lorsque le constat de certains faits sont susceptibles de révéler un manquement qui n’est pas encore qualifié ou pleinement établi au moment de l’ouverture de l’instruction. Dans certaines hypothèses, la qualification d’un manquement nécessitera des mesures d’instructions approfondie assorties de mesures de contrôle complémentaires, le cas échéant.

Ainsi, la phase d’instruction permettra la qualification de certains faits au regard des règlementations mentionnées à l’article 26 justement pour déterminer si des manquements peuvent être identifiés.

C’est pourquoi, il apparaît important de ne pas limiter l’ouverture de la phase d’instruction uniquement aux manquements constatés et qualifiés dans le cadre des mesures de contrôle.

À l’alinéa 1, substituer aux mots :

« Lorsqu’un manquement ou une suspicion de manquement aux obligations mentionnées à l’article 26 apparaît au terme d’un contrôle réalisé en application de la section 1 »,

les mots :

« Au vu des résultats du contrôle réalisé en application des dispositions de la section 1 ».

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).

Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les entités assujetties à NIS2 et, sur base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

Les collectivités ultramarines du Pacifique que sont la Nouvelle-Calédonie, la Polynésie française et les îles Wallis et Futuna régies par le principe de spécialité législative où toute création, modification ou abrogation d’articles métropolitains relevant de la sphère de compétence de l’Etat, en l’occurrence en matière bancaire et financière, doivent être rendues applicables par mention expresse.

Rédiger ainsi cet article :

« I. - Après l’article L. 612‑24 du code monétaire et financier, il est inséré un article L. 612‑24‑1 ainsi rédigé :

« Art. L. 612‑24‑1. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b du 2° du A du I de l’article L. 612‑2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information.

« III. – Les déclarations et notifications mentionnées au I et au II du présent article sont réalisées par le biais d’un document unique transmis simultanément à l’Autorité de contrôle prudentiel et de résolution et à l’autorité nationale de sécurité des systèmes d’information. »

« II. – Au tableau du I des articles L. 783‑2, L. 784‑2 et L. 785‑2 du même code, après la ligne :

« 

 »

est insérée la ligne suivante :

«

 ».

Cet amendement tend, à titre principal, à tirer les conséquences de précédents amendements, qui excluent les personnes morales dont leurs activités visées à l’article L. 1332-2 du code de la défense du champ de la directive NIS 2 tout en garantissant leur assujettissement à un niveau d’exigence équivalent. Il vise ainsi à soumettre ces personnes aux mesures consécutives à un contrôle prévues à l’article 33 de la présente loi. 

Il vise par ailleurs à remplacer la notion d’entité par la notion de personne concernée, dans la mesure où les personnes morales visées ci-dessus, qui ont été exclues de la qualité d’entité essentielle ou importante, ne sauraient dès lors être considérées comme des entités au sens de la directive et désignées comme telles au sein de cet article.

Cet amendement vise enfin à simplifier la rédaction de l’alinéa 3 de l’article 33 en supprimant la mention des articles 8 à 10.

1° À la première phrase de l’alinéa 3, après les mots :

« entité essentielle »

insérer les mots :

« ou une personne morale qui exerce des activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense et qui, de ce fait, est exclue, en tout ou partie, de la qualification d’entité essentielle, pour ces seules activités, »

2° À la première phrase du même alinéa, supprimer les mots :

« au sens des articles 8 et 10 de la présente loi »

3° Au même alinéa, substituer aux deux occurrences des mots :

« l’entité »

les mots :

« la personne contrôlée ».

Le présent amendement tend à supprimer la certification par l’ANSSI des services de coffre-fort numérique, pour trois raisons.

Premièrement, les dispositions prévues aux 1° à 5° de cet article et précisées dans les décrets no 2018-418[1] et no 2018-853[2] permettent de garantir un niveau de sécurité minimal, jugé suffisant par l’ANSSI, pour les services de coffre-fort numérique s’accompagnant d’un régime de sanction porté par l’article L. 122-22 du code de la consommation.

De plus, la certification de ces services de coffre-fort numérique, introduite à l’avant-dernier alinéa de l’article L. 103 du code des postes et des communications électroniques, n’est pas obligatoire pour les fournisseurs de tels services. Par ailleurs, aucun cas d’usage nécessitant le recours à un service de coffre-fort numérique certifié n’est identifié. Par conséquent, aucun autre cadre légal ou règlementaire ne prévoit d’imposer le recours à de tels services certifiés.

Enfin, la mise en place d’une telle certification représente un coût aussi bien pour l’administration que pour les fournisseurs de services de coffre-fort numérique qui souhaiterait bénéficier de cette certification. En effet, c’est l’administration et particulièrement l’ANSSI qui a la responsabilité, en lien avec le COFRAC, de mettre en œuvre le schéma lié à la certification des services de coffre-fort numérique et, une fois ce schéma mis en œuvre, de procéder à la certification desdits services. Pour les fournisseurs de ces services, la certification représente un coût significatif lié à la mise en conformité aux exigences prévues par le cahier des charges mentionné par l’avant-dernier alinéa de l’article L. 103 du CPCE d’une part et un coût lié au processus de certification d’autre part.

[1] Décret no 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique

[2] Décret no 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique

Rédiger ainsi cet article :

« L’article L. 103 du code des postes et des communications électroniques est ainsi modifié :

« 1° l’avant dernier alinéa est supprimé.

« 2° Au dernier alinéa, les mots : « et de sa certification par l’État » sont supprimés.

Cet amendement a pour objectif d’inclure les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux dans le périmètre du projet de loi.

Après l’alinéa 15, insérer les deux alinéas suivants :

« g) bis Les établissements publics de santé au sens de l’article L. 6141‑1 du code de la santé publique ;

« g) ter Les établissements et services sociaux et médico-sociaux au sens de l’article L. 312‑1 du code de l’action sociale et des familles ; ».

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à s’assurer de l’intégration des agents agissant pour le compte des bureaux d’enregistrement à la liste des entités établie par l’autorité nationale de sécurité des systèmes d’information, en conformité avec la directive tout en tenant compte de l’adaptation de terminologie entre la directive et le projet de loi.

I. – À l’alinéa 1, substituer aux mots :

« et des bureaux d’enregistrement »,

les mots :

« , des bureaux d’enregistrement et des agents agissant pour le compte de ces derniers ».

II. – Au même alinéa, substituer aux mots :

« et bureaux d’enregistrement »,

les mots :

« , bureaux d’enregistrement et agents agissant pour le compte de ces derniers ».

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations prévues à l’article 20 du projet de loi portant sur la durée de conservation des données relatives à chaque nom de domaine.

Après le mot : 

« enregistrement », 

insérer les mots : 

« , ainsi que les agents agissant pour le compte de ces derniers ».

Cet amendement a pour objectif d’aligner, par cohérence, les conditions et garanties quant à la nomination des personnalités qualifiées sur celles prévues pour la composition de la commission des sanctions mentionnée au titre 1er. Il vise également à ne pas limiter le champ des personnes dont la compétence en matière cyber est avérée pour éclairer la décision de la commission des sanctions, alors qu’un mécanisme de déport permettrait, lorsque le dossier l’impose, de répondre au risque de conflit d’intérêts, à l’instar de ce qui existe dans d’autres instances prononçant des sanctions. Alors que d’autres moyens de lutter contre les conflits d’intérêts existent, il paraît ainsi disproportionné de prévoir des incompatibilités qui conduiraient à se priver de potentiels candidats au profil pourtant intéressant.

Supprimer la seconde phrase de l’alinéa 3. 

Cet amendement vise à transposer le 8. de l’article 2 de la directive dite NIS 2[1] qui permet aux Etats membres d’exempter des entités spécifiques qui exercent dans les domaines visés par cette disposition, de certaines obligations, notamment en matière de gestion des risques et de notification d’incidents importants. Cette disposition permettrait, de manière exceptionnelle, et lorsque le niveau d’exigences en matière de cybersécurité sera au moins équivalent pour ces entités qu’elles ne soient pas soumises à certaines obligations. 

[1] DIRECTIVE (UE) 2022/2555 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)

Compléter cet article par l’alinéa suivant :

« II. – Le Premier ministre peut, par arrêté, exempter certaines personnes mentionnées à l’article 14 de la présente loi qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou ainsi que de la répression pénale, ou qui fournissent des services exclusivement aux administrations de l’État et leurs établissements publics à caractère administratif exerçant ces activités, de certaines obligations prévues par les articles 14 et 17 de la présente loi, en ce qui concerne ces activités ou services. »

L’amendement a pour objectif d’appliquer le règlement UE n° 2024/2847, dit CRA (CyberResilienceAct) visant à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique, qui entrera prochainement en vigueur en droit national. 

Il ouvre en particulier la possibilité aux agents de l’ANSSI d’effectuer des contrôles pour rechercher les manquements au règlement CRA.

Après l’alinéa 6, insérer l’alinéa suivant :

« 6°Aux articles 39, 41, 47 et 49 du règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (UE) no 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 ; ».

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

À l’alinéa 83, supprimer le mot :

« respectivement »,

et les mots :

« , le président de l’Assemblée nationale et le président du Sénat ».

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à étendre aux agents agissant pour le compte des bureaux d’enregistrement les dispositions de l’article 25, en cohérence avec l’intégration des bureaux d’enregistrement au sein de cet article. Cette intégration se justifie par ailleurs par le besoin opérationnel de l’autorité nationale de sécurité des systèmes d’information pour éviter ou remédier à un incident.

I. – À l’alinéa 1, après les mots : 

« et des bureaux d’enregistrement », 

insérer les mots : 

« , ainsi que des agents agissant pour le compte de ces derniers ».

II. – Au même alinéa, après les mots : 

« ou au bureau d’enregistrement », 

insérer les mots : 

« ainsi que des agents agissant pour le compte de ces derniers ».

L’article 1er institue une commission des sanctions contre les opérateurs qui manqueraient à leurs obligations. Cet amendement vise à consacrer l’application du principe du contradictoire tout au long de la procédure devant cette commission.

La commission pourra infliger des sanctions lourdes avec des amendes allant jusqu’à 2 % du chiffre d’affaires annuel mondial d’une entreprise. Dans ces conditions, il est nécessaire d’inscrire explicitement dans la loi le principe du contradictoire. Le décret d’application devra prévoir des garanties suffisantes, l’opérateur devra notamment pouvoir être à même de consulter le dossier établi à son encontre et il devra aussi pouvoir présenter des observations écrites et orales.

À la première phrase de l’alinéa 87, substituer aux mots :

« La commission des sanctions »,

les mots :

« La procédure devant la commission des sanctions est contradictoire, elle ».

Cet amendement procède à une réécriture quasi complète de l'article 15 afin de clarifier les conditions dans lesquelles seront reconnues les normes et spécifications techniques, europénnes ou interationales permettant aux entités régulées de démontrer leur conformité toute ou partie aux objectifs visés. Il vise par ailleurs à faciliter, pour les entités établies dans plusieurs pays au sein de l’Union européenne, la reconnaisance de leur conformité de tout ou partie des objectifs visés lorsqu’elles appliquent un autre référentiel que celui de l’ANSSI.

I. – À l’alinéa 1, substituer aux mots :

« celle-ci »,

les mots :

« l’autorité nationale de sécurité des systèmes d’information ».

II. – Après l’alinéa 1, insérer les cinq alinéas suivants :

« Lorsque ces personnes bénéficient d’un label de confiance approuvé par l’autorité nationale de sécurité des systèmes d’information, elles sont présumées conformes jusqu’à preuve du contraire, à ces mêmes objectifs. Ce label est sans préjudice de l’exercice des missions et pouvoirs de contrôle prévus au chapitre III des agents et personnels mentionnés à l’article 26.

« Un décret en Conseil d’État précise :

« 1° Les conditions de reconnaissance de l’équivalence des normes et des spécifications techniques, européennes ou internationales pour la sécurité des réseaux et des systèmes permettant aux personnes mentionnées au premier alinéa de l’article 14 de démontrer leur conformité à tout ou partie des objectifs visés au septième alinéa du même article.

« 2° Les conditions de reconnaissance de l’équivalence de normes en matière de sécurité des réseaux et des systèmes d’information adoptées par des États membres en application de l’article 21 de la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du conseil du 14 décembre 2022 permettant aux entités essentielles ou importantes qui fournissent des services dans ces États membre et auraient, dans ces derniers, la qualification d’entité importante ou essentielle, de démontrer leur conformité à tout ou partie des objectifs visés au septième alinéa de l’article 14.

« Ce décret fixe les modalités de concertation des ministères, des représentants des entités concernées et des associations d’élus pour les conditions mentionnées au cinquième alinéa du présent article. »

III. – En conséquence, à l’alinéa 1, substituer à la première occurrence du mot :

« à »,

le mot :

« au premier alinéa de ».

IV. – En conséquence, à l’alinéa 1, substituer au mot :

« sixième »,

le mot :

« huitième ».

V. – En conséquence, à l’alinéa 1, substituer aux mots :

« même sixième »,

le mot :

« septième ».

VI. – En conséquence, à la fin de l’alinéa premier, supprimer les mots :

« , le cas échéant au moyen d’un label de confiance approuvé par elle ». 

La directive (UE) 2022/2555 dite NIS 2 souligne le rôle central des politiques de cyberhygiène dans la prévention et la résilience face aux cybermenaces.Ces politiques reposent sur une base commune de pratiques telles que la mise à jour régulière des logiciels et matériels, le renouvellement des mots de passe, la sécurisation des nouvelles installations, la limitation des droits d’accès de niveau administrateur et la sauvegarde systématique des données. Elles constituent le socle d’un cadre proactif de préparation et de sûreté globale.
 
La directive rappelle également que la sensibilisation à la cybersécurité et à la cyberhygiène est indispensable, compte tenu de la multiplication des dispositifs connectés désormais exploités dans les cyberattaques. Des efforts particuliers doivent donc être déployés afin d’améliorer la prise de conscience des risques, de renforcer la culture de cybersécurité et d’harmoniser les évaluations au niveau européen.
 
Enfin, l’ENISA (Agence de l’Union européenne pour la cybersécurité) a pour mission de suivre et d’analyser les politiques des États membres en matière de cyberhygiène.
 
Au regard de ces éléments, il apparaît nécessaire d’intégrer explicitement à la stratégie nationale de cybersécurité des orientations en matière de cyberhygiène afin de garantir la cohérence avec les exigences européennes et de doter les acteurs publics comme privés des outils indispensables à la prévention des incidents et à la résilience collective.

Après l’alinéa 9, insérer l’alinéa suivant :

« 5° quater Les orientations sur les bonnes pratiques de cyberhygiène ; ».

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).
 
Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les entités assujetties à NIS2 et, sur base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.
 
Les collectivités ultramarines du Pacifique que sont la Nouvelle-Calédonie, la Polynésie française et les îles Wallis et Futuna régies par le principe de spécialité législative où toute création, modification ou abrogation d’articles métropolitains relevant de la sphère de compétence de l’Etat, en l’occurrence en matière bancaire et financière, doivent être rendues applicables par mention expresse.

Rédiger ainsi cet article :

« I. – Après l’article L. 612‑24 du code monétaire et financier, il est inséré un article L. 612‑24‑1 ainsi rédigé :

« Art. L. 612‑24 -1. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b) du 2° du A du I de l’article L. 612 2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

« II. – Au tableau du I des articles L. 783‑2, L. 784‑2 et L. 785‑2 du même code, après la ligne :

« 

 »

est insérée la ligne suivante :

« 

 ».

De nombreux responsables sécurité des systèmes d’information (RSSI), en particulier dans le secteur hospitalier, alertent sur une faille majeure du dispositif actuel : les éditeurs de logiciels ne sont soumis à aucune obligation de sécurité ni à aucune autorité de contrôle. Ainsi, lorsqu’une vulnérabilité est découverte dans un logiciel utilisé par un établissement de santé, rien n’impose à l’éditeur de mettre en œuvre dans des délais raisonnables les correctifs nécessaires, exposant directement l’hôpital à des risques de cyberattaque et de paralysie de ses systèmes critiques.
 
Or, le considérant 85 de la directive NIS 2 souligne explicitement que les éditeurs de logiciels constituent un maillon essentiel de la chaîne d’approvisionnement numérique et que leurs produits sont régulièrement exploités par des acteurs malveillants pour compromettre la sécurité des réseaux et systèmes d’information.
 
Afin de répondre à cette vulnérabilité structurelle, le présent amendement propose d’étendre les obligations de cybersécurité prévues par la directive NIS 2 aux éditeurs de logiciels. Cette évolution permettra d’imposer des exigences minimales de sécurité dès la conception et le développement des produits, mais aussi de prévoir une capacité d’intervention et de contrôle par l’autorité compétente (ANSSI).
 
En intégrant les éditeurs de logiciels dans le champ d’application, il s’agit de protéger les établissements de santé et plus largement les entités essentielles contre des risques aujourd’hui avérés, en garantissant que les produits dont ils dépendent respectent un socle commun de sécurité et que les éditeurs assument pleinement leurs responsabilités en cas de faille critique.

Compléter l’alinéa 7 par les mots :

« et les éditeurs de logiciels ; ».

L’article 22 du présent projet de loi vient transposer l’article 28 de la Directive NIS 2, notamment pour organiser les modalités d’accès aux données d’enregistrement des noms de domaine collectées par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser le champ des « demandeurs d’accès légitimes » conformément à la Directive.

En l’état du présent article, l’accès aux informations est limité aux agents habilités « par l’autorité judiciaire pour les besoins des procédures pénales » ainsi qu’à l’ANSSI. Il s’agit d’une restriction de la portée de l’article 28 de la Directive et singulièrement de son Considérant 110 qui définit les demandeurs d’accès légitimes comme « toute personne physique et morale qui formule une demande en vertu du droit de l’Union ou du droit national » sur demande motivée.

Le présent amendement précise que, dans le cadre d’infractions au droit de la propriété intellectuelle, certains agents spécialement habilités sont légitimes à solliciter un accès aux données d’enregistrement des noms de domaines. Il s’agit en particulier (outre les agents déjà désignés par le présent article) : 

• des agents assermentés mentionnés à l’article L.331.2 du code de la propriété intellectuelle, c’est-à-dire des agents d’organismes autorisés par la loi à dresser des procès-verbaux constatant des faits susceptibles d’une qualification pénale au titre de leur mission de lutte contre la contrefaçon ;
• des commissaires de justice de l’article 1 de l’ordonnance 2016-728 du 2 juin 2016 modifiée par la loi n° 2023-1059 du 20 novembre 2023, c’est-à-dire des auxiliaires de justice qualifiés par la loi à dresser ces mêmes procès-verbaux, dans le cas présent, en matière d’atteinte aux droits de la propriété intellectuelle.

Cette précision du champ ne saurait se traduire par une charge disproportionnée dès lors qu’il s’agit pour les offices et bureaux d’enregistrement de communiquer des informations qui figurent dans leur base et au bénéfice de personnes qui sont habilitées par la loi à agir.

La finalité de cet amendement est bien de combattre les utilisations abusives du système d’enregistrement de noms de domaine pour mener des activités illégales et préjudiciables : il vise donc à permettre une effectivité du droit d’accès aux données des noms de domaine afin de garantir l’application du droit national comme du droit de l'Union.

I. – Après l’alinéa 1, insérer l’alinéa suivant :

« Afin de permettre la détection de faits et de circonstances caractérisant une violation de droits consacrés par le code de la propriété intellectuelle susceptible d’une qualification pénale, les agents mentionnés à l’article L. 331‑2 dudit code et les auxiliaires de justice qualifiés par la loi à dresser des procès-verbaux constatant ces faits et circonstances peuvent obtenir des offices et bureaux d’enregistrement, sur production des constats effectués, les données mentionnées à l’article 20. »

II. – En conséquence, à la fin de la première phrase de l’alinéa 2, substituer aux mots :

« au premier alinéa »,

les mots :

« aux premier et deuxième alinéas ».

Cet amendement vise à préciser la liste des données qui doivent être récupérées par les bureaux et offices d'enregistrement dans le cadre de leur mission de collecte des données afférentes à l'enregistrement des noms de domaines : la liste de ces données reprend a minima celles mentionnées à l’article 28.2 de la directive NIS 2 en y ajoutant les « adresses postales » des titulaires et points de contact du nom de domaine.

A défaut de ces précisions apportées par le présent amendement, le décret d’application devra indiquer la nécessité de la collecte de l’adresse postale des titulaires et points de contact.

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

Cet amendement vise à spécifier le contenu du décret afférent à l'article 19, qui devra ainsi préciser les procédures de vérification des données d'enregistrement des noms de domaine menées par les bureaux et offices d'enregistrement. 

Ainsi, ces procédures devront : 

• être « ex ante » au moment de l’enregistrement et « ex post » après l’enregistrement, afin de garantir le maintien des bases de données exactes et complètes ;
• tenir compte des normes élaborées par les structures de gouvernance multiparties au niveau international et viser les meilleures pratiques en matière d’identification électronique ;
• comprendre la vérification d’au moins un moyen de contact du titulaire ou du service tiers (conformément au même Considérant).

Compléter l’alinéa 3 par les mots :

« et précise les procédures de vérification des données d’enregistrement des noms de domaine. »

Au cours de son audition, le secrétaire général de la défense et de la sécurité nationale, M. Nicolas Roche, a mis en avant les enjeux relatifs à la dépendance accrue envers certains fournisseurs numériques. Cet amendement introduit une obligation de réversibilité et de portabilité pour les services cloud utilisés par les opérateurs essentiels. Il vise à assurer la continuité des services critiques, prévenir le verrouillage technique et renforcer la souveraineté numérique, en cohérence avec la doctrine de l’ANSSI et les initiatives européennes.

Les fournisseurs de services d’informatique en nuage et les personnes qui y recourent pour des services essentiels mettent en œuvre des mesures garantissant la réversibilité et la portabilité des données et des services.

À ce titre, ils doivent :

1° Établir et tenir à jour un plan de réversibilité précisant les conditions techniques et contractuelles permettant la migration vers un autre environnement ;

2° Prévoir des mécanismes documentés d’export et de reconstitution des données et configurations, sans dépendances exclusives ;

3° Garantir l’accès aux journaux et métadonnées nécessaires à la reconstitution de service ;

4° Assurer que les sauvegardes critiques ne sont pas exclusivement sous le contrôle d’un seul prestataire.

Les modalités d’application du présent article sont précisées par décret ou référentiel de sécurité. 

Certains titulaires de noms de domaine recourent à des services leur permettant de rendre anonymes leurs données personnelles, rendant ainsi toute action judiciaire à leur encontre difficile, voire impossible. Pour répondre à cette situation, la directive NIS2 prévoit donc que dans le cadre de leur mission de collecte des données afférentes à l'enregistrement des noms de domaines, les bureaux et offices d'enregistrement récupèrent bien l'ensemble des informations relatives au titulaire du nom de domaine, même lorsque celui-ci recourt à un services tiers.

Cet amendement vise à garantir la transposition effective de cette mesure prévue par la directive NIS2.

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

Cet amendement vise à transposer fidèlement la directive NIS2 en mettant en cohérence la dénomination des vulnérabilités.

I. – À l’alinéa 15, substituer au mot :

« critiques »,

le mot :

« importantes ».

II. – À la première phrase de l’alinéa 17, substituer au mot :

« critique »,

le mot :

« importante ».

L’article 28 du projet de loi prévoit que la personne contrôlée doit coopérer avec l’ANSSI, tout manquement étant passible d’une amende administrative. Le texte ne distingue toutefois pas entre entités essentielles et entités importantes, contrairement à la directive NIS2 qui établit une différenciation des sanctions selon la catégorie d’entité.

Cet amendement vise à distinguer les sanctions en fonction de la catégorie d’entité concernée, et de transposer ainsi fidèlement la directive NIS2.

À l’alinéa 2, après les mots :

« ne peut excéder »,

rédiger ainsi la fin de l’alinéa :

« 1° Pour les entités essentielles, dix millions d’euros ou 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu ;

« 2° Pour les entités importantes, sept millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu. »

L’article 27 du projet de loi confère aux agents de l’ANSSI la faculté, lors de contrôles, d’accéder aux systèmes d’information et aux données d’une entité, sans que celle-ci puisse invoquer le secret des affaires. Une telle prérogative touche pourtant des éléments sensibles, essentiels à la compétitivité et à la stratégie des entreprises. Il apparaît donc indispensable d’encadrer davantage ce droit d’accès afin de préserver la confidentialité des informations commerciales les plus critiques.

Cet amendement vise à par conséquent d’introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.

À l’alinéa 5, après le mot : 

« Accéder »,

insérer les mots :

« , lorsque cela est directement nécessaire à l’accomplissement de leur mission, ».

L’article 8 du présent projet de loi précise les entités essentielles les entités essentielles concernées par les mesures de la directive NIS2 selon notamment des critères de taille de l’effectif et du chiffre d’affaires annuel.

Cet amendement vise à aligner la rédaction du présent projet de loi sur la directive NIS2 afin d'obtenir une transposition stricte.

À l’alinéa 2 :

1° Substituer au mot :

« ou » ,

le mot : 

« et ».

2° Substituer au mot :

« et »,

le mot : 

« ou ».