Résilience des infrastructures critiques et renforcement de la cybersécurité

Amendement de repli par rapport au n° CS242. 

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents majeurs liés aux TIC et les notifications volontaires des cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).

Contrairement à la rédaction adoptée par le Sénat, une communication simultanée et par le biais d’un formulaire unique est toutefois prévue au bénéfice de l’Agence nationale de sécurité des systèmes d’information (ANSSI), de manière obligatoire pour les entités assujetties au titre II du projet de loi et sur une base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

Cette rédaction permet de concilier la simplification des démarches à accomplir par les entreprises concernées tout en permettant l’intervention rapide de l’ANSSI.

En effet, une transmission à la seule ACPR engendrerait des délais importants, notamment en cas d’incidents nocturnes ou le week-end, l’ACPR ne disposant ni d’un système d’astreinte ni d’un portail de déclaration accessible en continu, contrairement à l’ANSSI. Ces délais peuvent être très préjudiciables dans le cadre de la gestion d’incidents cyber majeurs. Certains incidents peuvent affecter directement la situation prudentielle d’un établissement ou perturber la continuité de ses services essentiels. Dans ce contexte, une information directe et simultanée des autorités financières est indispensable pour permettre une réaction rapide, prévenir tout risque de contagion et sécuriser les intérêts des clients.

Rédiger ainsi cet article :

« I. - Après l’article L. 612‑24 du code monétaire et financier, il est inséré un article L. 612‑24‑1 ainsi rédigé :

« Art. L. 612‑24‑1. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b du 2° du A du I de l’article L. 612‑2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information.

« III. – Les déclarations et notifications mentionnées au I et au II du présent article sont réalisées par le biais d’un document unique transmis simultanément à l’Autorité de contrôle prudentiel et de résolution et à l’autorité nationale de sécurité des systèmes d’information. »

« II. – Au tableau du I des articles L. 783‑2, L. 784‑2 et L. 785‑2 du même code, après la ligne :

« 

 »

est insérée la ligne suivante :

«

 ».

Amendement de repli par rapport aux amendements CS242 et CS244.

Cet amendement a le même objet que l’amendement n°531 mais concerne les déclarations des entités financières qui relèvent de la compétence de l’Autorité des marchés financiers.

Rédiger ainsi cet article :

« I. – Après l’article L. 621‑9‑3 du code monétaire et financier, il est inséré un article L. 621‑9‑4 ainsi rédigé :

« Art. L. 621‑9‑4. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité des marchés financiers adressent à l’Autorité des marchés financiers leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité des marchés financiers leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

« III. – Les déclarations et notifications mentionnées au I et au II du présent article sont réalisées par le biais d’un document unique transmis simultanément à l’Autorité des marchés financiers et à l’autorité nationale de sécurité des systèmes d’information. »

"II.- Au tableau du I des articles L. 783-8, L. 784-8 et L. 785-7 du même code, après la ligne :

« 

l
»

est insérée la ligne suivante :

« 

».

Cet amendement vise à prévoir l’établissement d’un référentiel de bonnes pratiques et un annuaire d’auditeurs approuvés par une autorité indépendante, à l’instar de l’ANSSI ou de l’ACPR, pour réaliser, à la demande des entités financières, les inspections prévues au chapitre V du règlement DORA relatif à la gestion des risques liés aux prestataires tiers de services de technologies de l’information et de la communication (TIC).

Ce nouveau cadre de gestion oblige en effet les entités financières à prévoir des obligations plus strictes dans la contractualisation avec leurs prestataires de services TIC (dont les opérateurs télécoms par exemple).

Dès lors, elles pourraient se voir soumettre à des audits pour vérifier la conformité de leurs prestations de services avec les exigences contractuelles de leurs clients qui eux-mêmes sont soumis au règlement DORA. Il peut être redouté que celles aient à communiquer des données sensibles, voire fassent l’objet d’enquêtes intrusives de la part de cabinet d’audit étrangers, quand bien même ils le feraient pour le compte d’une entité financière française. 

Certes, la loi n° 68‑678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères interdit déjà de communiquer des informations de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public. Cependant, un référencement indépendant permettrait d’éviter ces risques et faciliterait le travail des prestataires tiers de service TIC.

Sans préjudice des articles 28 à 31 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, l’autorité compétente publie un référentiel de bonnes pratiques et tient à jour un annuaire non exclusif de prestataires référencés aptes à réaliser, à la demande des entités financières, des audits et inspections auprès des prestataires de services des Technologies de l’Information et de la Communication.

Cet amendement tire les conclusions de la réécriture de l'article 43 A en cas d'adoption de l'amendement n° CS242.

Supprimer cet article.

Amendement rédactionnel.

À l’alinéa unique :

1° Supprimer les mots : 

« , en particulier, » ;

2° Substituer aux mots : 

« conformément au », 

les mots : 

« en application du ».

Amendement rédactionnel.

À l’alinéa unique : 

1° Supprimer les mots : 

« , en particulier, » ;

2° Substituer aux mots : 

« conformément au », 

les mots : 

« en application du ».

Amendement de coordination. Il tient compte de plusieurs modifications du Sénat (art. 49 bis, article 53) et corrige des erreurs de référence.

I. – Aux alinéas 2 et 3, substituer aux deux occurences du chiffre :

« 14° »

le chiffre : 

« 15° ».

II. – À l’alinéa 7, substituer au mot : 

« première » 

le mot : 

« quatrième ». 

III. – Après l’alinéa 20, insérer l’alinéa et le tableau suivants :

« 9° bis La dix-septième ligne du tableau du I des articles L. 773‑29, L. 774‑29 et L. 775‑23 du code monétaire et financier est ainsi rédigée :

IV. – Supprimer les alinéas 28 et 29.

Amendement rédactionnel.

À l’alinéa 3 :

1° Supprimer les mots :

 « À l’exception de celles qui gèrent des fonds d’investissement alternatifs relevant du IV de l’article L. 532‑9 ou des fonds d’investissement alternatifs relevant du I de l’article L. 214‑167, » ;

2° Compléter l’alinéa par la phrase suivante : 

« Le présent 6° n’est pas applicable aux sociétés de gestion de portefeuille qui gèrent des fonds d’investissement alternatifs relevant du IV de l’article L. 532‑9 ou des fonds d’investissement alternatifs relevant du I de l’article L. 214‑167. »

Cet amendement du groupe Socialistes et apparentés vise à garantir le fait que l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au stade de la collecte, en cohérence avec l’article 28 de la Directive NIS 2 qui prévoit la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (art. 28.2 (d)). 

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute action judiciaire. 

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

Le présent amendement vise deux objectifs. 

D’une part, il s’agit de rétablir le principe d’une entrée en application différenciée entre les plus grandes sociétés de financement et les autres entreprises de ce type. Les plus grandes sociétés de financement exercent, pour certaines, des activités critiques pour le secteur financier français et devraient être assujetties dès la promulgation de la présente loi à des standards élevés en matière de résilience et de cybersécurité. Les autres sociétés de financement, de taille modeste, devraient bénéficier d’un report de l’entrée en application de ces exigences dans le cadre d’un calendrier de mise en conformité proportionné. La rédaction du Sénat reportait l'entrée en vigueur à l'ensemble des sociétés de financement sans distinction de taille.

D’autre part, le présent amendement vise à rétablir une date d’assujettissement des petites sociétés de financement dans des délais plus adaptés, assurant qu’à moyen terme l’ensemble du secteur financier français applique un niveau d’exigences cohérent. Le 1er janvier 2030 apparaît dans cette optique comme un horizon trop lointain et l’ampleur de cette différenciation est inéquitable par rapport à d’autres acteurs du secteur financier distribuant des services comparables aux sociétés de financement. Dans un souci d’égalité de traitement, l’échéance du 17 janvier 2027 du présent amendement offre deux ans aux petites sociétés de financement pour se préparer aux exigences de DORA, à l’instar des délais qui avaient été offerts par le règlement DORA aux établissements de crédit.

Enfin, une entrée en application différée à un horizon aussi lointain que 2030 apparaît contraire au principe du droit français d’équivalence des exigences prudentielles entre sociétés de financement et établissements de crédit. Cette équivalence est profitable aux sociétés de financement dont les expositions bénéficient à ce titre d’un traitement prudentiel aussi favorable que celui-ci des expositions auprès des banques en application de l’article 119 du règlement « CRR ». Dans le cas où cette équivalence devait être questionnée, les sociétés de financement pourraient perdre le bénéfice de cette dérogation prudentielle. 

Cette nouvelle rédaction ne revient pas sur la rédaction du second alinéa introduit par le Sénat spécifiant que les sociétés de financement de petite taille et non complexe se conforment aux exigences de DORA en application du principe de proportionnalité.

À la seconde phrase de l’alinéa 1, substituer aux mots : 

« sont applicables à compter du 1^er janvier 2030 aux sociétés de financement », 

les mots : 

« ne sont applicables aux sociétés de financement remplissant les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) n° 648/2012 qu’à compter du 17 janvier 2027 ».

Amendement rédactionnel.

À l’alinéa 2 : 

1° Supprimer les mots : 

« en charge » ;

2° Supprimer les mots : 

« afin d’assurer, en particulier, le respect de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité et du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 ».

Amendement rédactionnel.

À la phrase unique de l’alinéa 4, substituer au mot :

« conformément » 

le mot :

« prévus ».

Cet amendement du groupe Socialistes et apparentés vise à préciser le périmètre des « entités importantes », en excluant les communautés de communes dont la population regroupée est inférieure à 30 000 habitants. 

Comme l’a indiqué le Conseil d’État dans son avis N° 408329 rendu le 6 juin 2024, le Gouvernement a « mobilisé dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions (…) ». Le Conseil d’État précise que « ces choix trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité ». 

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des certaines collectivités territoriales, malgré les précisions apportées lors de l’examen au Sénat concernant les communautés d’agglomérations. 

Alors que les nouvelles obligations imposées par ce projet de loi entraîneront des charges supplémentaires pour les collectivités, le coût afférent n’a pas été évalué. En effet, aucune étude d’impact n’a pu proposer jusqu’à aujourd’hui d’évaluation chiffrée des conséquences sur le plan financier et celui des ressources humaines pour les entités concernées. Dans le même temps, les collectivités sont appelées à maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières. 

Par ailleurs, généralement situées en zone rurale, les communautés de communes regroupant moins de 30 000 habitants sont particulièrement confrontées à la « pénurie de main d’oeuvre dans le secteur de la cybersécurité » (RNS 2025) ; pénurie marquée par un manque de près de 40 000 voire 60 000 personnels dans ce domaine. 

C’est pourquoi le présent amendement propose d’exclure du périmètre des « entités importantes » les communautés de communes qui regroupent un ensemble de moins de 30 000 habitants. Dans cette hypothèse, 211 (sur 990) communautés de communes resteraient assujetties au statut d’ « entité importante ». 

Le groupe Socialistes et apparentés sera également particulièrement attentifs à ce que la stratégie nationale en matière de cybersécurité précise les modalités de soutien – opérationnel et budgétaire – aux collectivités territoriales et à leurs groupements, comme mentionné à l’article 5bis du présent projet de loi. 

À l’alinéa 5, après le mot : 

« communes », 

insérer les mots :

« regroupant un ensemble de 30 000 habitants et plus ».

Amendement rédactionnel.

I. – À la seconde phrase de l’alinéa 3, substituer aux mots : 

« conformément à » 

les mots : 

« en application de ».

II. – À l’alinéa 5, substituer aux mots : 

« conformément à » 

les mots : 

« en application de ».

III. – À l’alinéa 6, supprimer les mots : 

« En application de l’article L. 631‑1, ».

IV. – À l’alinéa 7, supprimer les mots : 

« en application de l’article L. 631‑1 ».

V. – Après l’alinéa 7, insérer des deux alinéas suivants :

« 1° bis Le IV est ainsi modifié :

« Le mot : « notification » est remplacé par le mot : « déclaration ». »

VI. – À l’alinéa 9, substituer aux mots : 

« réalise les déclarations mentionnées » 

les mots : 

« déclare les incidents mentionnés ».

Amendement rédactionnel.

À la phrase unique de l’alinéa 3, après les mots : 

« y compris »

insérer le mot : 

« celui ».

Cet amendement tire les conclusions de la réécriture l’article 43 A en rappelant les obligations qui découlent de l’article 17 pour les entités financières reconnues comme essentielles ou importantes.

Par ailleurs, il étend son application en Nouvelle-Calédonie, en Polynésie français et dans les îles Wallis et Futuna à l’instar de ce que prévoit l’article 56 pour les autres dispositions du titre III.

Compléter cet article par les deux alinéas suivants :

« Toutefois, l’obligation de notification prévue à l’article 17 de la présente loi demeure applicable aux entités financières essentielles et importantes auxquelles s’applique le présent titre III.

« Le présent article est applicable en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna. »

Cet amendement de repli propose de réduire le délai accordé à l'ensemble des sociétés de financement pour se mettre en conformité avec le règlement DORA du 1er janvier 2030 au 17 janvier 2027, soit un délai d'un an supplémentaire par rapport à la version initiale du projet de loi (qui ne concernait que les sociétés de financement de petites tailles et non complexes, les autres étant soumises à la même date d'application que l'ensemble des entités financières visées par le titre III).

Cette proposition alternative permet d'au moins concilier un nécessaire délai d'adaptation supplémentaire pour ces entreprises et la résilience opérationnelle numérique du secteur financier qui ne saurait attendre le 1er janvier 2030 comme le Sénat le propose pour l'ensemble des sociétés de financement.

À la seconde phrase de l’alinéa 1, substituer à la date : 

« 1^er janvier 2030 » 

la date : 

« 17 janvier 2027 ».

Amendement rédactionnel.

Rédiger ainsi cet article : 

« Au deuxième alinéa de l’article L. 212‑1 du code de la mutualité, après le mot : « assurances », sont insérés les mots : « à l’exception de l’article L. 354‑1 du même code ».

Cet amendement du groupe socialistes vise à aligner l’article 14 du projet de loi avec l’article 21 de la directive NIS 2, en mentionnant la notion d’approche « tous risque » ; approche définie au considérant 79 de la directive NIS 2, et qui vise protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents. 

À la première phrase de l’alinéa 1, après le mot : 

« prennent », 

insérer les mots : 

« – dans le cadre d’une approche “tous risques” – ». 

S’agissant des assurances de dommages aux biens, les risques de guerre sont légalement exclus de la garantie de l’assureur, sauf convention contraire, conformément à l’article L. 121-8 du code des assurances. Cette exclusion se justifie par le caractère inassurable d’une guerre qui constitue un risque de nature systémique limitant les possibilités de mutualisation. Par exception aux principes assurantiels, la charge de la preuve repose ici sur l’assuré qui doit démontrer l’absence de lien de causalité entre le sinistre et un fait de guerre étrangère.

L’État est compétent en matière assurantielle dans les îles Wallis et Futuna régies par le principe de spécialité législative. La modification de l’article L. 121-8 doit être rendue applicable dans ce territoire par mention expresse.

Cette exclusion légale, issue de la loi du 13 juillet 1930, a été conçue dans un contexte international marqué par le formalisme des déclarations de guerre et l’envoi de troupes et n’a pas été pensée pour des cyberattaques. La jurisprudence n’a de plus jamais défini cette notion de « guerre étrangère » au sens de l’article L. 121-8 du code des assurances. En conséquence, la loi ne prévoit pas expressément d’exclusion pour le risque d’attaques cyber d’origine étatique (« cyberguerre »). Dans le silence de la loi, des exclusions conventionnelles disparates commencent cependant à émerger dans les polices d’assurance, ce qui crée une insécurité juridique à la fois pour les assurés et les assureurs.

Un travail de concertation entre la Direction générale du Trésor, l’ANSSI, l’ACPR, l’AMRAE et France Assureurs a permis d’aboutir à une rédaction qu'a souhaité défendre le rapporteur thématique et qui permet à la fois (i) d’assurer une sécurité juridique aux assureurs, (ii) d’inverser la charge de la preuve, (iii) d’améliorer la rédaction issue du sénat sans remettre en cause l’objectif poursuivi et (iv) de traiter un sujet identifié comme de plus en plus problématique pour le développement de l’assurance cyber.

Rédiger ainsi cet article :

« I. – Le second alinéa de l’article L. 121‑8 du code des assurances est remplacé par les dispositions suivantes :

« Lorsque ces risques ne sont pas couverts par le contrat :

« 1° L’assuré doit prouver que le sinistre résulte d’un fait autre que le fait de guerre étrangère. Toutefois, lorsque le sinistre résulte d’une atteinte à un système de traitement automatisé de données au sens des articles 323‑1 et suivants du code pénal, il appartient à l’assureur de prouver qu’il résulte d’une guerre étrangère.

« 2° Il appartient à l’assureur de prouver que le sinistre résulte de la guerre civile, d’émeutes ou de mouvements populaires. »

« II. – Après le troisième alinéa de l’article L. 194‑1 du même code, est inséré un alinéa ainsi rédigé :

« L’article L. 121‑8 est applicable dans les îles Wallis et Futuna dans sa rédaction résultant de la loi n° du       2025 ; ».

Cet amendement vise à prévoir l’établissement d’une liste d'auditeurs approuvés par une autorité indépendante, à l'instar de l'ANSSI ou de l'ACPR, pour réaliser, à la demande des entités financières, les inspections prévues au chapitre V du règlement DORA relatif à la gestion des risques liés aux prestataires tiers de services de technologies de l'information et de la communication (TIC).

Ce nouveau cadre de gestion oblige en effet les entités financières à prévoir des obligations plus strictes dans la contractualisation avec leurs prestataires de services TIC (dont les opérateurs télécoms par exemple).

Dès lors, elles pourraient se voir soumettre à des audits pour vérifier la conformité de leurs prestations de services avec les exigences contractuelles de leurs clients qui eux-mêmes sont soumis au règlement DORA. Il peut être redouté que celles aient à communiquer des données sensibles, voire fassent l’objet d’enquêtes intrusives de la part de cabinet d’audit étrangers, quand bien même ils le feraient pour le compte d’une entité financière française. 

Certes, la loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères interdit déjà de communiquer des informations de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public. Cependant, un système d'agrément permettrait d'éviter ces risques et faciliterait le travail des prestataires tiers de service TIC.

Pour l’application du 6 de l’article 28 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, un arrêté du ministre chargé de l’économie détermine, sur proposition de l'autorité nationale de sécurité des systèmes d'information et de l’Autorité de contrôle prudentiel et de résolution, la liste des personnes morales habilitées à réaliser des audits auprès de prestataires tiers de services en technologie de l’information et de la communication à la demande des entités financières.

Amendement rédactionnel.

À la phrase unique de l’alinéa 5, substituer aux mots :

« mis en place conformément à » ,

les mots :

« élaborés en application de ».

Amendement rédactionnel.

À l’alinéa 3 :

1° Supprimer les mots : 

« ,en particulier, » ;

2° Substituer aux mots : 

« conformément au » 

les mots : 

« en application du ».

Amendement rédactionnel.

À l’alinéa 3 : 

1° Supprimer les mots : 

« ,en particulier, » ;

2° Substituer aux mots : 

« conformément au » 

les mots : 

« en application du ».

L'article 19 du règlement DORA prévoit que les entités financières déclarent à l’autorité compétente pertinente visée à l’article 46 les incidents majeurs liés aux technologies de l'information et de la communication. Elles peuvent également notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Quant à l'article 17 du présent projet de loi, qui propose de transposer l'article 23 de la directive NIS 2, il prévoit que les entités essentielles et les entités importantes (dont peuvent faire partie plusieurs entités financières concernées par le règlement DORA) doivent notifier sans retard injustifié à l’Agence nationale de sécurité des systèmes d’information (ANSSI) tout incident ayant un impact important sur la fourniture de leurs services.

Afin de diminuer les démarches pour les entreprises victimes incidents majeurs liés aux TIC ou de cybermenaces importantes, l'amendement propose que ces deux obligations d'information soient réalisées par un formulaire unique qui serait adressé aussi bien à l'ANSSI qu'aux autres autorités compétentes selon l'entité concernée (Banque de France, ACPR, AMF...).

Cette rédaction alternative à celle du Sénat permettrait de maintenir le rôle primordial de l'ANSSI dans la gestion des cyberattaques.

Rédiger ainsi cet article :

« La déclaration des incidents majeurs liés aux technologies de l’information et de la communication et la notification volontaire des cybermenaces importantes prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 ainsi que la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture des services des personnes mentionnées à l’article 14, prévue à l’article 17, est réalisée à l’aide d’un formulaire unique.

"Cet article est applicable en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna. »

Cet amendement du groupe Socialistes et apparentés vise à prévoir que les relais désignés par l’autorité nationale de sécurité des systèmes d’information puissent, sous condition d’agrément, assurer la délivrance du label de confiance attestant de la mise en œuvre par les entités importantes et les entités essentielles mentionnées aux articles 8 et 9 des mesures de sécurité prévues par décret en application de la présente loi, et ayant pour objet de reconnaître le respect effectif des exigences techniques, organisationnelles et opérationnelles permettant d’assurer un niveau élevé de cybersécurité. 

Cette disposition pourra notamment permettre aux Campus Cyber régionaux et aux CSIRT territoriaux qui choisiront l’agrément, d’affirmer leur rôle de tiers de confiance dans les territoires, en complément de leurs missions existantes de sensibilisation, de soutien opérationnel et d’accompagnement à la mise en conformité des entités publiques et privées. Le label deviendra ainsi un outil structurant au service des écosystèmes régionaux de cybersécurité.

Rédiger ainsi l’alinéa 2 : 

« Les relais mentionnés au présent article peuvent être agréés pour assurer, en plus de leurs missions, la délivrance du label de confiance mentionné à l’article 15. Les modalités d’application du présent article, notamment les modalités de dépôt et d’examen des demandes d’agrément des organismes mentionnés au premier alinéa, ainsi que les modalités de contrôle et d’évaluation de ces relais pour la mission mentionnée au présent alinéa, sont déterminées par décret en Conseil d’État. »

Amendement rédactionnel.

À la phrase unique de l’alinéa 2, substituer à la première occurrence du mot : 

« conformément » 

les mots : 

« dans les conditions prévues ».

Amendement rédactionnel.

À l’alinéa 5, substituer aux mots : 

« conformément à » 

les mots :

« en application de ».

Cet amendement du groupe socialistes et apparentés vise à introduire la définition de l’approche « tous risques » telle qu’énoncée au considérant 79 de la directive UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148, dite directive NIS 2. 

L’introduction de cette définition à cet article permettra sa mention à l’article 14 du présent projet de loi afin de l’aligner sur l’article 21 de la directive NIS 2 qui précise que les mesures techniques, opérationnelles et organisationnelles prises par les entités essentielles et importantes – de manière appropriée et proportionnée – pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents. 

Compléter cet article par l’alinéa suivant :

« 9° Approche « tous risques » : Approche qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre des événements tels que le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité essentielle ou importante et aux installations de traitement de l’information de l’entité, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. »