Résilience des infrastructures critiques et renforcement de la cybersécurité

Le présent amendement propose de clarifier la notion d’infrastructure critique, utilisée en droit européen dans la directive REC transposée au titre Ier. 

La directive REC adopte une définition de la notion d’infrastructure critique plus large que celle couvrant le périmètre actuel de la notion de point d’importance vitale (PIV), utilisée en droit national et bien appréhendée par les opérateurs.

Par conséquent, le projet de loi avait fait le choix initial de conserver le périmètre actuel des PIV, et de concevoir ces derniers comme une catégorie spécifique d’infrastructure critique au sens de la directive, au même titre que les Systèmes d’information d’importance vitale (SIIV). Cela réservait la possibilité d’avoir des infrastructures critiques ne correspondant ni à des PIV, ni à des SIIV, d'où l’emploi de l’adverbe « notamment ».

Toutefois, la multiplication, récente, des textes européens faisant référence à la notion d’infrastructure critique telle qu’elle apparaît dans la directive REC rend de moins en moins pertinente et intelligible la distinction entre, d’une part, des infrastructures critiques qui correspondraient aux PIV ou aux SIIV, et d’autre part, des infrastructures critiques qui n’en seraient pas.

Pour des raisons de lisibilité, de clarté du champ d’application des textes européens au niveau national et de simplification, il apparaît souhaitable de lever toute ambiguïté en prévoyant d’élargir le périmètre de la notion de PIV en rendant le caractère non substituable de l’infrastructure comme un élément d’appréciation de son caractère sensible, pour qu’elle couvre entièrement celui des infrastructures critiques physiques. Les infrastructures non physiques (SIIV) ne nécessitent en revanche pas un même ajustement

Concrètement, cette précision, qui étend le champ de la notion de PIV, ne devrait pas conduire à une augmentation substantielle de leur nombre. Tout en étant plus large, la notion d’infrastructure critique demeure extrêmement proche de celle de PIV. 

I. – À l’alinéa 9, supprimer le mot : 

« notamment ».

II. – En conséquence, à l’alinéa 40, substituer aux mots : 

« points d’importance vitale et systèmes d’information d’importance vitale », 

les mots : 

« infrastructures critiques ».

III. – En conséquence, à l’alinéa 41, substituer aux mots : 

« points d’importance vitale ou aux systèmes d’information d’importance vitale »,

les mots : 

« infrastructures critiques ». 

Cet amendement intègre les vulnérabilités des sous-traitants à l'analyse des dépendances réalisée par les opérateurs d'importance vitale. 

Conformément aux dispositions prévues par la directive REC, l'interdépendance croissante de l'économie nécessite de la part des opérateurs d'importance vitale une analyse détaillée des vulnérabilités de leur chaîne d'approvisionnement pour limiter les risques d'incidents. Or, cette analyse ne peut être complète sans prendre en compte les sous-traitants, dans une démarche analogue à celle prévue par la directive de 2022 sur le devoir de vigilance des entreprises. 

Afin d'éviter de surcharger les opérateurs, il est proposé que cette analyse soit réalisée selon un délai supplémentaire aux 9 mois prévus pour l'analyse des dépendances par la directive REC. Ce délai sera fixé par voie réglementaire 

À la deuxième phrase de l’alinéa 32, après le mot : 

« approvisionnement »,

insérer les mots :

« et de leurs sous-traitants. L'analyse des dépendances à l'égard des sous-traitants est réalisé dans un délai fixé par voie réglementaire ».

« Cet amendement ajoute à la définition d’infrastructure critique la notion d’accès à l’information, pour souligner l’importance vitale pour la société des réseaux sociaux, de l’audiovisuel et de la presse. 

Cet ajout est conforme à la directive REC qui dispose qu’un service essentiel est crucial pour le « « maintien de fonctions sociétales ou d’activités économiques vitales » ». Or, sont considérés comme assujettis à la directive REC (secteur 8) les infrastructures numériques suivantes : (i) les réseaux de diffusion de contenu (point 32 de l’article 6 de la directive NIS 2 ) et (ii) les réseaux de communications électroniques public (point 8 de l’article 2 de la directive 2018/1972). »

À l’alinéa 8, après le mot :

« population »,

insérer les mots : 

« , l’accès à l’information ». 

Cet amendement intègre les vulnérabilités des sous-traitants à l’analyse des dépendances réalisée par les opérateurs d’importance vitale. 

Conformément aux dispositions prévues par la directive REC, l’interdépendance croissante de l’économie nécessite de la part des opérateurs d’importance vitale une analyse détaillée des vulnérabilités de leur chaîne d’approvisionnement pour limiter les risques d’incidents. Or, cette analyse ne peut être complète sans prendre en compte les sous-traitants, dans une démarche analogue à celle prévue par la directive de 2022 sur le devoir de vigilance des entreprises. 

À la deuxième phrase de l’alinéa 32, après le mot : 

« approvisionnement »,

insérer les mots :

« et de leurs sous-traitants ».

Les activités d’importance vitale sont celles essentielles au potentiel économique et militaire ainsi que la survie de la nation. Le critère clé d’identification d’un opérateur est celui de la non redondance : en cas de défaillance, l’absence des activités de l’opérateur menacerait la continuité de la vie de la nation. A ce titre, la préservation de l’environnement devrait être inclus dans la définition d’une activité d’importance vitale pour souligner son caractère essentiel pour la survie de la nation. 

Le ministère de la Transition écologique, de la Biodiversité, de la Forêt, de la Mer et de la Pêche étant déjà responsable d’environ 50 % des opérateurs dans le dispositif actuel, le surcroît d’opérateur induit par cet ajout devrait être modéré. 

La définition d’activité d’importance vitale qui en résulte est conforme à celle de service essentiel utilisée en droit européen dans la directive REC. En effet, le point 5 de l’article 2 de la directive dispose qu’un service essentiel est crucial pour le maintien de « « l’environnement » ». Par ailleurs, la plupart des onze secteurs d’application de la directive REC, précisés en annexe, sont directement liés à la préservation de l’environnement (énergie, transports, eau potable, denrées alimentaires). 

À l’alinéa 7, après le mot : 

« société »,

insérer les mots :

« , à la préservation de l’environnement, ».

Cet amendement propose d'ajouter à la définition d'infrastructure critique la notion d'accès à l'information, pour souligner l'importance vitale pour la société des médias, de l'audiovisuel et de la presse.  

La libre communication de l'information est un droit fondamental, garanti par l'article 11 de la déclaration des droits de 1789. La protection du pluralisme de la presse et de l'audiovisuel, notamment public, sont nécessaires au bon fonctionnement de la démocratie et de notre société. Dès lors, doivent être considérées comme critiques les infrastructures nécessaires à la diffusion de l'information aux citoyens. Il s'agit ainsi d'assurer la résilience des réseaux indispensables à la transmission de l'information. 

Cet ajout est conforme à la directive REC qui dispose qu'un service essentiel est crucial pour le "maintien de fonctions sociétales ou d’activités économiques vitales". Or, sont considérés comme assujettis à la directive REC, au secteur 8, les infrastructures numériques suivantes : (i) les réseaux de diffusion de contenu (point 32 de l'article 6 de la directive NIS 2 ) et (ii) les réseaux de communications électroniques public (point 8 de l'article 2 de la directive 2018/1972). 

À l’alinéa 8, après le mot :

« population »,

insérer les mots : 

« , l’accès à l’information ». 

"Le présent amendement vise à formaliser et encourager la coopération entre collectivités en leur permettant de conclure des conventions de coopération en matière de cybersécurité. Ces conventions permettront notamment :
La mise en commun d’expertises afin de pallier le manque de compétences en cybersécurité dans les petites collectivités ;
La mutualisation des équipements et infrastructures pour optimiser les investissements en matière de protection des systèmes d’information ;
La mise à disposition de personnels qualifiés entre collectivités, facilitant ainsi l’accès à des compétences spécialisées sans nécessiter de recrutement individuel.
Le présent amendement repose sur une logique de solidarité territoriale et d’optimisation des ressources, sans générer de charges nouvelles pour l’État ou les collectivités.
Enfin, cet amendement favorise une meilleure articulation avec les Centres de réponse aux incidents de sécurité informatique (CSIRT) régionaux, qui jouent un rôle clé dans l’accompagnement des collectivités. En facilitant la coopération entre collectivités et en renforçant les synergies locales, cette disposition contribue efficacement à l’objectif de sécurisation des infrastructures publiques face aux cybermenaces.
"

Les collectivités territoriales et leurs établissements publics peuvent conclure des conventions de coopération afin de mutualiser leurs moyens en matière de cybersécurité. Ces conventions peuvent prévoir la mise en commun d’expertises, la mutualisation d’équipements, ainsi que la mise à disposition de personnels qualifiés en cybersécurité. Elles peuvent être conclues entre collectivités d’un même territoire ou à l’échelle régionale en lien avec les centres de réponse aux incidents de sécurité informatique. 

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement.
Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes. Une collectivité ne fonctionne pas comme une entreprise, ne fournit pas le même service, n’est pas pilotée selon la même logique. Une sanction financière, qui est très opérante pour un acteur privé, l’est moins pour une collectivité ; elle s’applique au détriment des usagers et des missions de service public.  Les moyens les plus efficaces à l’égard d’une collectivité résident dans les mesures d’exécution, notamment dans la possibilité de rendre publique une injonction. Cela revient à mettre un élu face à ses responsabilités en rendant public le fait qu’il ne respecte pas les mesures élémentaires de sécurité prescrites par la loi.
En conséquence, cet amendement vise à :
• Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.
• Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.
L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.
Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.
Cet amendement a été travaillé avec Départements de France.

Compléter l’alinéa 4 par les mots :

« aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs. »

Le secteur bancaire, financier et assurantiel constitue une infrastructure critique au sens de la directive (UE) 2022/2555 dite NIS 2. Il est exposé à des risques croissants de cyberattaques, qui peuvent compromettre non seulement la continuité du service mais également la protection des données personnelles et la confiance des usagers.

La mise en place d’un Comité national d’observation des risques cyber répond à un double objectif :

• d’une part, renforcer la transparence et l’évaluation des mesures mises en place par les établissements, en associant l’ensemble des parties prenantes, y compris les consommateurs et les régulateurs ;
• d’autre part, éviter que les exigences de cybersécurité ne se traduisent par une hausse injustifiée des frais supportés par les usagers, dans un secteur marqué par une forte asymétrie d’information entre établissements et clients.

Cet observatoire contribuera ainsi à un pilotage équilibré entre sécurité numérique, stabilité financière et protection des usagers, en cohérence avec les orientations européennes et nationales en matière de résilience cyber.

Pour respecter les règles de la recevabilité financière, nous limitons cette institutionnalisation à la création d’un comité, admis dans le cadre des règles classiques de la recevabilité financière (voir Eric Woerth, Rapport d’information n° 5107, sur la recevabilité financière des initiatives parlementaires et la recevabilité organique des amendements à l’Assemblée nationale, 23 février 2022, p. 74)

Afin d’assurer la mise en œuvre et l’évaluation de la politique publique spécifique, il est institué auprès du Ministre de l’économie un Comité national d’observation des risques cyber dans le secteur de cybersécurité dans le secteur bancaire, financier et assurantiel.

Ce comité a pour mission notamment :

1° De suivre l’évolution des menaces et incidents de cybersécurité dans le secteur bancaire, financier et assurantiel ;

2° D’évaluer la mise en œuvre des obligations légales et réglementaires en matière de cybersécurité par les acteurs concernés ;

3° De prévenir les effets induits des mesures de cybersécurité sur les coûts supportés par les usagers, notamment en matière de frais bancaires et assurantiels.

Le comité rend publics annuellement ses travaux de suivi et d’évaluation dans des conditions fixées par arrêté du ministre chargé de l’économie.

Sa composition, fixée par arrêté ministériel, comprend notamment :

– des représentants des associations agréées de défense des consommateurs ;

– des représentants des établissements bancaires, financiers et assurantiels ;

– des représentants des autorités de régulation et de contrôle compétentes ;

– un représentant de l’Agence nationale de la sécurité des systèmes d’information.

Les membres du comité siègent à titre gratuit.

Amendement rédactionnel. Cet amendement corrige une erreur de syntaxe dans la définition de résilience. "Prévenir contre type d'incident" est une formulation incorrecte. 

Rédiger ainsi l’alinéa 13 : 

« Résilience : la capacité d’un opérateur à prévenir tout type d'incident, à s’en protéger et à y résister, afin d’assurer la continuité de la ou des activités d’importance vitale qu’il exerce. » 

L’article 58 bis a été introduit par amendement au Sénat du groàupe centriste (amendement n° 14), face à un avis défavorable du Gouvernement. Au stade de la commission spéciale, nous souhaitons pouvoir élever le débat et appeler à ce qu’une réelle étude des effets de la modification du droit des assurances soit approfondie. L’enjeu est bien d’avoir un cadre juridique permettant une garantie assurantielle efficace des acteurs, notamment les petits (communes, PME/TPE, association) et nous sommes en l’état dépourvu de projection présentant les avantages et inconvénients de l’évolution du droit votée au Sénat.

Compléter cet article par l’alinéa suivant :

« II. – Le Gouvernement remet au Parlement dans un délai de six mois à compter de l’entrée en vigueur du présent un rapport, réalisé sur la base de travaux menés par le Conseil d’analyse économique, qui évalue les impacts et l’efficacité économiques et sociaux de la modification de l’article L. 121‑8 du code des assurances sur les garanties concernant les risques liés aux cyberattaques. »

Les activités d'importance vitale sont celles essentielles au potentiel économique et militaire ainsi que la survie de la nation. Le critère clé d’identification d’un opérateur est celui de la non redondance : en cas de défaillance, l’absence des activités de l’opérateur menacerait la continuité de la vie de la nation. A ce titre, la préservation de l'environnement devrait être intégrée à la définition d'une activité d'importance vitale pour souligner son caractère essentiel pour la survie de la nation. 

Le ministère de la Transition écologique, de la Biodiversité, de la Forêt, de la Mer et de la Pêche étant déjà responsable d'environ 50% des opérateurs dans le dispositif actuel, le surcroît du nombre d'opérateurs induit par cet ajout devrait être modéré. 

La définition d'activité d'importance vitale qui en résulte est conforme à celle de service essentiel utilisée en droit européen dans la directive REC. En effet, le point 5 de l'article 2 de la directive dispose qu'un service essentiel est crucial pour le "maintien de l'environnement". Par ailleurs, la plupart des onze secteurs d'application de la directive REC, précisés en annexe, sont directement liés à la préservation de l'environnement (énergie, transports, eau potable, denrées alimentaires).   

À l’alinéa 7, après le mot : 

« société »,

insérer les mots :

« , à la préservation de l’environnement, ». 

Cet amendement vise à exonérer les audités du financement des audits
En effet, les structures soumises à ces contrôles, qu’il s’agisse d’associations, de collectivités territoriales, d’établissements publics ou de petites entreprises, disposent souvent de budgets contraints. L’imposition d’un contrôle à leur charge représenterait une contrainte financière supplémentaire, risquant d’entraver leur fonctionnement ou de compromettre leur équilibre budgétaire.
De plus, ces contrôles sont exigés par des autorités de contrôle dans le cadre d’une réglementation visant à garantir la conformité et la transparence du niveau de cyber sécurité de ces structures. Il apparaît donc incohérent de leur faire supporter des coûts élevés pour une obligation qui leur est imposée.
En conséquence vise à :
• Préserver la soutenabilité financière des structures concernées en évitant des charges excessives.
• Garantir que les contrôles soient effectués sans pression financière pouvant nuire au fonctionnement budgétaire des entités concernées.
• Assurer l’équité en attribuant la prise en charge de ces coûts aux instances prescriptrices ou à des fonds publics dédiés, selon des modalités à définir.
L’adoption de cet amendement permettrait de préserver l’activité des entités contrôlées tout en garantissant que les contrôles exigés soient réalisés dans les meilleures conditions. Elle éviterait également que certaines structures, par manque de moyens, soient dans une situation financière inadéquate en raison de ces contrôles.
Cet amendement s’inscrit ainsi dans une démarche de protection des entités concernées, tout en veillant à la bonne application des exigences de transparence et de conformité édictées par le texte.
Cet amendement a été travaillé avec Départements de France.
"

Compléter l’alinéa 7 par la phrase :

« Ce coût ne s’applique pas aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs. »

Cet amendement renforce l'indépendance de la commission des sanctions. Afin garantir l'impartialité de la commission, le mandat des membres de la commission des sanctions sera unique plutôt que renouvelable une fois.

À la première phrase de l’alinéa 90, substituer aux mots :

« , renouvelable une fois »

les mots :

« non renouvelable ».

Amendement rédactionnel. Cet amendement tire les conséquences du remplacement du "plan particulier de protection" par le "plan particulier de résilience", prévue par le présent projet de loi, en modifiant une référence à l'article L. 1411-2 du code de la défense. 

Après l’alinéa 2, insérer l’alinéa suivant : 

« 1° bis Au dernier alinéa de l’article L. 1411‑2, les mots : « plans particuliers de protection mentionnés à l’article L. 1332‑3 » sont remplacés par les mots : « plans particuliers de résilience mentionnés à l’article L. 1332‑5 » ; ».

Amendement rédactionnel. 

Cet amendement corrige une erreur de formulation juridique. Une entité peut être exonérée d'une taxe ou d'un impôt par l'autorité administrative mais elle est dispensée d'une obligation.   Or ici, il s'agit bien de dispenser les opérateurs du secteur de la défense de certaines obligations selon des modalités fixées par décret en Conseil d'Etat. 

À l’alinéa 52, substituer au mot : 

« exonérés »,

le mot : 

« dispensés ». 

Cet amendement corrige une erreur de renvoi. 

L'article L. 114-1 du code de la sécurité intérieure ne prévoit pas les conditions dans lesquelles s'exerce l'avis de l'autorité administrative compétente mais les conditions dans lesquelles s'exercent une enquête administrative. 

L'amendement ainsi rédigé rétablit l'objectif de l'article, à savoir qu'un avis peut être demandé à l'autorité administrative compétente à la suite d'une enquête administrative, conduite selon des conditions fixées par le code de la sécurité intérieure. 

À l’alinéa 40, après les mots : 

« autorité administrative compétente »,

insérer les mots :

« à la suite d’une enquête administrative conduite ».

Cet amendement corrige une erreur matérielle. C'est le produit des sanctions pécuniaires qui est versé au Trésor public et non la sanction elle-même. 

Rédiger ainsi l’alinéa 95 : 

« Le produit des sanctions pécuniaires est versé au Trésor public et recouvré comme créances de l’État étrangères à l’impôt et au domaine ». 

Cet amendement prévoit que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL. Cette garantie est essentielle, ces enquêtes couvrant un champ élargi et pouvant impliquer la consultation du bulletin n°2 du casier judiciaire ainsi que de traitements automatisés de données personnelles (article 26 de la loi n° 78‑17 du 6 janvier 1978).

Compléter l’alinéa 40 par les mots :

« , pris après avis de la Commission nationale de l’informatique et des libertés ». 

Amendement rédactionnel. Cet amendement reformule la définition du plan particulier de résilience en remplaçant le pluriel par du singulier s'agissant de la mention de l'opérateur d'importance vitale. 

Si un opérateur d'importance vitale peut être en charge de plusieurs points d'importance vitale, c'est bien l'opérateur qui doit rédiger individuellement un plan particulier de résilience pour chaque point d'importance vitale.  

Au début de l’alinéa 34 : 

1° Substituer aux mots :

« Les opérateurs pour lesquels »,

les mots :

« Chaque opérateur pour lequel » ;

2° En conséquence, substituer au mot :

« réalisent »

le mot :

« réalise ».

Amendement rédactionnel. 

Au premier alinéa des articles L. 285-1, L. 286-1, L. 287-1 et L. 288-1 du code de la sécurité intérieur, la référence à la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense a été remplacée par la référence à la loi n° 2025-532 du 13 juin 2025 visant à sortir la France du piège du narcotrafic. 

Dès lors, cet amendement en tire les conséquences en substituant la référence à remplacer par la référence à la présente loi. 

À l’alinéa 16, substituer aux mots : 

« loi n° 2023‑703 du 1^er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense »,

les mots :

« loi n° 2025‑532 du 13 juin 2025 visant à sortir la France du piège du narcotrafic ». 

Cet amendement renforce l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. 

Le mandat des membres de la commission des sanctions sera unique plutôt que renouvelable une fois, afin de garantir le caractère désintéressé et impartial des décisions prises par la commission.    

À la première phrase de l’alinéa 90, substituer aux mots :

« , renouvelable une fois »,

les mots : 

« non renouvelable ».