Résilience des infrastructures critiques et renforcement de la cybersécurité

Le présent amendement vise à améliorer sensiblement le degré de préparation des collectivités territoriales face à la menace cyber en intégrant explicitement le risque de cyberattaque au sein du Plan Communal de Sauvegarde (PCS).

Alors que les collectivités jouent un rôle essentiel dans la continuité des services publics et la gestion des crises locales, elles sont devenues ces dernières années des cibles privilégiées des cybercriminels et d'acteurs étatiques hostiles. Selon l’ANSSI, plus de 350 collectivités ont été victimes d'une cyberattaque en 2023, dont une majorité de communes de taille moyenne, souvent démunies en matière de protection informatique.

Les exemples concrets abondent. En septembre 2024, la mairie de Caen a été victime d'une attaque par rançongiciel paralysant plusieurs de ses services administratifs pendant plusieurs jours. À la même période, la ville de Chaville (Hauts-de-Seine) a vu son système d'information compromis, entraînant la perte d'accès à des documents sensibles et des données personnelles. En 2022, la ville de La Rochelle avait également subi une cyberattaque majeure, impactant la gestion de ses services numériques.

Ces incidents démontrent la vulnérabilité des collectivités et l'impact potentiel de ces attaques : paralysie administrative, interruption des services aux usagers, atteinte à la confidentialité des données des citoyens, voire mise en danger de la sécurité des populations en cas d'atteinte aux systèmes d'alerte ou de gestion de crise.

Or, le Plan Communal de Sauvegarde, prévu par l'article L.731-3 du Code de la sécurité intérieure, constitue l'outil de référence permettant d'organiser la réponse opérationnelle de la commune en cas d'événement grave : catastrophes naturelles, risques technologiques, sanitaires… Il apparaît aujourd'hui indispensable que les risques cyber soient explicitement intégrés à ce dispositif, au même titre que les autres menaces susceptibles de désorganiser la vie locale. Le présent amendement vise donc à améliorer sensiblement le degré de préparation des collectivités en ajoutant le risque cyber au sein du plan communal de sauvegarde. Cet amendement a été travaillé avec Hexatrust.

La section 3 du chapitre I^er du titre III du livre VII du code de la sécurité intérieure est ainsi modifiée :

I. – Le I de l’article L. 731‑3 est ainsi modifié :

1° À la seconde phrase du premier alinéa, après le mot : « connus », sont insérés les mots : « y compris le risque d’incident informatique ayant un impact important sur la fourniture des services à la population, » ;

2° Après le 7°, il est inséré un 8° ainsi rédigé :

« 8° Assurant des activités de service public dont la continuité est susceptible d’être perturbée par des incidents informatiques, et dont la liste est déterminée par décret en Conseil d’État. »

II. – À l’article L. 731‑5, après le mot : « sauvegarde », sont insérés les mots : « , notamment pour prendre en compte le risque d’incident informatique, ».

III. – Les dispositions du présent article entrent en vigueur à l’occasion de l’actualisation du plan communal ou, au plus tard, à la date de sa révision.

Cet amendement vise à ce que la liste des entités essentielles et importantes soit la plus conforme possible à la réalité des secteurs d’activités concernés. Les opérateurs d’importance vitale visés par le titre I du projet de loi sont désignés par les ministères coordonnateurs du secteur auxquels ils appartiennent. Les acteurs visés par le titre III sont notamment désignés par les ministères économiques et financiers.

En cohérence, cet amendement vise à apporter l’expertise les ministères coordonnateurs des secteurs d’activités visés par le projet de loi afin que les listes élaborées d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.

Ainsi, certaines entités ne correspondant pas aux critères prédéfinis d’entité importante ou essentielle pourraient être intégrées à la liste des entités concernées pour des critères stratégiques, économiques, technologiques ou sociaux relevant de l’analyse des ministères coordonnateurs. D’autres entités connues des ministères coordonnateurs pourraient omettre de s’enregistrer.

Amendement travaillé avec le Cybercercle.

À l’alinéa 1, après le mot :

« ministre »,

insérer les mots :

« après avis des ministères compétents des secteurs d’activité visés à l’article 7 de la présente loi ».

Cet amendement vise à préciser le périmètre de l'analyse des risques de dépendance que doivent conduire les opérateurs d'importance vitale (OIV), afin de prendre en compte la nature de plus en plus numérique de nos infrastructures critiques. L'article L. 1332-4, dans sa rédaction issue du projet de loi, impose une analyse des dépendances à l'égard des tiers et des vulnérabilités des chaînes d'approvisionnement. 

Le présent amendement vient utilement clarifier que cette analyse doit explicitement inclure l'un des risques stratégiques majeurs du XXIe siècle : la dépendance technologique vis-à-vis de fournisseurs de solutions logicielles et matérielles propriétaires. Cette démarche s'inscrit dans la continuité des travaux du Parlement. Le rapport d'information de l'Assemblée nationale « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (n°4299, 2021) souligne que la maîtrise technologique et la réversibilité sont des principes fondamentaux de la souveraineté de l'État. De même, cet amendement étend aux OIV l'esprit de l'article 16 de la loi pour une République numérique, qui impose déjà aux administrations de veiller à la « maîtrise, la pérennité et l'indépendance de leurs systèmes d'information ». En effet, l'enfermement propriétaire constitue une vulnérabilité critique pour la Nation. 

Cet amendement demande donc que l'analyse des risques évalue spécifiquement trois aspects clés lors du choix d'une solution propriétaire :

1. La continuité de service : Quelle est la pérennité de la solution si le fournisseur disparaît ou cesse de la maintenir ? Existe-t-il une stratégie de réversibilité ?

2. Le coût à long terme : Au-delà du coût d'acquisition, quel est le coût total de possession, incluant les montées en version et les frais de maintenance imposés par des fournisseurs en situation de monopole ?

3. La capacité d'audit indépendant : Est-il possible pour l'OIV ou pour un tiers de confiance mandaté par l'État de vérifier en profondeur le fonctionnement de la solution pour y déceler d'éventuelles failles de sécurité ou des fonctionnalités non documentées ?

Imposer cette analyse de risque, c'est s'assurer que les OIV prennent des décisions éclairées, qui garantissent non seulement leur propre résilience, mais aussi la sécurité et l'autonomie stratégique de la France.

Compléter l’alinéa 32 par la phrase : 

« Cette analyse évalue spécifiquement les risques liés à la dépendance envers des fournisseurs de solutions logicielles et matérielles propriétaires, notamment en termes de continuité de service, de coût à long terme et de capacité d’audit indépendant. »

Historiquement, dans le dispositif français, ce sont les ministères compétents des secteurs d’activité qui désignent les OIV. Il serait donc justifié qu’un représentant du ministère compétent de l’OIV mis en cause participe aux délibérations de la commission des sanctions.

Il serait ainsi en mesure d’apporter d’éventuels éléments non techniques (politiques publiques, économiques, sociaux, etc.) à charge ou à décharge susceptibles d’influer sur la décision de la commission des sanctions.

Amendement travaillé avec le Cybercercle

Après l’alinéa 82, insérer l’alinéa suivant :

« 1° bis Un représentant du ministère compétent du secteur d’activité auquel appartient l’entité pour laquelle la commission est saisie ; ».

Amendement de précision.

L'opérateur d'importance vitale relevant de la catégorie d'entité critique doit garantir l’activité régulière de chaque point d’importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs qui peuvent s’avérer indispensables pour assurer leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver.

À la première phrase de l’alinéa 35, après le mot :

« des », 

insérer les mots :

« dispositifs et des ».

Le présent amendement a pour but d'inscrire dans la loi le rôle stratégique du logiciel libre et des standards ouverts pour l'atteinte des objectifs de résilience, de sécurité et de souveraineté que ce projet de loi ambitionne. L'article 5 bis définit les piliers de la future stratégie nationale en matière de cybersécurité. Il est impératif que cette stratégie, qui orientera l'action de l'État pour les années à venir, reconnaisse formellement les outils qui permettent le mieux de garantir notre autonomie et notre maîtrise technologique.

Le logiciel libre et les standards ouverts constituent un levier fondamental pour trois raisons principales :

1. Pour la sécurité : La transparence du code source est une garantie essentielle de confiance. Elle permet l'auditabilité des solutions déployées sur nos infrastructures critiques, et facilite la détection et la correction collaborative des failles de sécurité. La directive NIS 2, que ce texte transpose, souligne d'ailleurs en son considérant 52 que « Les politiques qui promeuvent l’introduction et l’utilisation durable d’outils de cybersécurité en sources ouvertes revêtent une importance particulière ».

2. Pour la résilience : Le recours aux standards ouverts et aux logiciels libres est le meilleur rempart contre le risque d'« enfermement propriétaire ». Cette dépendance vis-à-vis d'un unique fournisseur est une vulnérabilité stratégique majeure pour la continuité d'activité de nos opérateurs critiques. En effet, par la nature même de leurs licences, les logiciels libres garantissent la possibilité de changer de fournisseur pour la maintenance, le support ou l'évolution de la solution, sans avoir à abandonner la technologie elle-même. Cette liberté assure la pérennité et l'interopérabilité qui sont des conditions intrinsèques de la résilience.

3. Pour la souveraineté numérique : Promouvoir le logiciel libre, c'est investir dans le développement de compétences nationales et européennes, renforcer notre filière technologique, et s'assurer que nos infrastructures critiques ne dépendent pas de technologies soumises à des législations extraterritoriales.

Cet amendement ne crée pas une obligation d'usage, mais il donne une orientation politique claire et forte. Il garantit que la stratégie nationale de cybersécurité, ainsi que le rapport bisannuel qui sera remis au Parlement, intègreront la promotion du logiciel libre comme un axe majeur de l'action du Gouvernement, conformément aux dispositions de l'article 16 de la loi République numérique.

Après l’alinéa 9, insérer l’alinéa suivant :

« 5° quater Les orientations visant à promouvoir l’utilisation de logiciels libres et des standards ouverts comme leviers stratégiques pour la résilience, la sécurité et la souveraineté numérique de la Nation ; ».

Cet amendement de réécriture conséquent vise à s’assurer que la définition des objectifs de sécurité et des référentiels d’exigences pour y répondre sont élaborés par l’ensemble des parties prenantes.

 Dans le texte d’origine, seules l’élaboration, la modification et la publication d’un référentiel d’exigences techniques et organisationnelles sont soumises à la concertation des parties prenantes auxquelles manquent par ailleurs les ministères coordonnateurs.

La concertation des ministères est essentielle dans ce processus de définition en raison notamment de leur connaissance du secteur, des réglementations spécifiques, des acteurs qui le composent et de leur éventuelle articulation avec d’autres secteurs, de leur capacité à évaluer le degré d’exposition aux risques des entités relevant de ce texte ainsi que des impacts métiers et de leurs conséquences.

Par ailleurs, l’article 25 de la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 prévoit spécifiquement que les « États membres encouragent le recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information ».

Non seulement de telles normes internationales, telles que la norme ISO 27001, sont fréquemment mises en œuvre dans de grands groupes ayant des filiales dans plusieurs pays de l’Union européenne, mais elles sont également reconnues, par d’autres États membres ayant transposé le même texte, comme équivalentes au référentiel national, parfois avec certains compléments ou sous certaines conditions.

De plus, les normes et les spécifications techniques pour la sécurité des réseaux et des systèmes d’information issues d’autres pays européens ayant transposé la directive NIS 2 susvisée peuvent également servir de point de référence utile en harmonisant les règles au sein d’un groupe dans la mesure où, par exemple, des filiales auraient déjà à respecter un référentiel national applicable par un État membre ayant transposé la directive susmentionnée depuis de nombreux mois.

Le guide de l’ENISA pour la mise en œuvre du règlement d’exécution (UE) 2024/2690 du 17 octobre 2024 applicable à certaines entités régulées telles que les fournisseurs de services d’informatique en nuage, les fournisseurs de réseaux de diffusion de contenus ou de prestataires de services de confiance, constitue de fait un standard de sécurité numérique reconnu par l’UE qui peut être le référentiel pour toute entité régulée, notamment celles disposant de sites dans différents états membres, évitant le risque de distorsion, optimisant les coûts de mise en conformité pour les entités régulées et simplifiant les opérations de contrôle.

Enfin, la conformité d’une entité à DORA dont le niveau de sécurité est supérieur à NIS2, doit être reconnue comme une preuve de conformité à NIS2.

Afin de « favoriser la mise en œuvre convergente de l’article 21, paragraphes 1 et 2 » comme le prévoit le 1 de l’article 25 de la directive précitée, la rédaction proposée permet la reconnaissance à l’identique du référentiel national, de normes pouvant permettre une approche cohérente et permettant de disposer du même niveau de preuve de conformité que celui prévu à l’article 15 du présent projet.

Amendement travaillé avec le Cybercercle.

Substituer aux alinéas 6 à 8 les neuf alinéas suivants :

« Un décret en Conseil d’État détermine :

« a) les conditions d’élaboration, de modification et de publication des objectifs auxquels doivent se conformer les personnes mentionnées au premier alinéa afin que les mesures adoptées pour la gestion des risques satisfassent aux 1° à 4° de l’article ;

« b) les conditions d’élaboration, de modification et de publication d’un référentiel d’exigences techniques et organisationnelles qui sont adaptées aux différentes personnes mentionnées au premier alinéa, en fonction de leur degré d’exposition aux risques, de leur taille, de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences économiques et sociales.

« Ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 ;

« c) les conditions dans lesquelles le recours à des normes et des spécifications techniques européennes, internationales pour la sécurité des réseaux et des systèmes est considéré comme équivalent au référentiel d’exigences techniques et organisationnelles mentionné au b).

« Les normes pour la sécurité des réseaux et des systèmes d’information adoptées par d’autres États membres en application de l’article 21 de la directive (UE) 2022/2555 du Parlement européen et du conseil du 14 décembre 2022 sont considérées comme des normes européennes ou internationales au sens du présent article.

« Le guide de l’ENISA pour la mise en œuvre du règlement d’exécution (UE) 2024/2690 du 17 octobre 2024 est notamment réputé équivalent au référentiel d’exigences techniques et organisationnelles mentionné au b) ;

« d) les conditions dans lesquelles l’application d’autres réglementations pour la sécurité des réseaux et des systèmes est considérée comme équivalente au référentiel d’exigences techniques et organisationnelles mentionné au b).

« Le décret fixe les modalités de concertation des ministères, des représentants des entités concernées et des associations d’élus pour les a, b et c du présent article. »

Amendement de repli

Afin d’assurer la cohérence entre le point 4° de l’article 14 et cet article 15, « les référentiels reconnus comme équivalents » doivent l’être par les mêmes entités que celles ayant élaboré les référentiels cités au point 4° de l’article 14. Par ailleurs, les référentiels reconnus équivalents pouvant être sectoriels, l’implication des ministères coordonnateurs, des associations d’élus ainsi que des représentants des entités concernées est essentielle.

La directive dans son article 25 consacré à la normalisation, précise, qu’afin de favoriser la mise en œuvre convergente de l’article 21 (…) les États membres encouragent (…) le recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information.

Pour les entités visées par la directive ayant une activité dans un autre pays de l’Union européenne et plus largement dans la perspective de l’évolution de la réglementation européenne et l’avènement probable d’un futur règlement européen, cette proposition d’amendement permet aux acteurs concernés de choisir le référentiel technique d’implémentation de la directive NIS2 publié par l’agence européenne le 26 juin ou des normes internationales telles que l’ISO 27001 comme référentiels reconnus équivalents aux référentiels cités à l’article 14.

L’utilisation d’un label de confiance pour attester de la conformité à des référentiels ne relève pas de la loi. Le recours à des labels pour attester de la conformité à des référentiels n’est qu’un moyen parmi d’autres. De plus, le sujet des labels est aujourd’hui complexe, peu lisible et constitue une source de délais et de coûts importants supplémentaires pour les organisations. Indépendamment du projet de transposition de NIS 2, un moratoire sur le sujet serait nécessaire.

Amendement travaillé avec le Cybercercle.

Rédiger ainsi cet article :

« Les personnes mentionnées à l’article 14 de la loi n° qui mettent en œuvre les exigences des référentiels mentionnées au sixième alinéa du même article 14 ou qui mettent en œuvre tout autre référentiel reconnu comme équivalent peuvent s’en prévaloir lors d’un contrôle pour démontrer le respect des objectifs mentionnés au même alinéa du même article. Les normes et spécifications techniques européennes et internationales sont privilégiées.

« Les conditions de reconnaissance de référentiels équivalents ainsi que les modalités de concertation des représentants des entités concernées, des ministères coordonnateurs et des associations d’élus sont fixées par un décret en Conseil d’État. »

Amendement d’appel

Si le délai de 3 ans semble faire consensus depuis les déclarations de la ministre du Numérique et du directeur général de l’ANSSI lors de leur audition face à la commission spéciale au Sénat comme à l’Assemblée, aucune trace écrite n’existe à ce jour.

Le projet de loi ne prévoit pas de date limite de mise en conformité. Il ne prévoit pas non plus de date pour l’application des contrôles et donc des sanctions potentielles. L’ANSSI a d’ailleurs indiqué qu’elle laisserait le temps aux entités de se mettre en conformité avant d’engager les procédures de contrôle et de sanction.

Pour assurer une bonne lisibilité quant à l’application des nouvelles exigences et intégrer une certaine progressivité dans la mise en conformité, tout en encourageant les entités à ne pas attendre le dernier moment pour prendre en compte leurs obligations, il est nécessaire de fixer un calendrier d’application échelonnée et différenciée des mesures de contrôle en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

I. – Après le mot :

« section »

insérer les mots :

« et le calendrier d’application progressif et différencié des mesures de contrôles en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité ».

II. – En conséquence, substituer au mot :

« fixées »,

le mot :

« déterminés ».

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Compléter l’alinéa 3 par les mots :

« et d’autonomie stratégique numérique ».

L’objectif de cet amendement est d'assurer la résilience des réseaux et systèmes d’information, en plus de la protection.

À l’alinéa 3, après le mot :

« protection »,

insérer les mots :

« et la résilience ».

Le présent amendement vise à intégrer, dans les règles encadrant le recours à des prestataires non européens, la possibilité de travailler avec des entreprises établies dans des pays ayant un accord de commerce et de coopération avec l’Union européenne, à condition qu’elles acceptent explicitement d’être soumises aux normes européennes en matière de cybersécurité et de protection des données.

Il s’agit de trouver un équilibre entre la protection de la souveraineté numérique et l’ouverture à des partenaires fiables, tout en renforçant l’attractivité d’une conformité aux standards européens à l’échelle internationale.

Dans le cadre de la mise en œuvre des obligations relatives à la cybersécurité des entités essentielles et importantes, les prestataires de services, y compris les hébergeurs de données, établis dans un pays tiers peuvent être sollicités à condition que :

1° Le pays tiers en question soit lié à l’Union européenne par un accord de commerce et de coopération comprenant des engagements explicites en matière de protection des données et de cybersécurité ;

2° L’entreprise concernée s’engage contractuellement à respecter les obligations issues du droit européen en matière de cybersécurité, notamment celles prévues par la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

3° Cette conformité fasse l’objet d’un audit régulier par une autorité compétente désignée par décret.

La liste des pays et catégories de prestataires concernés est fixée par décret en Conseil d’État, après avis de la Commission nationale de l'informatique et des libertés et de l’Agence nationale de la sécurité des systèmes d'information.

Le présent amendement vise à instaurer une saine gestion des risques technologiques pour les systèmes d’information les plus critiques de la Nation, en application du principe « appliquer ou expliquer ». Le projet de loi renforce à juste titre les obligations de cybersécurité. Cependant, une part majeure du risque provient des briques logicielles elles-mêmes, notamment lorsqu’elles sont des « boîtes noires » dont le fonctionnement interne est inaccessible à l’entité qui les utilise et aux autorités de contrôle. Cet amendement ne vise pas à interdire le recours aux logiciels propriétaires, mais à s’assurer que leur choix pour un usage critique soit une décision éclairée et documentée. En exigeant une analyse de risques spécifique pour les solutions à code source fermé, cet amendement contraint les entités essentielles et importantes à évaluer objectivement :

1. La dépendance technologique (vendor lock-in) : Le risque de se retrouver prisonnier d’un fournisseur unique, souvent soumis à des législations étrangères, est une vulnérabilité stratégique majeure. L’analyse devra porter sur les stratégies de réversibilité et de sortie.

2. Les limitations en matière d’audit de sécurité : L’impossibilité de réaliser ou de faire réaliser un audit complet du code source constitue un risque de sécurité intrinsèque. L’entité devra formaliser la manière dont elle entend pallier cette opacité.

3. La souveraineté des données et des systèmes : Cet amendement s’inscrit dans la continuité de l’article 16 de la loi pour une République numérique, qui demande aux administrations de préserver la « maîtrise, la pérennité et l’indépendance de leurs systèmes d’information ». Il précise cette exigence de maîtrise dans le cas des infrastructures critiques du pays.

Compléter l’alinéa 2 par la phrase :

« Le choix d’une solution logicielle dont le code source n’est pas accessible ou vérifiable, et lorsqu’elle concerne un système d’information critique, fait l’objet d’une analyse de risques spécifique, documentée et présentée aux organes de direction évaluant la dépendance vis-à-vis du fournisseur, les limitations en matière d’audit de sécurité et les stratégies de réversibilité à brève échéance. »

Cet amendement a pour objectif de garantir que la promotion de solutions de cybersécurité certifiées, prévue par l’article 16, ne crée pas d’effets pervers en défavorisant l’écosystème français et européen de l’innovation, notamment les acteurs du logiciel libre et les PME.

 L’article 16 permet à juste titre au Premier ministre de prescrire le recours à des produits ou services certifiés ou qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour les systèmes les plus sensibles de la Nation. Cette démarche est un gage de sécurité. Toutefois, il existe un risque avéré que les processus de certification, par leur complexité ou leur coût, favorisent de facto les grands éditeurs, souvent extra-européens, au détriment d’alternatives innovantes et souveraines. Le rapport d’information de l’Assemblée nationale « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (n°4299, 2021) souligne la nécessité de « faire confiance à nos entreprises technologiques » et de « privilégier, en matière de commande publique, le recours aux solutions d’acteurs technologiques français ou européens » (Proposition n°26). Cet amendement vise à prévenir ce risque en inscrivant dans la loi une obligation pour l’ANSSI de concevoir des processus de qualification équitables et ouverts. Il s’agit de s’assurer que :

 1. L’évaluation est fondée sur le mérite technique : Les critères doivent être objectifs et basés uniquement sur la robustesse et la sécurité de la solution, indépendamment du modèle économique (libre, propriétaire) ou de la taille du fournisseur.

2. Les barrières à l’entrée sont réduites : Les modalités ne doivent pas constituer un obstacle insurmontable pour les PME et les structures (associations, fondations) qui portent de nombreux projets de logiciels libres, en cohérence avec l’esprit de l’article 16 de la loi pour une République numérique qui en encourage l’utilisation.

 3. La souveraineté numérique est renforcée : En garantissant une compétition équitable, nous permettons aux solutions françaises et européennes les plus performantes, y compris celles issues du logiciel libre, d’obtenir les qualifications nécessaires pour être déployées sur nos infrastructures critiques, renforçant ainsi notre filière technologique.

Cet amendement est une mesure de sauvegarde pragmatique qui garantit que le renforcement de notre cybersécurité se fera en s’appuyant sur l’ensemble de nos forces vives, favorisant ainsi l’émergence d’une filière de confiance diversifiée et véritablement souveraine.

Compléter l’alinéa 4 par la phrase :

« L’autorité nationale de la sécurité des systèmes d’information veille à ce que les processus de certification, de qualification et d’agrément soient fondés sur des critères techniques objectifs, transparents et non-discriminatoires, afin de garantir leur accessibilité aux logiciels libres et aux solutions proposées par les petites et moyennes entreprises innovantes. »

Amendement de repli

L’ENISA a publié le 26 juin un guide technique d’implémentation de la directive NIS2. Pour les entités visées par la directive ayant une activité dans un autre pays de l’Union européenne et plus largement dans la perspective de l’évolution de la réglementation européenne et l’avènement probable d’un futur règlement européen, il est proposé que le référentiel technique produit par l’agence européenne puisse être utilisé comme référence par les personnes visées à l’alinéa 1 de l’article 14.

À l’alinéa 1, après le mot :

« d’information »,

insérer les mots :

« ou publié par l’Agence de l’Union européenne pour la cybersécurité ».

Cet amendement a le même objet que l’amendement n°109 mais concerne les déclarations des entités financières qui relèvent de la compétence de l’Autorité des marchés financiers.

Rédiger ainsi cet article :

« I. – Après l’article L. 621‑9‑3 du code monétaire et financier, il est inséré un article L. 621‑9‑4 ainsi rédigé :

« Art. L. 621‑9‑4. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité des marchés financiers adressent à l’Autorité des marchés financiers leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité des marchés financiers leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

« III. – Les déclarations et notifications mentionnées au I et au II du présent article sont réalisées par le biais d’un document unique transmis simultanément à l’Autorité des marchés financiers et à l’autorité nationale de sécurité des systèmes d’information. »

"II.- Au tableau du I des articles L. 783-8, L. 784-8 et L. 785-7 du même code, après la ligne :

« 

l
»

est insérée la ligne suivante :

« 

».

L’objectif de cet amendement est de rappeler l’objectif de souveraineté numérique dans le processus de certification.

Compléter l’alinéa 2 par les mots : 

« et aux enjeux de souveraineté numérique ».

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

À l’alinéa 1, après la seconde occurrence du mot :

« cybersécurité »,

insérer les mots :

« et de souveraineté numérique ».

Cet amendement supprime l’article 42 du projet de loi, dont l’objet n’est pas de transposer une stipulation de la directive « NIS 2 ».

Supprimer cet article.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Compléter l’alinéa 10 par les mots :

« et d’autonomie stratégique numérique ».

Amendement d’appel :

La directive NIS 2 prévoit que les nouvelles entités importantes doivent s’auto-déclarer auprès de l’autorité de tutelle. Il est à craindre qu’un certain nombre d’entre elles, nouvellement concernées par ces obligations de cybersécurité, tardent à identifier leur nouvelle obligation et y répondent. Bien au fait de la pleine conscience de l’ANSSI de l’enjeu de sensibilisation, un travail d’identification croisé doit cependant être opéré, via le code NAF ou NACE, sur les critères édictés (filière, CA, effectifs) et par les acteurs publics, pour s’assurer de bien identifier et présensibiliser les entreprises nouvellement destinataires de nouvelles obligations afin de les informer et accompagner au mieux.

La durée de 3 ans doit permettre d’être en cohérence avec les annonces récentes de l’ANSSI sur l’entrée en application des contrôles à venir par l’autorité.

Compléter cet article par l’alinéa suivant :

« Dans les trois ans après la promulgation de la présente loi, l’État identifie et sensibilise les entités concernées dans des conditions précisées par décret. »

Cet amendement vise à transposer les dispositions de l’article 29 de la directive NIS 2, qui prévoient l’existence d’accords de partage d’informations en matière de cybersécurité, permettant aux entités essentielles, aux entités importantes et à leurs prestataires en matière de cybersécurité d’échanger des informations détaillées et opérationnelles sur les menaces cyber, afin de mieux y faire face.

Les considérants 119 et 120 de la directive NIS 2 rappellent l’importance de ce dispositif « : « le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. […] Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité.

« À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données. »

Si les échanges de données qui ne sont pas des données personnelles semblent possibles au regard du droit actuel, l’amendement en question lève toute interrogation concernant les échanges de données personnelles qui seraient contenues ou qui seraient l’objet même de ce partage, conformément au considérant 121 de la directive, qui décrit le recours à la base légale de l’intérêt légitime pour fonder les traitements de données à caractère personnel qui pourraient être effectués à cette occasion et reconnaît que le partage de données concernées est conforme aux exigences du règlement général sur la protection des données (RGPD).

Amendement travaillé avec le Cybercercle.

Les entités essentielles et importantes ainsi que, le cas échéant, leurs fournisseurs ou prestataires de services peuvent échanger entre eux, à titre volontaire, au sein de communautés, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités ou non, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques, techniques et procédures adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations :

1° Vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact ;

2° Renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.

Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.

Les échanges volontaires des informations prévues au premier alinéa peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses internet protocol, les localisateurs de ressources uniformes, les noms de domaine, les adresses électroniques, les informations compromises ou encore les horodatages lorsqu’ils révèlent des données à caractère personnel.

Ces traitements de données à caractère personnel sont considérés comme nécessaires à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par leurs fournisseurs ou prestataires de services, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Ces accords de partage d’informations précisent les éléments opérationnels, y compris le recours éventuel à des plateformes de technologies de l'information et de la communication spécialisées et d’outils d’automatisation, le contenu et les conditions, notamment de sécurisation renforcée, de ces partages.

Lorsque des autorités publiques ou les centres de réponse aux attaques informatiques participent à ces accords de partage et mettent à disposition tout ou partie des informations  dont elles disposent, elles respectent les conditions prévues par décret en Conseil d’État.

Les entités essentielles et importantes notifient à l’autorité nationale de sécurité des systèmes d’information sans délai indu leur participation aux accords de partage d’informations en matière de cybersécurité visés au présent article lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords une fois que le retrait prend effet.

Cet amendement précise que les produits, services ou processus mentionnés à l'alinéa 7 de l'article 14 du projet de loi peuvent faire l’objet d’un audit et répondent à des critères de transparence.

Il précise en outre qu'à ce titre, une priorité est donnée aux solutions présentant le plus haut niveau de transparence, d’ouverture et de réversibilité.

Après l’alinéa 7, insérer l’alinéa suivant :

« Il veille en outre à ce que lesdits produits, services ou processus puissent faire l’objet d’un audit et répondent à des critères de transparence. Une priorité est donnée aux solutions présentant le plus haut niveau de transparence, d’ouverture et de réversibilité. »

L’objectif de cet amendement est :

– D’intégrer des notions de : auditabilité, transparence, portabilité et interopérabilité des technologies choisies par les entités essentielles et les entités importantes afin notamment de réduire le risque de dépendance numérique, de maximiser la résilience des réseaux et systèmes, de permettre la continuité des activités.

– Rappeler l’objectif de souveraineté numérique dans le processus de certification.

I. – Compléter l’alinéa 4 par les mots : 

« et la transparence ainsi que la capacité des technologies utilisées à être auditées afin de faciliter l’investigation et la résolution desdits incidents ».

II. – En conséquence au même alinéas, substituer à la dernière occurrence du mot :

« et »,

le signe :

« , ».

Cet amendement vise à garantir le maintien des exigences en matière de sécurité et de confiance des systèmes et prestataires des détections des incidents de sécurité des Opérateurs d’Importance Vitale au niveau équivalent à celui en vigueur. En effet, depuis la loi de programmation militaire de 2013, les OIV doivent avoir recours à des systèmes et prestataires de service de détection des incidents de sécurité et les prestataires qualifiés par l’ANSSI. Ces systèmes doivent par ailleurs être exploités sur le sol national. Actuellement, l’ANSSI délivre aux produits et prestataires qualifiés un Visa de sécurité, accessible après une procédure de qualification particulièrement exigeante.

Or à l’article 16 du projet de loi, ces dispositions sont remplacées par des exigences spécifiques qui ne concernent plus uniquement les systèmes de détection mais plus généralement tout dispositif matériel ou logiciel ou prestataire de service dont le recours peut être prescrit aux OIV. Surtout, les critères retenus ne sont pas aussi exigeants que le dispositif en vigueur : il peut s’agir de dispositifs et prestataires certifiés ou agréés (et non plus uniquement qualifiés) et ces derniers ne doivent plus obligatoirement être exploités sur le sol national.

Pour des raisons de sécurité nationale, nous proposons donc de maintenir les exigences pour les systèmes et prestataires de détection des incidents de sécurité des OIV en reprenant la rédaction actuellement en vigueur à l’article L1332‑6‑1 (article qui sera supprimé par les aliénas 55 et suivants de l’article premier du présent projet de loi).

Amendement travaillé avec des entreprises de cybersécurité membres de fédérations ad hoc.

Compléter cet article par l’alinéa suivant :

« Les exigences spécifiques mentionnées à l’alinéa 2 peuvent prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’Autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’État désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre. »

L’objectif de cet amendement est :

– D’intégrer des notions de : auditabilité, transparence, portabilité et interopérabilité des technologies choisies par les entités essentielles et les entités importantes afin notamment de réduire le risque de dépendance numérique, de maximiser la résilience des réseaux et systèmes, de permettre la continuité des activités.

– Rappeler l’objectif de souveraineté numérique dans le processus de certification.

Compléter l’alinéa 5 par les mots : 

« , en favorisant la libre intégration et l’interopérabilité des technologies et protocoles utilisés, ainsi que la portabilité des données ».

Amendement de repli sur la reconnaissance d’équivalence délivrées par les autorités européennes (Enisa, BSI, CCB, CCN…).

Compléter l’alinéa 1 par les mots : 

« ou par tout organisme européen recommandant des référentiels et exigences équivalents. »

Cet amendement a pour objet de préciser que les mesures techniques et organisationnelles garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de résilience adapté et proportionné au risque.

À la deuxième phrase de l’alinéa 1, après le mot :

« sécurité »,

insérer les mots :

« et de résilience ».

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents majeurs liés aux TIC et les notifications volontaires des cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).

Contrairement à la rédaction adoptée par le Sénat, une communication simultanée et par le biais d’un formulaire unique est toutefois prévue au bénéfice de l’Agence nationale de sécurité des systèmes d’information (ANSSI), de manière obligatoire pour les entités assujetties au titre II du projet de loi et sur une base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

Cette rédaction permet de concilier la simplification des démarches à accomplir par les entreprises concernées tout en permettant l’intervention rapide de l’ANSSI.

En effet, une transmission à la seule ACPR engendrerait des délais importants, notamment en cas d’incidents nocturnes ou le week-end, l’ACPR ne disposant ni d’un système d’astreinte ni d’un portail de déclaration accessible en continu, contrairement à l’ANSSI. Ces délais peuvent être très préjudiciables dans le cadre de la gestion d’incidents cyber majeurs. Certains incidents peuvent affecter directement la situation prudentielle d’un établissement ou perturber la continuité de ses services essentiels. Dans ce contexte, une information directe et simultanée des autorités financières est indispensable pour permettre une réaction rapide, prévenir tout risque de contagion et sécuriser les intérêts des clients.

Rédiger ainsi cet article :

« I. - Après l’article L. 612‑24 du code monétaire et financier, il est inséré un article L. 612‑24‑1 ainsi rédigé :

« Art. L. 612‑24‑1. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b du 2° du A du I de l’article L. 612‑2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information.

« III. – Les déclarations et notifications mentionnées au I et au II du présent article sont réalisées par le biais d’un document unique transmis simultanément à l’Autorité de contrôle prudentiel et de résolution et à l’autorité nationale de sécurité des systèmes d’information. »

« II. – Au tableau du I des articles L. 783‑2, L. 784‑2 et L. 785‑2 du même code, après la ligne :

« 

 »

est insérée la ligne suivante :

«

 ».

Amendement d’appel à définition :

Suivant en cela la recommandation contenue dans l’avis du Conseil d’État, le Sénat a défini la résilience dans le Titre I du projet de loi.

Toutefois, la rédaction retenue pour cette définition ne porte que sur l’acception de ce mot dans le chapitre du code de la défense relatif à la résilience des activités d’importance vitale.

Le Titre II, qui porte sur le renforcement de la lutte contre la cybercriminalité et qui crée pour les entités des obligations en matière de résilience, ne propose pas de définition de ce mot, ce qui pourrait créer une certaine incertitude dans l’application de la loi.

Après l’alinéa 7, insérer l’alinéa suivant :

« 5˚ bis Résilience : la capacité à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir rapidement ; ».

Comme le souligne l’alinéa 14 de cet article, un incident important peut avoir des conséquences graves, ce qui justifie que les autorités compétentes du secteur d’activité concerné et éventuellement la CNIL en soient informées afin de prendre les mesures nécessaires.

Selon le principe du « dites-le nous une fois » et afin que l’entité victime de l’incident important se concentre sur son traitement, l’autorité nationale de sécurité des systèmes d’information, première destinatrice de la notification doit assurer la transmission des notifications aux administrations ou autorités concernées.

L’entité victime sera réputée avoir rempli les obligations légales de notification propres à son activité par la notification de l’incident au guichet unique opéré par l’autorité nationale de sécurité des systèmes d’information.

Amendement travaillé avec le Cybercercle.

Substituer à l’alinéa 18 les cinq alinéas suivants :

« L’autorité nationale de sécurité des systèmes d’information opère le guichet unique de déclaration de tout incident mentionné au premier alinéa. Elle transmet sans délai aux administrations concernées selon les obligations légales des personnes mentionnées à l’article 14 de la loi n° les notifications prévues aux sixième, septième, neuvième et dixième alinéas.

« En particulier, lorsque la notification est réalisée par l’entité assujettie au guichet unique de déclaration prévu ci-dessus, l’autorité nationale de sécurité des systèmes d’information a la charge :

« – de transmettre aux autorités compétentes les déclarations des incident majeurs prévus à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier;

« – de transmettre à l’autorité de contrôle visée à l’article 55 ou 56 du règlement (UE) 2016/679 (la Commission Nationale de l’Informatique et des Libertés) les notifications des violations de données personnelles prévues aux articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 et 83-II de la Loi n° 78‑17 du 6 janvier 1978.

« Dans tous les cas, les délais impartis pour ces notifications prévus par les législations applicables sont considérés comme satisfaits si la notification est réalisée dans les délais impartis auprès du guichet unique de déclaration prévu ci-dessus. »

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

À l’alinéa 2, après le mot :

« cybersécurité »,

insérer les mots :

« et d’autonomie stratégique numérique ».

Cet amendement vise à prendre en compte le rôle stratégique des systèmes de détection des menaces en permettant, comme pour les OIV, la définition d’exigences spécifiques pour ces services et solutions. En effet, contrairement à la loi française qui prévoit un traitement spécifique pour les solutions de détection eu égard à leur caractère stratégique, NIS 2 ne procède pas à une hiérarchie explicite en fonction des technologies utilisées. Pourtant, les obligations strictes qu’elle impose en matière de notification des incidents rend en pratique obligatoire l’utilisation de systèmes de détection des menaces performants. Dans ce contexte, cet amendement prévoit la définition par l’État d’exigences spécifiques pour les systèmes de détection des menaces. Celles-ci pourront être mises en place via la qualification déjà existante de l’ANSSI pour les OIV (Visa de Sécurité) ou un référencement par une fédération professionnelle représentative du secteur (comme l’Alliance pour la Confiance Numérique.)

Amendement travaillé avec des entreprises de cybersécurité membres de fédération ad hoc.

Après l’alinéa 3, insérer l’alinéa suivant :

« Les entités essentielles et importantes mettent en œuvre les exigences du référentiel mentionnées à l’article 14 ainsi que les exigences spécifiques fixées par le Premier ministre en matière de mise en œuvre de systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. »

Afin de rendre plus lisible l’action de l’ANSSI et de limiter les litiges, il importe de clarifier les conditions de choix de l’opérateur des contrôles ainsi que les raisons qui pourraient permettre d’exonérer les entités contrôlées du coût du contrôle.

Compléter cet article par l’alinéa suivant :

« Un décret en Conseil d’État fixe les critères de délégation des audits par l’autorité nationale de sécurité des systèmes d’information à un organisme indépendant qu’elle aura désigné et les circonstances susceptibles d’exonérer l’entité contrôlée du coût du contrôle. ».

Cet amendement vise à s’assurer que la sanction éventuellement prononcée prenne en compte d’une part l’impact des manquements aux obligations de l’entité visée sur ses clients, fournisseurs ou écosystème et d’autre part les enjeux stratégiques (intelligence économique), économiques, technologiques ou sociaux liés à l’entité.

L’expertise sectorielle d’un représentant du ministère en charge du secteur d’activité de l’entité visée complètera les expertises techniques et juridiques des autres membres de la commission des sanctions.

Amendement travaillé avec le Cybercercle.

Après l’alinéa 2, insérer l’alinéa suivant :

« 1° bis Un représentant du ministère compétent du secteur d’activité auquel appartient l’entité pour laquelle la commission est saisie ; ».

Cet amendement vise à ce que la liste des entités essentielles et importantes soit la plus conforme possible à la réalité des secteurs d’activités concernés. Les opérateurs d’importance vitale mentionnés au titre I du projet de loi sont désignés par les ministères coordonnateurs du secteur auxquels ils appartiennent. Les acteurs visés par le titre III sont notamment désignés par les ministères économiques et financiers.

En cohérence, cet amendement vise à apporter l’expertise les ministères coordonnateurs des secteurs d’activités mentionnés par le projet de loi afin que les listes élaborées d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.

Ainsi, certaines entités ne correspondant pas aux critères prédéfinis d’entité importante ou essentielle pourraient être intégrées à la liste des entités concernées pour des critères stratégiques, économiques, technologiques ou sociaux relevant de l’analyse des ministères coordonnateurs. D’autres entités connues des ministères coordonnateurs pourraient omettre de s’enregistrer.

Amendement travaillé avec le Cybercercle.

Compléter l’alinéa 1 par les mots : 

« , après avis des ministères compétents des secteurs d’activité mentionnés à l’article 7 de la présente loi ».

Cet amendement élargit le champ de l'article 16 bis pour inclure, au-delà des outils techniques tels que les portes dérobées ou les clés maitresses, des pratiques telles que la création d'un accès non consenti aux données protégées ou la mise en place d'un protocole de remise systématique de copies de clés privées qui, in fine, auraient le même effet que les outils techniques précités.

À l’alinéa unique, après le mot :

« mécanisme »,

insérer les mots :

« ou processus ».

Proposition de modification substantielle de l’article 14.

Le présent amendement vise à renforcer les objectifs de sécurité et de résilience numérique inscrits dans ce projet de loi en s’assurant que les mesures de cybersécurité prises par les entités critiques reposent sur des fondations techniques saines, maîtrisées et souveraines. Cet amendement s’inscrit dans la continuité de l’article 16 de la loi n° 2016‑1321 pour une République numérique, qui dispose déjà que les administrations doivent veiller « à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information ». Il propose d’étendre cette exigence à l’ensemble des entités essentielles et importantes et de la traduire en critères techniques objectifs. En effet, une sécurité effective et une résilience durable ne peuvent être atteintes avec des solutions opaques ou qui créent une dépendance excessive. C’est pourquoi cet amendement propose d’introduire cinq critères fondamentaux pour guider le choix des technologies et services :

1. Auditabilité et transparence : Une entité ne peut sécuriser efficacement une « boîte noire ». La capacité d’auditer le fonctionnement d’un logiciel est indispensable pour s’assurer de l’absence de vulnérabilités cachées ou de portes dérobées. La directive NIS 2 elle-même, dans son considérant 52, souligne que « Les sources ouvertes peuvent conduire à un processus de vérification plus transparent ».

2. Interopérabilité et pérennité : La résilience d’une infrastructure est compromise si elle est dépendante d’une technologie propriétaire unique (« enfermement propriétaire »). Cette notion est au cœur de l’analyse des dépendances exigée pour les OIV à l’article L. 1332‑4 du code de la défense, tel que modifié par le présent projet de loi.

3. Maîtrise : Ce critère est la condition de notre souveraineté numérique. Le rapport d’information de l’Assemblée Nationale « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (dit « rapport Latombe », n°4299, 2021) insiste sur les trois grands principes pour l’État que sont la liberté de choix, la maîtrise technologique et la réversibilité. Le présent amendement traduit directement ces principes en obligations pour les entités critiques.

En introduisant ces critères, cet amendement dote les entités concernées et l’autorité de contrôle (ANSSI) d’une boussole claire pour le choix des solutions, sans imposer une technologie particulière. Il encourage une approche vertueuse de la sécurité, fondée sur la confiance et la vérification, et aligne la France sur les ambitions maintes fois réaffirmées par le Parlement en matière de souveraineté numérique.

I. – Après la deuxième phrase de l’alinéa 1, insérer la phrase :

« Le choix de ces mesures tient compte de leur capacité à être audités, de la transparence de leur fonctionnement, de leur interopérabilité, de leur résilience et de la maîtrise qu’elles permettent d’acquérir sur les systèmes d’information afin de minimiser les dépendances technologiques à l’égard de prestataires tiers en présentant pas de garanties suffisantes de conformité aux exigences de cybersécurité et de souveraineté numérique telles que fixées par la stratégie nationale dans une perspective de long terme. »

II. – En conséquence, compléter l’alinéa 8 par les mots :

« , en veillant au respect des principes énoncés au premier alinéa du présent article. »

Cet amendement propose une harmonisation terminologique entre la directive et la loi de transposition en ce qui concerne la dénomination des vulnérabilités.

En effet la notion de « vulnérabilités critiques » n’existe pas dans la directive NIS2 qui utilise le qualificatif « important ». Il est important de rester fidèle à la dénomination de la directive pour assurer la lisibilité du texte en France et éviter une asymétrie de transposition entre les différents pays de l’Union Européenne.

I. – À l’alinéa 15, substituer au mot :

« critiques »,

le mot :

« importantes ».

II. – À la première phrase de l’alinéa 17, substituer au mot :

« critique »,

le mot :

« importante ».

Cet amendement met en place un mécanisme de sanction à l’encontre des collectivités territoriales en cas de manquement aux obligations prévues au titre 2 du projet de loi. En cas de manquement, dans un premier temps, la commission des sanctions enjoint la collectivité territoriale concernée à mettre en place un plan de remédiation. Si ce plan n’a pas été mis en place, la commission des sanctions peut prononcer une amende administrative dont le montant ne peut excéder 10 millions d’euros.

Cet amendement se fonde sur le point n°16 de l’avis du Conseil d’État, qui indique que l’exemption dont bénéficient les collectivités territoriales « ne peut être admise » car « leur exclusion du champ des sanctions méconnaît à la fois le principe d’égalité et les objectifs de la directive ».

I. – À l’alinéa 2, supprimer les mots :

« des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, ».

II. – À l’alinéa 3, supprimer les mots :

« des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, ».

III. – Après l’alinéa 4, insérer l’alinéa suivant :

« En cas de manquement aux obligations prévues au présent titre, la commission des sanctions enjoint aux collectivités territoriales de mettre en place un plan de remédiation dans un délai d’une semaine à compter de la constatation du manquement. Si le plan de remédiation n’a pas été mis en place, la commission des sanctions peut prononcer à l’encontre de la collectivité territoriale une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d’euros. ».

Amendement d’appel.

Depuis sa création l’ANSSI a produit de nombreuses certifications permettant aux utilisateurs d’identifier les produits, solutions et prestataires les plus sécurisées et conformes à l’état de l’art dans le champ de la cybersécurité.

Il est essentiel de s’appuyer sur ces derniers pour faciliter la mise en conformité des entités dont le niveau de connaissance en cybersécurité qui peut s’avérer partiel, tout en assurant une nécessaire cohérence avec nos voisins européens en privilégiant les référentiels de l’ENISA.

Cet équilibre entre norme européenne de l’ENISA et savoir-faire reconnu de l’ANSSI nécessite une discussion parlementaire.

I. – À l’alinéa 7, substituer aux mots :

« peut prescrire »,

les mots :

« prescrit prioritairement ».

II. – Compléter l’alinéa 7 par les mots :

« , subsidiairement par l’autorité désignée à l’article 5 de la loi n°   , dans le cadre des ses missions définies par décret en Conseil d’État. »

Dans des objectifs précis, il s’agit de s’assurer que les entités essentielles et importantes puissent être destinatrices des informations concernant les menaces et qu’elles-mêmes puissent partager des informations relatives à une menace (une adresse IP par exemple) sans que l’on puisse leur opposer une autre réglementation (RGPD).

Afin de prévenir ou de traiter une atteinte à un système d’information, les organismes publics ou privés visés à l’article 24 de la loi n°   sont autorisés à communiquer les informations nécessaires aux entités essentielles ou importantes concernées.

Les informations partagées sont réputées respecter les législations relatives à la protection des données.

Cet amendement supprime l’article 41 du projet de loi, dont l’objet n’est pas de transposer une stipulation de la directive « NIS 2 ».

Supprimer cet article.

Cet amendement supprime l’article 38 du projet de loi, dont l’objet n’est pas de transposer une stipulation de la directive « NIS 2 ».

Supprimer cet article.

Cet amendement conditionne la prescription au recours à des produits, des services ou des processus après la réalisation d’une étude des risques de dépendance stratégique liés au choix de ces produits, services ou processus.

Compléter l’alinéa 7 par les mots : 

« , après réalisation d’une étude des risques de dépendance stratégique liés au choix de ces produits, services ou processus. »

Amendement de repli.

Rédiger ainsi cet article :

« Les personnes mentionnées à l’article 14 de la loi n° qui mettent en œuvre les exigences des référentiels mentionnées au sixième alinéa du même article 14 sont, jusqu’à preuve du contraire, présumées mettre en œuvre le niveau de sécurité adapté et proportionné aux objectifs mentionnés au même alinéa du même article, le cas échéant, au moyen d’un label.

« Un décret en conseil d’État fixe les modalités de concertation des ministères, des représentants des entités concernées et des associations d’élus pour définir la liste des labels reconnus. »

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

À l’alinéa 5, après le mot :

« cybersécurité »,

insérer les mots :

« et de dépendance numérique ».

La rédaction actuelle issue des travaux du Sénat de l’article 15 prévoit que les personnes mentionnées à l’article 14 qui mettent en œuvre les exigences du référentiel mentionné au sixième alinéa du même article 14 ou qui mettent en œuvre tout autre référentiel reconnu comme équivalent par l’autorité nationale de sécurité des systèmes d’information peuvent s’en prévaloir auprès de celle‑ci lors d’un contrôle, le cas échéant au moyen d'un label de confiance approuvée par elle.

La rédaction actuelle ne permet donc pas aux assujettis respectant le ou les référentiels définis à l’alinéa 6 de l’article 14 :

– ni d’inverser explicitement la charge de la preuve – ce sera toujours à eux de démontrer ce respect ;

– ni de se prévaloir d’une position favorable à cet égard de l’autorité nationale de sécurité des systèmes d’information devant les tribunaux si une action en responsabilité est engagée par un tiers contre l’assujetti du fait du non-respect des obligations prévues au titre de la présente loi et lui ayant causé un préjudice.

Le respect du ou des référentiels définis à l’alinéa 6 de l’article 14 doit permettre d’inverser la charge de la preuve du respect des objectifs de sécurité et de ne pas la faire reposer sur l’assujetti, conformément d’ailleurs à la position d’autres pays européens ayant transposé la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148.

L’inversion de la preuve permet également des gains financiers à la fois pour les entités régulées, mais aussi pour l’État lors des opérations de contrôle qui sont de fait simplifiées.

Amendement travaillé avec le Cybercercle.

Rédiger ainsi cet article :

« La mise en œuvre par les personnes mentionnées à l’article 14 de la loi n° des exigences des référentiels mentionnées au sixième alinéa du même article 14 vaut présomption, sauf preuve contraire, de la mise en œuvre du niveau de sécurité adapté et proportionné aux objectifs mentionnés au même alinéa du même article. »

Tout incident entraîne « des pertes financières » de quelques centaines d’euros (ou heures de travail) à plusieurs dizaines de millions d’euros.

Il est souhaitable de qualifier ces pertes financières comme « importantes » ou « significatives ».

À l’alinéa 3, après le mot :

« financières »,

insérer le mot :

« significatives ».

Amendement de cohérence avec le 4˚ de cet article (alinéa 5).

Le projet de loi prévoyait dans sa version initiale que les entités devaient mettre en place un pilotage de la sécurité des réseaux et systèmes d’information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques.

Le Sénat, considérant que ce texte « sous-transposait » l’art. 20 de NIS2, a voulu à juste titre renforcer ces dispositions afin que les mesures prévues garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné aux risques existants.

Cependant la rédaction adoptée par le Sénat, non homogène avec le reste de l’article, et notamment avec le 4˚ (alinéa 5), risque de créer une ambiguïté, d’obliger à des formations ne prenant pas en compte le degré d’exposition aux risques des personnes concernées et d’entraîner ainsi des coûts inutiles de formation du personnel, alors que l’objectif tel que décrit dans le rapport du Sénat est de former les dirigeants comme les personnels exposés aux risques cyber aux grands enjeux en matière de cybersécurité.

Compléter l’alinéa 2 par les mots :

« en fonction de leur degré d’exposition au risque ».

Amendement d’appel :

De nombreuses réglementations numériques, sectorielles et non sectorielles, viennent s’imposer aux entreprises.

Le projet de loi Résilience numérique dispose actuellement, au travers de l’article 13, que l’entreprise devra se conformer au texte le plus contraignant : cette formulation laisse la place à une appréciation individuelle desdites entreprises. De fait, afin de s’assurer de l’usage systématique de la réglementation la plus exigeante, l’État devrait proposer un référentiel, piloté par l’ANSSI, permettant de s’assurer du respect de la hiérarchie des exigences. 

L’idée ici n’est pas d’alourdir la charge de l’ANSSI en communiquant individuellement la hiérarchisation des normes qui s’impose pour chaque entreprise mais bien de poser des lignes directrices auxquelles chacun pourra se référer pour faciliter la mise en conformité. In fine, cet amendement tend à limiter la charge de l’ANSSI en réduisant les possibilités d’erreurs de mise en conformité.

Compléter cet article par l’alinéa suivant :

« Tous les deux ans, l’autorité nationale de sécurité des systèmes d’information publie et actualise des lignes directrices d’analyse des différentes réglementations européennes permettant de hiérarchiser le degré d’exigence de chacune pour les entités concernées. »

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Compléter la première phrase de l’alinéa 12 par les mots :

« et de souveraineté numérique ».

Le titre II du projet de loi vise à transposer la directive NIS 2 en étendant les obligations en matière de cybersécurité à un plus grand nombre d’entités, notamment à l’ensemble des intercommunalités.

Si cette extension aux collectivités territoriales est justifiée par la nécessité de renforcer la résilience des collectivités face aux risques d’attaques numériques, elle pose néanmoins un problème majeur pour les plus petites collectivités : petites communes rurales, certaines intercommunalités à fiscalité propre, en particulier les communautés de communes et les communautés d’agglomération, qui ne disposent pas toujours des ressources humaines et financières suffisantes pour répondre à ces exigences.

Selon une étude de l’IDATE « Implémentation de la directive NIS 2 : Quels enjeux pour la France ? » (2024), l’effort financier demandé aux collectivités est considérable, dans un contexte budgétaire déjà contraint. Pour les collectivités, le coût annuel des solutions de cybersécurité est estimé à 690 millions d’euros, auxquels s’ajoutent 105 millions d’euros par an pour les ressources humaines nécessaires. Depuis 2021, le parcours cybersécurité du plan France Relance a montré l’intérêt d’un accompagnement ciblé. Or, seules 78 communautés de communes sur 992 ont pu bénéficier de ce dispositif, contre 139 communautés d’agglomération sur 227 et 15 métropoles sur 22. Une majorité de petites intercommunalités risque donc de ne pas pouvoir se conformer aux nouvelles obligations sans soutien supplémentaire.

Cet amendement ne remet pas en cause l’application de la directive NIS 2 aux intercommunalités, mais propose d’accompagner sa mise en œuvre en prévoyant la création d’un fonds de soutien dédié. Ce dispositif permettra de garantir que toutes les collectivités, y compris les plus petites, disposent des moyens nécessaires pour assurer leur mise en conformité, et ainsi renforcer de manière homogène et effective la résilience numérique des territoires.

Amendement proposé par Intercommunalités de France

Après l’alinéa 9, insérer l’alinéa suivant :

« 5° quater À : La création d’un fonds de soutien spécifiquement destiné à accompagner les collectivités territoriales et les établissements publics de coopération intercommunale à fiscalité propre qualifiés d’entités importantes ou essentielles n’ayant pas bénéficié du « parcours de Cybersécurité » du plan France relance. »

Conformément à la directive NIS 2, cet amendement vise à inscrire dans la stratégie nationale de cybersécurité un volet « gestion des vulnérabilités » incluant la promotion et la facilitation de la divulgation coordonnée des vulnérabilités.
 
L’augmentation de la menace cyber nous oblige à donner un cadre clair et lisible à une pratique permettant d’accélérer la correction des failles, réduisant ainsi le risque d’attaques cyber sur les entreprises, les administrations et les collectivités.
 
Aujourd’hui, il nous faut par exemple davantage encadrer et protéger l’activité des hackers éthiques qui participent à renforcer la sécurité des systèmes d’information en divulguant des vulnérabilités. De même, pour arriver à une standardisation encouragée européenne, il est nécessaire que la France se mette à jour des référentiels ISO en matière de divulgation coordonnée des vulnérabilités et de gestion des vulnérabilités.

Après l’alinéa 10, insérer l’alinéa suivant : 

« 7° Un volet sur la gestion des vulnérabilités, incluant la promotion et la facilitation de la divulgation coordonnée des vulnérabilités. »

Le mécanisme de contrôle prévu à l'article 29 prévoit que l'ANSSI peut déléguer les contrôles à des organismes indépendants.

Eu égard au caractère très sensible de ces contrôles et des données récoltées, il est impératif de veiller à ce que ces organismes soient européens.

C'est pourquoi cet amendement vise à expliciter cette condition dans le texte de la loi.

Compléter l’alinéa 4 par les mots :

« et dont le siège social se situe dans un État membre de l’Union européenne ».

amendement de repli 

Cet amendement vise à garantir une présence minimale de compétence en cybersécurité au sein des communautés de communes, sans imposer une structuration trop lourde ni des exigences disproportionnées.
La désignation d’un référent en cybersécurité, même mutualisé, constitue une première étape essentielle pour renforcer la résilience numérique des collectivités, tout en tenant compte des moyens humains et financiers souvent limités de ces entités.
Le référent agit comme point de contact local, capable de relayer les consignes nationales, d’identifier les failles, et de sensibiliser les agents. Cette approche pragmatique est adaptée à la diversité des réalités territoriales.

Les communautés de communes désignent un référent en cybersécurité, chargé de coordonner les actions de prévention, de sensibilisation et de réponse aux incidents numériques. Ce référent peut être mutualisé entre plusieurs collectivités territoriales.

Aujourd’hui, les petites et moyennes entreprises peuvent se tourner vers une multitude d’acteurs publics comme l’ANSSI, les CSIRT territoriaux, la plateforme Cybermalveillance.gouv.fr ou encore le COMCYBER-MI pour répondre aux menaces cyber dont elles doivent faire face. Dans un souci de clarté, la directive NIS 2 mentionne la création d’un point de contact au niveau national ou régional qui leur permettrait de naviguer plus facilement dans cet univers fragmenté.
 
Un décret pourrait préciser l’organisme qui assurera ce rôle et les modalités d’articulations avec les acteurs existants.

Après l’alinéa 10, insérer l’alinéa suivant : 

« 7° Un volet sur la désignation d’un point de contact au niveau national ou régional, fournissant soit des orientations et une assistance aux petites et moyennes entreprises, soit en les orientant vers les organismes appropriés pour leur fournir des orientations et une assistance en ce qui concerne les questions liées à la cybersécurité. »

En 2024, l’ANSSI indique, dans son panorama de la cybermenace, avoir traité 4 386 événements de sécurité, soit une hausse de 15 % par rapport à 2023. Cet amendement vise donc à intégrer au sein de la stratégie nationale en matière de cybersécurité, les besoins spécifiques des petites et moyennes entreprises afin de les aider à répondre aux exigences que leur impose l’accroissement des menaces cyber, notamment des rançongiciels qui constituent leur principale menace.
 
Selon plusieurs estimations, le coût moyen de mise en conformité pour une entité soumise aux exigences cyber de la directive NIS 2, oscillerait entre 200 000 et 400 000€.

Après l’alinéa 10, insérer l’alinéa suivant : 

« 7° Un volet dédié aux petites et moyennes entreprises précisant les modalités d’accompagnement, notamment financiers, pour faire face aux enjeux de sensibilisation, au manque de sécurité informatique à distance et au coût élevé des solutions de cybersécurité et à l’accroissement des menaces ou encore, à l’accès des services tels que la configuration de sites internet et la journalisation. »

Cet amendement propose une harmonisation terminologique entre la directive et la loi de transposition en ce qui concerne la dénomination des vulnérabilités.
 
En effet la notion de « vulnérabilités critiques » n’existe pas dans la directive NIS2 qui utilise le qualificatif « important ». Il est important de rester fidèle à la dénomination de la directive pour assurer la lisibilité du texte en France et éviter une asymétrie de transposition entre les différents pays de l’Union Européenne.

Cet amendement a été travaillé avec NUMEUM.

I. – À l’alinéa 15, substituer au mot :

« critiques »,

le mot :

« importantes ».

II. – À la première phrase de l’alinéa 17, substituer au mot :

« critique »,

le mot :

« importante ».

Face à la multiplication des cyberattaques ciblant les collectivités territoriales, y compris les plus petites, cet amendement introduit l’obligation pour les communautés de communes de se doter d’un RSSI.
Le RSSI est un acteur clé de la gouvernance de la cybersécurité. Il est en capacité de piloter une stratégie de sécurité des systèmes d'information cohérente, adaptée aux enjeux de protection des données, de continuité d'activité et de conformité réglementaire.
La possibilité de mutualisation permet d'assurer cette compétence, y compris pour les structures de taille modeste, tout en instaurant un niveau d’exigence clair et homogène sur l’ensemble du territoire.

Chaque communauté de communes désigne un responsable de la sécurité des systèmes d’information chargé de définir, mettre en œuvre et superviser la politique de cybersécurité de l’établissement public. Le responsable peut être mutualisé entre plusieurs collectivités territoriales, sous réserve d’une convention de coopération.

L’article 28 du projet de loi prévoit des sanctions lorsqu’une entité fait obstacles aux demandes d’informations de l’ANSSI, ou en cas de fourniture de renseignements incomplets. Ce dernier point semble disproportionné : l’urgence inhérente à une crise cyber ne permet pas toujours à une entité de fournir l’ensemble des informations requises dans les délais impartis, sans pour autant que sa bonne foi ne puisse être remise en cause. Un tel régime de sanction apparait ainsi particulièrement répressif et n’est pas de nature à installer un cadre de confiance entre les entités et les autorités.

Cet amendement propose par conséquent d’introduire une gradation et un critère d’intention dans la sanction administrative prévue par le projet de loi en cas de fourniture incomplète d’informations à l’ANSSI par les entités. Il est ainsi proposé d’une part d’intégrer dans l’article 28 la notion d’intention (marquée par le terme « sciemment ») pour exclure de la sanction les entités agissant de bonne foi, et d’autre part de reproduire une disposition issue de l’article 33 du RGPD sur la transmission progressive des informations en fonction de la disponibilité de celles-ci.

Cet amendement a été travaillé avec NUMEUM.

À l’alinéa 2,

1° Après le mot :

« fournissant »,

insérer le mot :

« sciemment » ;

2° Compléter l’alinéa par la phrase :

« Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »

Comme pour la transposition de la directive REC, le projet de loi exclut, dans le cadre cette fois-ci de l’application de la directive NIS 2, les administrations de l’État et ses établissements publics administratifs, les collectivités territoriales, leurs groupements et leurs établissements publics administratifs du champ du régime des sanctions administratives applicables aux entités essentielles.
 
Le Conseil d’État estime également qu’une telle différence de traitement avec les opérateurs privés n’est pas justifiée, et ceux, même si le gouvernement disposerait à leur égard « d’autres moyens que ces amendes pour garantir le respect de leurs obligations. »

À l’alinéa 2, supprimer les mots :

« à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs ».

Le projet de loi exclut les administrations de l’État et ses établissements publics administratifs, les collectivités territoriales, leurs groupements et leurs établissements publics administratifs du champ des sanctions administratives applicables aux opérateurs d’importance vitale. 
 
Le Conseil d’État estime qu’une telle différence de traitement avec les opérateurs privés n’est pas justifiée et méconnait à la fois le principe d’égalité et les objectifs de la directive, qui prévoit à son article 22 que les États membres : « déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions » qui « doivent être effectives, proportionnées et dissuasives ».
 
De plus, le Conseil d’État a assez justement noté que « certaines activités d’importances vitales, telles que celles relatives à la fourniture d’eau potable, peuvent être assurées soit par des opérateurs privés dans le cadre d’une concession, soit en régie par des collectivités. »

À l’alinéa 91, supprimer les mots : 

« , à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, ».

L’article 27 du projet de loi prévoit que les agents de l’ANSSI peuvent accéder en cas de contrôle aux systèmes d’informations, aux logiciels, aux programmes informatiques et aux données stockées d’une entité, sans que cette dernière ne puisse y opposer le secret des affaires. Cette disposition concerne des informations confidentielles et hautement stratégiques pour les entités concernées : un encadrement accru de ce pouvoir d’accès apparait nécessaire pour garantir aux entités concernées un haut niveau de protection de leurs secrets commerciaux.

Le présent amendement propose par conséquent d’introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.

Cet amendement a été travaillé avec NUMEUM.

À l’alinéa 5, après le mot : 

« Accéder »,

insérer les mots :

« , lorsque cela est directement nécessaire à l’accomplissement de leur mission, ».

Cet amendement renforce la résilience des infrastructures critiques en imposant aux entités essentielles et importantes la réalisation d’un audit complet de cybersécurité tous les quatre ans, réalisé par un organisme qualifié.
L’ANSSI peut demander la transmission des résultats des audits et vérifier leur conformité. En cas de non-conformité, elle peut adresser un avis de mise en conformité avec un délai pour régulariser la situation, puis exiger un plan de correction et sa preuve de mise en œuvre si les déficiences persistent.
Cette disposition s’inspire de l’Allemagne, où les audits peuvent être exigés tous les trois ans, et de l’Italie, qui prévoit une procédure graduée de régularisation avant sanction, assurant ainsi un contrôle efficace et une correction progressive des vulnérabilités.

Les entités essentielles et importantes sont tenues de réaliser un audit complet de cybersécurité au moins une fois tous les quatre ans, effectué par un organisme qualifié.

L’Agence nationale de la sécurité des systèmes d’information peut demander la transmission des résultats de ces audits.

En cas de non-conformité ou de déficiences en matière de sécurité, l’Agence nationale de la sécurité des systèmes d’information peut adresser à l’entité concernée un avis de mise en conformité, fixant un délai pour régulariser la situation. Si les déficiences persistent au-delà du délai imparti, l’Agence nationale de la sécurité des systèmes d’information peut exiger la présentation d’un plan de correction approprié et la preuve de sa mise en œuvre.