Résilience des infrastructures critiques et renforcement de la cybersécurité

Cet amendement du groupe Horizons & Indépendants propose de sécuriser juridiquement la dématérialisation des actes établis par les agents et personnels compétents en matière de cybersécurité et de contrôle, mentionnés à l’article 26.

Il prévoit que ces actes pourront être établis, signés et conservés exclusivement sous format numérique, dans des conditions garantissant leur intégrité et leur sécurité, sans nécessité de support papier ni de sceau. Une signature électronique unique et sécurisée, conforme aux standards techniques, assurera la valeur probante des actes, quels que soient leur nombre de pages ou le nombre de signataires. L’objectif est de moderniser et simplifier les procédures administratives, conformément à l’exigence de sobriété normative.

Les actes mentionnés au présent titre, établis par les agents et personnels mentionnés à l’article 26, peuvent être établis ou convertis sous format numérique et peuvent être intégralement conservés sous cette forme, dans des conditions sécurisées, sans nécessité d’un support papier.

Lorsque ces actes sont établis sous format numérique et que les dispositions du présent titre exigent qu’ils soient signés, ils font l’objet, quel qu’en soit le nombre de pages et pour chaque signataire, d’une signature unique sous forme numérique, selon des modalités techniques qui garantissent que l’acte ne peut plus ensuite être modifié. Ces actes n’ont pas à être revêtus d’un sceau.

Les modalités d’application du présent article sont précisées par voie réglementaire.

Cet amendement du groupe Horizons & Indépendants propose de transposer directement une disposition prévue à l’article 7 de la directive (UE) 2022/2555 (NIS 2), qui invite les États membres à promouvoir la formation, l’éducation, la sensibilisation et la diffusion des bonnes pratiques en matière de cybersécurité. Il renforce le rôle de la stratégie nationale de cybersécurité dans la montée en compétences de l’ensemble des acteurs, condition indispensable à la résilience collective de notre pays face aux cybermenaces.

Il s’agit de promouvoir et développer l’éducation et la formation en cybersécurité, la recherche et l’innovation, mais aussi la sensibilisation des citoyens et la diffusion de bonnes pratiques de « cyberhygiène ». La cybersécurité n’est plus seulement l’affaire des spécialistes : elle concerne tout autant les grandes entreprises que les collectivités, associations, PME ou particuliers.

La Revue nationale stratégique 2025 souligne avec force que la résilience doit devenir un réflexe partagé par l’ensemble de la Nation. Elle appelle à la mobilisation de toutes les compétences – publiques comme privées, nationales comme locales – pour renforcer notre capacité de résistance et de rebond face aux menaces hybrides, dont les cyberattaques constituent un volet majeur. En cohérence avec ces préconisations, le présent amendement vise à embarquer l’ensemble de la société dans l’effort de cybersécurité, en diffusant une véritable culture de la résilience numérique. Il permet de faire de la stratégie nationale non seulement un outil de régulation, mais aussi un vecteur de pédagogie et d’appropriation citoyenne des enjeux de sécurité numérique.

Rédiger ainsi l’alinéa 9 :

« 5° ter La promotion et le développement de l’éducation et de la formation en matière de cybersécurité, des compétences en matière de cybersécurité, des initiatives de sensibilisation et de recherche et développement en matière de cybersécurité, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entités. »

Cet amendement du groupe Horizons & Indépendants vise à préciser que le soutien apporté par l’État aux entités soumises à la directive NIS 2 pourra inclure des moyens financiers. De nombreuses collectivités territoriales et petites entités concernées par le texte ont des moyens humains et techniques limités pour renforcer leur cybersécurité. Sans appui budgétaire, elles risqueraient d’avoir des difficultés à se mettre en conformité. En exprimant que le soutien puisse être aussi financier, l’amendement garantit que la stratégie nationale prévoira tous les outils nécessaires pour accompagner les acteurs locaux dans la mise en œuvre de leurs obligations.

À l’alinéa 8, après le mot :

« soutien »,

insérer les mots :

« , y compris financier, ».

Cet amendement du groupe Horizons & Indépendants vise à compléter la stratégie nationale de cybersécurité par la prise en compte des perspectives de coopération européenne. Les cyberattaques ne connaissent pas de frontières : elles touchent simultanément plusieurs États membres et appellent une réponse collective. La directive NIS 2 et la directive sur la résilience des entités critiques encouragent déjà cette coopération via les réseaux européens (CSIRTs Network, CyCLONe).

Il est donc pertinent que la stratégie nationale inclue explicitement la dimension européenne afin de renforcer l’autonomie stratégique de l’Europe, en capitalisant sur les échanges d’informations, les bonnes pratiques et les coopérations opérationnelles. Cette orientation est cohérente avec le rapport annexé à la loi de programmation militaire 2024‑2030, qui souligne que « la solidarité européenne dans le domaine de la cyberdéfense permet actuellement l’échange de bonnes pratiques, l’assistance aux nations en difficulté et le partage d’information. Avec un degré de maturité suffisante de ses capacités nationales de cyberdéfense et de celles de ses partenaires, la France pourra pleinement participer à doter l’Europe d’un « bouclier cyber » ».

Après l’alinéa 6, insérer l’alinéa suivant :

« 4° ter Les perspectives de coopération à l’échelle européenne propres à renforcer l’autonomie stratégique de l’Europe ; ».

Cet amendement du groupe Horizons & Indépendants vise à permettre au Premier ministre, par arrêté, d’exempter certaines entités exerçant des missions régaliennes – sécurité nationale, sécurité publique, défense, répression pénale – de certaines obligations prévues par la loi en matière de cybersécurité, lorsqu’elles agissent dans le cadre de ces activités.

L’objectif est de concilier l’application de la directive (UE) 2022/2555 dite NIS 2 avec les impératifs de souveraineté et de sécurité nationale. Certaines obligations générales de notification ou de supervision peuvent, dans ce cadre spécifique, entrer en tension avec des nécessités opérationnelles ou de confidentialité liées à la défense ou à la répression pénale.

Cette faculté d’exemption, strictement encadrée par arrêté du Premier ministre, permet de préserver la résilience des entités stratégiques de l’État, sans remettre en cause le niveau global de protection prévu par la directive. Elle s’inscrit pleinement dans les marges de flexibilité reconnues aux États membres par NIS 2 en matière de sécurité nationale.

Compléter cet article par l’alinéa suivant :

« II. – Le Premier ministre peut, par arrêté, exempter certaines personnes mentionnées à l’article 14 de la présente loi qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou ainsi que de la répression pénale, ou qui fournissent des services exclusivement aux administrations de l’État et leurs établissements publics à caractère administratif exerçant ces activités, de certaines obligations prévues par les articles 14 et 17 de la présente loi, en ce qui concerne ces activités ou services. »