Résilience des infrastructures critiques et renforcement de la cybersécurité

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS2 du 14 décembre 2022, qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’Etat.

Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Les nouvelles obligations imposées par ce projet de loi entraîneront des charges supplémentaires importantes pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées -, alors que dans le même temps, les déclarations récentes du Gouvernement appellent à un effort très important des collectivités locales au déficit public (chiffrés à 5,3 milliards hors CNRACL), tout comme les rapports de la Cour des Comptes qui invitent à contraindre davantage l’augmentation des dépenses de fonctionnement du bloc communal.

Imposer de nouvelles normes couteuses dans ce contexte relève d’une injonction contradictoire, quel qu’en soit le caractère légitime de l’intention.
 
Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communautés de communes et de leurs communes membres et du contexte financier actuel afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.

L'absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière Cyber peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Ces préoccupations touchent particulièrement les communautés de communes, situées en zone rurale, où l’accès à un certain niveau d’ingénierie est souvent difficile. Elles couvrent de vastes territoires peu denses et leur centralité repose généralement sur de petits bourgs dont les capacités techniques et les ressources financières sont limitées. Les structures de mutualisation numérique de plus grande envergure (GIP, syndicats mixtes, etc.) ne sont pas encore présents partout et leurs moyens sont variables.
 
C’est pourquoi et afin de tenir compte de ces situations et des ressources disponibles sur le territoire des communautés de communes tant en ingénierie que financière, le présent amendement propose :
 
1/ de retenir dans le périmètre des « Entités importantes » les communautés de communes dont la population totale regroupée est égale ou supérieure à 30 000 habitants. Cela concernerait 211 communautés de communes qui seraient alors soumises aux règles applicables aux « Entités importantes ».

2/ d’exclure les communautés de communes de moins de 30 000 habitants du périmètre des « entités importantes », considérant que leurs moyens financiers et en ingénierie sont trop insuffisants pour appliquer les exigences du texte et du projet de référentiel dans le contexte actuel.

Il s’agit ainsi de leur laisser le temps nécessaire pour mettre en place de nouvelles règles de cybersécurité, lesquelles doivent être adaptées à leur réalité, comme pour les communes de moins de 30 000 habitants.

Cette mesure a également pour objectif de ne pas créer une pression supplémentaire dans la mise en œuvre des règles de cybersécurité alors que le marché est déjà sous tension (les communautés de communes entreront dans ce marché en même temps que de très nombreuses entreprises).

Pour autant, il est primordial d’assurer l’information et la formation des élus comme des agents, ainsi que de promouvoir la diffusion des bonnes pratiques dans ces collectivités comme dans les communes ; des enjeux que le projet de loi gagnerait à mieux intégrer (soutien et programme d’actions de l’Etat et de ses opérateurs).
Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités des collectivités.

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 30 000 habitants et plus ».

Pourtant, comme l’indiquait M. le sénateur Cédric Perrin, Président de la commission des affaires étrangères, de la défense et des forces armées, dans l’exposé des motifs de l’amendement qu’il portait sur ce sujet dans le cadre de la « PPL Narcotrafic » : « Les réseaux de narcotrafiquants, les groupes terroristes et, au-delà, toutes les organisations criminelles tirent profit de la généralisation des messageries chiffrées et des difficultés pour les services de renseignement à accéder aux informations qui sont échangées sur ces plateformes. »

S’il est nécessaire que des garanties de sécurité soient données aux utilisateurs et aux messageries cryptées, il est également nécessaire que l’État puisse accéder aux contenus illicites et dangereux pour la sécurité publique. Ceci permet une lutte efficace contre le terrorisme, l'ingérence, la pédocriminalité ou encore la criminalité organisée.

Aussi, le présent amendement vise à supprimer l’article 16 bis.

Des dispositions équilibrées doivent être trouvées pour garantir à la fois la sécurité des messageries cryptées et l’action de l’État.

Supprimer cet article. 

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. 

Or, un renseignement incomplet ou inexact peut être le résultat d’un cas de force majeure, ou de circonstances qui ne dépendent pas uniquement de la personne contrôlée.

C’est pourquoi, afin de garantir une évaluation proportionnée des manquements, il est proposé de préciser que l’absence de coopération de la personne contrôlée est délibérée pour que le manquement soit caractérisé.

À l’alinéa 2, après le mot : 

« obstacle », 

insérer les mots : 

« de façon délibérée ».

L’article 8 du présent projet de loi définit les entités essentielles qui seront concernées par les mesures prévues par la directive NIS2.

Pour définir les entreprises considérées comme des entités essentielles, il est pris en compte plusieurs critères. Dans la rédaction actuelle du projet de loi, celui de la taille de l’effectif et du chiffre d’affaires annuel sont alternatifs. 

Or, selon la directive NIS2, qui s’appuie sur les seuils d’application de la recommandation 2003/361/CE, ce sont les critères du chiffre d’affaires annuel et du total du bilan annuel qui sont alternatifs, en sus de celui de la taille l’effectif.

C’est pourquoi, afin d’effectuer une transposition stricte, il est proposé d’aligner la rédaction du présent projet de loi sur la directive NIS2.

À l’alinéa 2 :

1° Substituer au mot :

« ou » ,

le mot : 

« et ».

2° Substituer au mot :

« et »,

le mot : 

« ou ».

L’article 9 du présent projet de loi définit les entités importantes qui seront concernées par les mesures prévues par la directive NIS2.

Pour définir les entreprises considérées comme des entités importantes, il est pris en compte plusieurs critères. Dans la rédaction actuelle du projet de loi, celui de la taille de l’effectif et du chiffre d’affaires annuel sont alternatifs. 

Or, selon la directive NIS2, qui s’appuie sur les seuils d’application de la recommandation 2003/361/CE, ce sont les critères du chiffre d’affaires annuel et du total du bilan annuel qui sont alternatifs, en sus de celui de la taille de l’effectif.

C’est pourquoi, afin d’effectuer une transposition stricte, il est proposé d’aligner la rédaction du présent projet de loi sur la directive NIS2.

I. – À l’alinéa 2, substituer à la seconde occurrence du mot :

« ou »,

le mot :

« et » ;

II. – Au même alinéa, substituer à la seconde occurrence du mot :

« et »,

le mot :

« ou ».

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS2 du 14 décembre 2022, qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’Etat.

Ainsi, dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Les nouvelles obligations imposées par ce projet de loi entraîneront des charges supplémentaires importantes pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées -, alors que dans le même temps, les déclarations récentes du Gouvernement appellent à un effort très important des collectivités locales au déficit public (chiffrés à 5,3 milliards hors CNRACL), tout comme les rapports de la Cour des Comptes qui invitent à contraindre davantage l’augmentation des dépenses de fonctionnement du bloc communal.

Imposer de nouvelles normes couteuses dans ce contexte relève d’une injonction contradictoire, quel qu’en soit le caractère légitime de l’intention.
 
Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communautés de communes et de leurs communes membres et du contexte financier actuel afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.
L'absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière Cyber peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Ces préoccupations touchent particulièrement les communautés de communes, situées en zone rurale, où l’accès à un certain niveau d’ingénierie est souvent difficile. Elles couvrent de vastes territoires peu denses et leur centralité repose généralement sur de petits bourgs dont les capacités techniques et les ressources financières sont limitées. Les structures de mutualisation numérique de plus grande envergure (GIP, syndicats mixtes, etc.) ne sont pas encore présents partout et leurs moyens sont variables.
 
C’est pourquoi et afin de tenir compte de ces situations et des ressources disponibles sur le territoire des communautés de communes tant en ingénierie que financière, le présent amendement propose :
 
1/ de retenir dans le périmètre des « Entités importantes » les communautés de communes dont la population totale regroupée est égale ou supérieure à 20 000 habitants. Cela concernerait 475 communautés de communes qui seraient alors soumises aux règles applicables aux « Entités importantes ».

2/ d’exclure les communautés de communes de moins de 20 000 habitants du périmètre des « entités importantes », considérant que leurs moyens sont trop insuffisants pour appliquer les exigences du texte et du projet de référentiel. Il s’agit ainsi de leur laisser le temps nécessaire pour mettre en place une nouvelle organisation de la cybersécurité, laquelle doit être adaptée à leur réalité. Cela concernerait 515 communautés de communes.

Cette mesure a également pour objectif de ne pas créer une pression supplémentaire dans la mise en œuvre des règles de cybersécurité alors que le marché est déjà sous tension (les communautés de communes entreront dans ce marché en même temps que de très nombreuses entreprises).

Pour autant, il est primordial d’assurer l’information et la formation des élus comme des agents, ainsi que de promouvoir la diffusion des bonnes pratiques dans ces collectivités comme dans les communes ; des enjeux que le projet de loi gagnerait à mieux intégrer (soutien et programme d’actions de l’Etat et de ses opérateurs).
Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 20 000 habitants et plus ».

Cet amendement vise à prévoir un déploiement territorial de la nouvelle stratégie nationale en matière de cybersécurité prévue à l’article 5 bis.

En transposant la directive NIS 2, ce projet de loi fait le choix de soumettre les collectivités locales à de nouvelles exigences. Il est donc essentiel que la nouvelle stratégie de cybersécurité fasse l’objet d’un déploiement local adapté aux spécificités des territoires. Cela permettra de donner de la visibilité aux élus locaux, de clarifier les rôles de chacun et surtout d’assurer la pérennisation de certains financements. 

À l’alinéa 11, après le mot :

« cybersécurité »,

insérer les mots : 

« fait l’objet d’une mise en œuvre territorialisée. Elle ».

L’article 1^er institue une commission des sanctions contre les opérateurs qui manqueraient à leurs obligations. Cet amendement vise à consacrer l’application du principe du contradictoire tout au long de la procédure devant cette commission.

La commission pourra infliger des sanctions lourdes avec des amendes allant jusqu’à 2 % du chiffre d’affaires annuel mondial d’une entreprise. Dans ces conditions, il est nécessaire d’inscrire explicitement dans la loi le principe du contradictoire. Le décret d’application devra prévoir des garanties suffisantes, l’opérateur devra notamment pouvoir être à même de consulter le dossier établi à son encontre et il devra aussi pouvoir présenter des observations écrites et orales.

À la première phrase de l’alinéa 87, substituer aux mots :

« La commission des sanctions »,

les mots :

« La procédure devant la commission des sanctions est contradictoire, elle ».