|
CS Cybersécurité |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (n° 33 ) |
N° COM-128 3 mars 2025 |
AMENDEMENTprésenté par |
|
||||
|
MM. CANÉVET, CHAIZE et SAURY, rapporteurs ARTICLE 49 |
|||||
Rédiger ainsi cet article :
Les I et II de l’article L. 521-10 du code monétaire et financier sont ainsi rédigés :
« I. – Les prestataires de services de paiement déclarent à l’Autorité de contrôle prudentiel et de résolution tout incident opérationnel ou de sécurité majeur lié au paiement. Les prestataires de services de paiement mentionnés au I et au c) du II de l’article L. 521-10 réalisent cette déclaration conformément aux dispositions de l’article 23 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
« Lorsque les prestataires de services de paiement déclarent ces incidents à l’Autorité de contrôle prudentiel et de résolution, ils le font dans les conditions prévues par l’article 19 de ce règlement, à l’exception des entités mentionnées aux a) et b) du II de l’article L.521-1.
« L’Autorité de contrôle prudentiel et de résolution prend, au besoin, des mesures appropriées, conformément aux dispositions de l’article 22 dudit règlement, à l’exception des mesures relatives aux entités mentionnées aux a) et b) du II de l’article L.521-1.
« En application de l’article L.631-1, l’Autorité de contrôle prudentiel et de résolution communique ces incidents et, le cas échéant, les mesures prises à la Banque de France aux fins de l’accomplissement par celle-ci de ses missions prévues à l’article L.141-4.
« II. – La Banque de France évalue les incidents opérationnels ou de sécurité majeurs liés au paiement. Elle prend au besoin des mesures appropriées et en informe l’Autorité de contrôle prudentiel et de résolution en application de l’article L.631-1. »
Objet
Cet amendement vise à répercuter en droit français la fusion prévue à l’article 23 du règlement DORA entre les dispositifs de déclarations d’incidents opérationnels ou de sécurité liés au paiement prévue par la deuxième directive sur les services de paiement (DSP2) et le dispositif de déclarations d’incidents liés aux technologies de l’information et de la communication prévu par le règlement DORA, pour les entités soumises à cette double notification.
L’amendement permet de préciser que la Caisse des dépôts et consignations (CDC), qui figure au c) du II de l’article L. 521-10, sera soumise aux obligations de notification d’incident de DORA. Cette application à la CDC est conforme à la pratique consistant à rapprocher le cadre prudentiel applicable à la CDC de celui applicable aux établissements de crédit de droit commun, tout en tenant compte des particularités de la CDC.
Par ailleurs, pour l’ensemble des prestataires de paiement, il met fin à l’exigence de notification des incidents de sécurité majeurs auprès de la Banque de France, laquelle notification sera réalisée par l’intermédiaire de l’Autorité de contrôle prudentiel et de résolution. La Banque de France conserve toutefois la prérogative de prendre des mesures appropriées en réponse à un incident majeur lié au paiement, en en informant l’ACPR.