|
CS Cybersécurité |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (n° 33 ) |
N° COM-26 28 février 2025 |
AMENDEMENTprésenté par |
|
||||
|
Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET et les membres du groupe Socialiste, Écologiste et Républicain ARTICLE 17 |
|||||
Alinéa 1
Les mots :
ayant un impact important sur la fourniture de leurs services
Sont remplacés par le mot :
important
Objet
Notion d'incident : application stricte de la directive NIS2
Les entités doivent notifier à l'ANSSI "tout incident ayant un impact important sur la fourniture de leurs services".
Il est prévu qu’un décret en Conseil d’État précise les critères d’appréciation des caractères importants et critiques des incidents et vulnérabilités.
Comme souligné par la Commission supérieure du numérique et des postes (CSNP) dans son avis rendu le 3 octobre 2024, il n'est pas opportun de lier la notion d'incident à l'importance de son impact : il n’est pas rare en effet qu’une cyberattaque ne soit pas immédiatement identifiée et que l’ampleur de son impact, important ou pas, puisse parfois être difficilement évaluable. Par ailleurs, cette notion est sujette à interprétation et ne sera pas forcément perçue de la même manière selon les entités.
Cet amendement propose donc d'utiliser les termes "incident important" comme dans la directive NIS2 plutôt que "incident ayant un impact important".