|
CS Cybersécurité |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (n° 33 ) |
N° COM-27 28 février 2025 |
AMENDEMENTprésenté par |
|
||||
|
Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET et les membres du groupe Socialiste, Écologiste et Républicain ARTICLE ADDITIONNEL APRÈS ARTICLE 5 |
|||||
I.- Après l'article 5
Insérer un article additionnel ainsi rédigé :
L’État met en place un plan national d'accompagnement au renforcement de la cybersécurité sur 5 ans qui identifie les compétences nécessaires et les besoins de formations sur les territoires.
Un volet de ce plan est dédié à l'accompagnement technique et financier des TPE et PME, ainsi qu'aux villes moyennes et petites intercommunalités.
Le plan clarifie le rôle des CSIRT territoriaux, et leur financement, dans l’accompagnement des entités nouvellement soumises à la directive NIS2 et la mutualisation des moyens des collectivités.
Un bilan de la mise en œuvre de la directive NIS2 est réalisé deux ans après la promulgation de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité pour évaluer les difficultés et ajuster les mesures d'accompagnement.
II.- En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :
Chapitre …
De l'accompagnement des entités soumises à des exigences renforcées de cybersécuritéObjet
Accompagnement des entités nouvellement soumises à des exigences renforcées de cybersécurité
Le changement d'échelle induit par la directive NIS 2 représente un véritable défi avec un nombre d’entités régulées passant de 500 actuellement à 15 000 entités, et avec une augmentation du nombre de secteurs régulés de 6 à 18.
La mise en œuvre de la directive NIS2 pose des défis majeurs et notamment le risque de saturation des ressources expertes et le coût financier. Les exigences accrues en cybersécurité risquent de peser lourdement particulièrement pour les nouvelles entités concernées : le coût de mise en conformité est estimé à 2 milliards d’euros, dont 1,3 milliard pour les entreprises de taille moyenne et à 690 millions d’euros par an pour les collectivités (hors coût des recrutements rendus nécessaires).
Comme souligné par la Commission supérieure du numérique des postes (CSNP), certaines des entités nouvellement soumises aux dispositions de la directive sont moins dotées en ressources humaines, techniques et financières. Et au-delà des coûts, certains territoires ne disposent tout simplement pas des ressources humaines ou de prestataires compétents en matière de cybersécurité pour accompagner les nouvelles entités essentielles ou importantes au sens de la directive NIS 2.
Le Conseil d’État, dans son avis du 6 juin 2024, estime également indispensable un effort d'information et d'accompagnement soutenu et réactif de l’État au profit des entités concernées par le directive NIS2.
La réussite de la mise en œuvre des exigences renforcées de cybersécurité, dans un temps que l'on souhaite le plus court possible, est donc subordonnée à la capacité de l’État à accompagner ces nouvelles entités.
Notre amendement propose donc d'introduire un chapitre dédié à l'accompagnement des entités nouvellement soumises à des exigences renforcées de cybersécurité, et tout particulièrement à destination des TPE et des PME ainsi qu'aux villes moyennes ou petites intercommunalités.
Ce plan d’accompagnement identifiera les besoins de financements et de formations.
Il clarifiera le rôle joué par les CSIRT territoriaux dans l’accompagnement des entités concernées par la directive NIS 2 et dans le regroupement et la mutualisation des moyens des collectivités, leur répartition sur le territoire en hexagone comme en outre-mer et leur financement.
Il dressera un bilan de la mise en œuvre de la directive NIS2 pour évaluer les difficultés et ajuster les mesures d'accompagnement.