AMENDEMENT

I.- Après l'article 5

Insérer un article additionnel ainsi rédigé :

Dans chaque département, un sous-préfet est identifié en qualité de référent en matière de cybersécurité et de résilience des infrastructures pour coordonner, en lien avec l'autorité nationale de sécurité des systèmes d'information, l'accompagnement des collectivités territoriales à la fois dans leurs obligations de renforcement en matière de cybersécurité et dans l'aide au maintien des services publics essentiels en cas de perturbation des services numériques.

Il anime une cellule de gestion du risque cybersécurité, et organise, en lien avec les associations d'élus, la mutualisation éventuelle des moyens des collectivités nécessaires à la cybersécurité et cyberésilience ainsi que le partage d'expérience.

Il veille notamment à la mise en œuvre de plans de résilience par les collectivités pour assurer la continuité des missions de service public. Il apporte tout l'appui nécessaire de l'administration décentralisée en lien avec les administrations centrales lorsque ces services publics locaux sont étroitement liées à des missions régaliennes ou nationales (état civil, élections, éducation...).

II.- En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :

Renforcer l’accompagnement des collectivités : identification d'un sous-préfet référent cybersécurité et résilience

Beaucoup de collectivités se sentent encore très éloignées des enjeux de cybersécurité alors qu’elles sont souvent la cible privilégiée de cyberattaques en raison de leur rôle critique dans la gestion de nombreuses données sensibles et de leur proximité avec les administrés et qu'elles doivent garantir la continuité des missions essentielles de services publics. Les villes moyennes concernées et les communautés de communes notamment, s’inquiètent également de la mise en jeu de leurs responsabilités en cas de non-conformité des systèmes d'information et de continuité des missions de services publics.

Le changement d'échelle opéré par la directive NIS2 porte non seulement sur le nombre de collectivités concernées mais également sur un changement d'approche basée sur la résilience des activités malgré les perturbations subies en cas d'attaque de cybersécurité. Cela nécessite de mettre en place un dispositif d'ampleur d’information et d'accompagnement des entités nouvellement concernées qui devront s'auto-identifier et auto-évaluer leur conformité. 

Reprenant l’esprit d’une recommandation de son avis n°2023-06 du 12 septembre 2023 sur la souveraineté numérique, la Commission supérieure du numérique et des postes (CSNP) pose à nouveau le rôle que les préfets pourraient jouer dans la mise en conformité à NIS2 des collectivités.

Il est proposé de consolider le maillage territorial d'accompagnement des collectivités, en lien avec l'ANSSI.

Aussi notre amendement propose, dans chaque département, qu'un sous-préfet soit identifié en matière de cybersécurité pour coordonner l’accompagnement des collectivités territoriales dans leurs obligations de renforcement en matière de cybersécurité et de maintien des missions de services publics en cas de perturbation des services numériques (il est précisé qu'il s'agit de confier cette mission à un sous-préfet déjà en place). 

L’objectif est d'apporter une réponse organisée et centralisée face à des crises où l'interruption des services numériques rendrait difficile l'exécution des missions essentielles. Le sous-préfet aura pour mission de veiller à la mise en œuvre de plans de résilience par les collectivités.

Il animera une cellule de gestion du risque cybersécurité, et organisera, en lien avec les associations d’élus, la mutualisation des moyens des collectivités et le partage d’expérience.