Logo : Sénat français

CS Cybersécurité

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(n° 33 )

N° COM-60

3 mars 2025
 

AMENDEMENT

présenté par
Retiré

Mme MORIN-DESAILLY

ARTICLE 12

Alinéa 1

Compléter cet alinéa par une phrase ainsi rédigée :

Dans les trois années qui suivent l'entrée en application de la loi, l’ensemble des entités concernées sont informées et sensibilisées par les ministères concernées.

Alinéa 2

Rédiger ainsi cet alinéa :

Dans le respect des modalités de chiffrement de bout en bout ainsi que de protection des données recueillies des lois extraterritoriales, les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises sont définis par décret en Conseil d’État.

Objet

La directive NIS 2 prévoit que les nouvelles entités importantes doivent s’auto-déclarer auprès de l’autorité de tutelle. Il est à craindre qu’un certain nombre d’entre elles, nouvellement concernées par ces obligations de cybersécurité, tardent à identifier leur nouvelle obligation et y répondent. Un travail d’identification croisé doit être opéré, via le code NAF ou NACE, sur les critères édictés (filière, CA, effectifs) et par les acteurs publics, pour identifier et pré-sensibiliser les entreprises nouvellement destinataires de nouvelles obligations pour les informer et accompagner au mieux. La durée de 3 ans doit permettre d’être en cohérence avec les annonces récentes de l’ANSSI sur l’entrée en application des contrôles à venir par l’Autorité.

Les obligations prévues par NIS 2, REC et DORA vont conduire les entités régulées à transmettre régulièrement informations et données sensibles à l’ANSSI. Il est primordial que ce partage se fasse dans des conditions de sécurité importantes et qui préservent les données d’un risque d’extra-territorialisation. Comme le suggère la recommandation n°11 du rapport de la CSNP, il est primordial que ce partage se fasse au travers de mécanismes de protection des informations divulguées afin de garantir la confidentialité des données, potentiellement sensibles, et de les préserver d’un risque d’extra-territorialisation, conformément à l’article 31 de la LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique.