Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 1 18 décembre 2017 |
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 2 rect. 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Mme Maryse CARRÈRE, MM. ARTANO et CASTELLI, Mmes COSTES et Nathalie DELATTRE, MM. GABOUTY, GOLD et GUÉRINI, Mme JOUVE, M. LABBÉ, Mme LABORDE et MM. REQUIER et VALL ARTICLE 7 |
Alinéa 1
Supprimer les mots :
après en avoir pris connaissance
Objet
L'article 7 du projet de loi précise les conditions de déclaration d'un incident significatif d'un opérateur de services essentiels à l'ANSSI. La rédaction du rapporteur constitue déjà une amélioration, avec le remplacement de la mention de "sans retard injustifié", difficilement applicable.
Dans un souci d'efficacité, il est toutefois proposé de supprimer les mots "après en avoir pris connaissance", afin d'obliger les opérateurs victimes d'un tel incident de transmettre le plus rapidement possible les informations nécessaires à l'ANSSI, compte-tenu de l'importance de leurs activités pour la population.
Sans méconnaitre les cas où les cyberattaques sont découvertes plusieurs mois après leur mise en œuvre, les auteurs de cet amendement considèrent que cette mention est inutile, voire qu'elle pourrait des-inciter les opérateurs concernés à contrôler régulièrement l'intégrité de leurs réseaux et systèmes d'information.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 3 18 décembre 2017 |
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 4 18 décembre 2017 |
AMENDEMENTprésenté par | |||
Mme Maryse CARRÈRE ARTICLE 8 |
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 5 18 décembre 2017 |
AMENDEMENTprésenté par | |||
Mme Maryse CARRÈRE ARTICLE 8 |
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 6 rect. 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Mme Maryse CARRÈRE, MM. ARTANO et CASTELLI, Mmes COSTES et Nathalie DELATTRE, MM. GABOUTY, GOLD et GUÉRINI, Mme JOUVE, M. LABBÉ, Mme LABORDE et MM. REQUIER et VALL ARTICLE 8 |
Après l'alinéa 3
Insérer un alinéa ainsi rédigé :
Dans le cadre d'un contrôle, lorsqu'un prestataire de services habilité constate un manquement, il transmet sans délai ces éléments à l'autorité nationale de sécurité des systèmes d'information susmentionnée.
Objet
Cet amendement vise à expliciter l'obligation de transmission d’informations des prestataires de service chargés de contrôler l'application des règles de cybersécurité par les opérateurs de services essentiels à l'ANSSI, en particulier lorsqu'ils constatent des manquements.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 7 rect. 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Mme Maryse CARRÈRE, MM. ARTANO et CASTELLI, Mmes COSTES et Nathalie DELATTRE, MM. GABOUTY, GOLD et GUÉRINI, Mme JOUVE, M. LABBÉ, Mme LABORDE et MM. REQUIER et VALL ARTICLE 8 |
Alinéa 4, première phrase
Remplacer les mots :
peut mettre
par le mot :
met
Objet
Cet amendement vise à rendre le respect des règles de sécurité plus effectif, conformément aux objectifs fixés par la directive.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 8 18 décembre 2017 |
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 9 rect. 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Mme Maryse CARRÈRE, MM. ARTANO et CASTELLI, Mmes COSTES et Nathalie DELATTRE, MM. GABOUTY, GOLD et GUÉRINI, Mme JOUVE, M. LABBÉ, Mme LABORDE et MM. REQUIER et VALL ARTICLE 13 |
Alinéa 1
Supprimer les mots :
après en avoir pris connaissance
Objet
Cet amendement vise, comme proposé à l'article 7, à prévoir que les fournisseurs de service numérique transmettent sans délai à l'ANSSI les incidents dont ils sont la cible.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 10 18 décembre 2017 |
AMENDEMENTprésenté par | |||
Mme Maryse CARRÈRE ARTICLE 14 |
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 11 rect. 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Mme Maryse CARRÈRE, MM. ARTANO et CASTELLI, Mmes COSTES et Nathalie DELATTRE, MM. GABOUTY, GOLD et GUÉRINI, Mme JOUVE, M. LABBÉ, Mme LABORDE et MM. REQUIER et VALL ARTICLE 14 |
Après l'alinéa 3
Insérer un alinéa ainsi rédigé :
Dans le cadre d'un contrôle, lorsqu'un prestataire de services habilité constate un manquement, il transmet sans délai ces éléments à l'autorité nationale de sécurité des systèmes d'information.
Objet
Cet amendement vise à expliciter l'obligation de transmission d’informations des prestataires de services chargés de contrôler l'application des règles de cybersécurité par les fournisseurs de service numérique à l'ANSSI, en particulier lorsqu'ils constatent des manquements.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 12 rect. 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Mme Maryse CARRÈRE, MM. ARTANO et CASTELLI, Mmes COSTES et Nathalie DELATTRE, MM. GABOUTY, GOLD et GUÉRINI, Mme JOUVE, M. LABBÉ, Mme LABORDE et MM. REQUIER et VALL ARTICLE 18 |
Alinéa 3
Supprimer les mots :
professionnelle et privée
Objet
Amendement de précision. La notion d'honorabilité, également utilisée pour accéder à d'autres professions réglementées, se suffit à elle-même.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 13 rect. 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Mme Maryse CARRÈRE, MM. ARTANO et CASTELLI, Mmes COSTES et Nathalie DELATTRE, MM. GABOUTY, GOLD et GUÉRINI, Mme JOUVE, M. LABBÉ, Mme LABORDE et MM. REQUIER et VALL ARTICLE 8 |
Alinéa 1
Remplacer les mots :
peut soumettre
par le mot :
soumet
Objet
Cet amendement vise à rendre les contrôles de la mise en œuvre des règles de sécurité nécessaires à la protection des réseaux et systèmes d'informations plus effectifs, conformément aux objectifs fixés par la directive.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 14 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Le Gouvernement ARTICLE 2 |
Alinéa 2
Rédiger ainsi cet alinéa :
Elles ne sont pas non plus applicables aux opérateurs de services essentiels ni aux fournisseurs de service numérique soumis, en application d’un acte juridique de l’Union européenne, pour les réseaux et systèmes d’information visés au premier alinéa des articles 5 et 12, à des exigences sectorielles de sécurité et de notification d’incidents ayant un effet au moins équivalent aux obligations résultant de l’application des dispositions du présent titre.
Objet
Le présent amendement propose une nouvelle rédaction pour le second alinéa de l'article 2 du projet de loi, plus proche de celle retenue initialement par le Gouvernement.
Ces dispositions transposent l’article 1er, paragraphe 7, de la directive n° 2016/1148 qui prévoit que, lorsque des dispositions sectorielles d’effet au moins équivalent à celles de la directive existent en matière de sécurité des réseaux et des systèmes d’information, celles-ci prévalent sur celles de la directive.
La restriction du champ d’application de la loi appelée par cette disposition de la directive ne doit néanmoins pas conduire à exclure l’intégralité des réseaux et systèmes d’information d’entités qui répondraient à la définition d’opérateurs de services essentiels ou de fournisseurs de service numérique alors que seule une partie de ces réseaux et systèmes seraient soumis à des exigences de sécurité en vertu d’un autre acte juridique de l’Union.
Il convient donc, afin de ne pas sous-transposer la directive, d’exclure du champ d’application du présent projet de loi les seuls réseaux et systèmes d’information soumis à de telles dispositions sectorielles. Ainsi les réseaux et systèmes qui sont nécessaires à la fourniture de services essentiels ou de services numériques qui ne seront pas couverts par ces dispositions, se trouveront bien dans le champ d’application du projet de loi.
Enfin, il convient que les termes d’ « opérateurs économiques essentiels » soient remplacés par les termes d’ « opérateurs de services essentiels ».
Tel est l'objet du présent amendement.
Direction de la séance |
Projet de loi Adaptation dans le domaine de la sécurité au droit de l'UE (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 162 , 161 ) |
N° 15 19 décembre 2017 |
AMENDEMENTprésenté par |
|
||||||||
Le Gouvernement ARTICLE 5 |
Alinéa 2
Compléter cet alinéa par les mots :
, pour les systèmes d’information mentionnés au premier alinéa de l’article L. 1332-6-1 du même code
Objet
Le présent amendement apporte un complément au texte élaboré par la commission des lois.
En effet, les opérateurs d’importance vitale, mentionnés aux articles L.1332-1 et L.1332-2 du code de la défense voient certains de leurs systèmes d’information soumis, en application des articles L. 1332-6-1 et suivants du code de la défense à des exigences plus strictes que celles prévues par la directive n° 2016/1148.
Certains de ces opérateurs ont par ailleurs vocation à être désignés comme opérateurs de services essentiels compte tenu de la liste des types d’entités figurant à l’annexe II de la directive. En première approche, ceux-ci pourraient donc être exclus du champ d’application du présent projet de loi puisqu’ils sont déjà soumis à des obligations au moins équivalentes, ainsi que le permet l’article 3 de la directive.
Toutefois, le dispositif applicable aux opérateurs d’importance vitale s’inscrit dans une stratégie de sécurité nationale de protection et de renforcement de la résilience de la Nation face aux risques majeurs et à ce titre ne concerne que les systèmes d’information de ces opérateurs en lien avec la sécurité nationale (ces systèmes sont définis à l’article L.1332-6-1 du code de la défense).
La directive n° 2016/1148 s’inscrit, elle, dans le cadre du fonctionnement des activités économiques et sociétales du marché intérieur européen et, en conséquence, s’applique à des systèmes d’information en lien avec de telles activités.
Afin que la transposition de la directive soit complète, un même opérateur doit donc pouvoir se voir appliquer le dispositif visé par la directive n° 2016/1148 pour certains de ses systèmes nécessaires à la fourniture de services essentiels et le dispositif applicable aux opérateurs d’importance vitale pour d’autres de ses systèmes.
Il convient donc de n’exclure du champ d’application de la présente loi que les systèmes d’information visés à l’article L. 1332-6-1 du code de la défense et non les opérateurs d’importance vitale eux-mêmes.