Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 103

11 mars 2025
 

AMENDEMENT

présenté par
C Favorable
G Favorable
Adopté

Le Gouvernement

ARTICLE 29

I. - Alinéa 3

Remplacer cet alinéa par deux alinéas ainsi rédigés :

...° Audits de sécurité réguliers et ciblés réalisés par l’autorité nationale de sécurité des systèmes d’information ;

...° Audits de sécurité réguliers et ciblés réalisés par un organisme indépendant désigné par l’autorité nationale de sécurité des systèmes d’information ;

III. - Alinéa 6

Rédiger ainsi cet alinéa :

Le coût des mesures mentionnées aux 1°, 2°, 4° et 5° est à la charge de l’autorité nationale de sécurité des systèmes d’information. Celui des mesures mentionnées au 3° est à la charge de la personne contrôlée, sauf, lorsque les circonstances l’exigent, si l’autorité nationale de sécurité des systèmes d’information en décide autrement.

Objet

Le présent amendement tend à modifier les conditions dans lesquelles le coût des contrôles peut être mis à la charge de l’entité assujettie, dans le but d’éviter toute surtransposition.

En l’état du texte, la prise à la charge du coût des mesures de contrôle n’est prévue que lorsque ne révèle pas de manquement. Si le but d’une telle disposition d’encourager la mise en conformité, peut parfaitement être partagé, une telle disposition paraît néanmoins poser plusieurs difficultés. D’une part, une telle disposition s’insère mal dans l’économie générale du projet de loi, puisque dans celle-ci le manquement n’a vocation à être qualifié qu’à l’issue de la procédure d’instruction. D’autre part, une telle disposition pourrait s’apparenter à une sanction financière, prononcée directement par le contrôleur, ce qui va à nouveau à l’encontre du phasage de la procédure de sanction tel que prévu par le projet de loi.

Outre ces difficultés, la rédaction actuelle du texte aboutit à une surtransposition, puisqu’elle revient à faire endosser aux entités assujetties le coût des contrôles dès qu’ils révèlent un manquement, quelle que soit la nature de la mesure de contrôle utilisée pour découvrir ce dernier. Il apparaît donc que le champ d’application de cette prescription est plus large que les cas prévus par la directive dite « NIS 2 », qui ne prévoit la prise à la charge des entités du contrôle que pour les seuls audits de sécurité ciblés.

Afin d’éviter toute surtransposition, il est donc proposé que ne puissent être pris en charge par l’entité assujettie que les coûts résultant des audits de sécurité ciblés, conformément aux articles 32.2 et 33.2 de la directive.