Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 107 rect.

11 mars 2025
 

AMENDEMENT

présenté par
C Défavorable
G Favorable
Rejeté

Le Gouvernement

ARTICLE ADDITIONNEL APRÈS ARTICLE 43 A

Après l'article 43 A

Insérer un article additionnel ainsi rédigé :

Après l’article L. 612-24 du code monétaire et financier, il est inséré un article L. 612-24-… ainsi rédigé :

« Art. L. 612-24-…. I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b) du 2° du A du I de l’article L. 612-2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions prévues au titre II de la loi n° X du X relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

Objet

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA). 

Cette désignation permet d’éviter à ces entités d’avoir à adresser deux ou trois déclarations identiques aux différentes autorités financières à la surveillance desquelles elles sont soumises. Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les entités assujetties à NIS2 et, sur base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.



NB :La rectification consiste en un changement de place de l'article additionnel après l'article 52 vers l'article additionnel après l'article 43 A.