|
Direction de la séance |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 394 , 393 ) |
N° 33 10 mars 2025 |
AMENDEMENTprésenté par |
|
||||||||
|
Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET et les membres du groupe Socialiste, Écologiste et Républicain ARTICLE 17 |
|||||||||
Alinéa 1
Remplacer les mots :
incident ayant un impact important
par les mots :
incident important ayant un impact
Objet
Le texte prévoit que les entités doivent notifier à l'ANSSI "tout incident ayant un impact important sur la fourniture de leurs services".
Les travaux de la commission ont permis, à juste titre, de préciser la notion d'incident important dans l'esprit de la directive NIS2.
Comme souligné par la Commission supérieure du numérique et des postes (CSNP) dans son avis rendu le 3 octobre 2024, il n'est cependant pas opportun de lier la notion d'incident à l'importance de son impact : il n’est pas rare en effet qu’une cyberattaque ne soit pas immédiatement identifiée et que l’ampleur de son impact, important ou pas, puisse parfois être difficilement évaluable. Par ailleurs, cette notion est sujette à interprétation et ne sera pas forcément perçue de la même manière selon les entités.
Cette notion d'incident important est centrale dans la directive et doit pouvoir s'apprécier selon des éléments objectifs pour guider aux mieux les entités concernées.
L'amendement du groupe SER propose donc d'utiliser les termes "incident important ayant un impact..." plutôt que "incident ayant un impact important..." en cohérence avec les travaux de la commission.