|
Direction de la séance |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 394 , 393 ) |
N° 68 10 mars 2025 |
AMENDEMENTprésenté par |
|
||||||||
|
Mme GRÉAUME, M. GAY et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky ARTICLE 9 |
|||||||||
Alinéa 5
Remplacer les mots :
de communes
par les mots :
d'agglomération ne comprenant aucune commune de 30 000 habitants et plus
Objet
Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS 2 du 14 décembre 2022, qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’Etat.
Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »
Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.
L'absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.
Quels seront les moyens réels et disponibles pour les collectivités ? Quelles seront les modalités d’accompagnement de l’État auprès des collectivités pour se conformer aux nouvelles exigences ?
Ces inquiétudes particulières sont notamment pointées pour des communautés de communes et les communautés d’agglomération.
C’est pourquoi, le présent amendement proposé par l'AMF :
1/ d’insérer dans le périmètre des « Entités importantes » les communautés d’agglomération dont aucune commune membre n’a le statut d’ « Entité essentielle ». Cela concernerait 120 communautés d’agglomération qui seraient alors soumises aux règles applicables aux « Entités importantes ».
Cette mesure de concordance vise à éviter des distorsions dans l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des « Entités essentielles ».
2/ de retirer les communautés de communes du périmètre des « entités importantes », considérant que leurs moyens financiers et en ingénierie sont insuffisants pour appliquer les exigences du texte et du projet de référentiel dans le contexte actuel. Il s’agit ainsi de leur laisser le temps nécessaire pour mettre en place de nouvelles règles de cybersécurité, lesquelles doivent être adaptées à leur réalité.
Ainsi, l’information et la formation des élus et des agents sont indispensables, tout comme la diffusion de bonnes pratiques, or le projet de loi ne prend pas en compte ces aspects.
Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.