|
Direction de la séance |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 394 , 393 ) |
N° 82 rect. 11 mars 2025 |
AMENDEMENTprésenté par |
|
||||||||
|
Mme GRÉAUME, M. GAY et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky ARTICLE 8 |
|||||||||
Alinéa 13
Après les mots :
communautés d'agglomération
insérer les mots :
comprenant au moins une commune d'une population supérieure à 30 000 habitants
Objet
Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS 2 du 14 décembre 2022 qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’État.
Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »
Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.
Les nouvelles obligations imposées par ce projet entraîneront des charges supplémentaires pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées-, alors que dans le même temps, elles doivent maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières.
L’absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.
Quels seront les moyens réels et disponibles pour les collectivités ? Quelles seront les modalités d’accompagnement de l’État auprès des collectivités pour se conformer aux nouvelles exigences ?
Ces inquiétudes sont notamment pointées pour des communautés de communes et les communautés d’agglomération.
C’est pourquoi, le présent amendement propose d’exclure du périmètre des « Entités essentielles » les communautés d’agglomération dont aucune commune membre n’a ce statut (c’est-à-dire dont aucune commune membre n’a 30 000 habitants et plus).
Cela concernerait 120 communautés d’agglomération qui seraient alors intégrées dans le périmètre des « Entités importantes ». En revanche, 110 communautés d’agglomération, qui comptent au moins une commune de plus de 30 000 habitants, resteraient soumises aux règles applicables aux « Entités essentielles ».
Cette mesure de concordance vise à éviter des distorsions pour l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être très coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des « Entités essentielles ».