Alinéa 7

Après la première occurrence du mot :

de

rédiger ainsi la fin de l’alinéa :

l’économie ou de la société ainsi qu’à la défense ou à la sécurité de la Nation ;

Le présent amendement tend à restaurer la rédaction initiale du projet de loi.

En effet, si le souhait d’éviter toute surtransposition est pleinement partagé par le Gouvernement, le périmètre de la sauvegarde des activités d’importance vitale (SAIV) n’est pas strictement équivalent à celui de la directive dite « REC » et comprend un volet national.

Afin d’éviter la restriction du périmètre actuel de la SAIV, qui n’est pas souhaitable, le présent amendement tend donc à restaurer la rédaction initiale du projet de loi.

Alinéa 13

Après le mot :

prévenir

rédiger ainsi la fin de l’alinéa :

, à se protéger et à résister contre tout type d’incident afin d’assurer la continuité de la ou des activités d’importance vitale qu’il exerce.

Le présent amendement propose de compléter la définition de « résilience » adoptée par la commission spéciale.

En effet, si cette définition simplifie celle retenue par la directive « REC », qui liste une série de capacités devant être justifiées par un opérateur d’importance vitale dont certaines paraissent difficilement exploitables, deux éléments essentiels de la résilience sont absents de cette définition.

La notion de résilience étant employée dans de nombreux domaines d’activités, elle doit être précise lorsqu’elle s’applique dans un contexte imposant aux acteurs concernés des mesures destinées à la rendre effective.

La définition votée par la commission spéciale ne mentionne pas explicitement la nécessité pour l’opérateur d’adopter des mesures efficaces lui permettant de résister face aux conséquences d’un incident.

En outre, il est essentiel de préciser que les mesures de résilience mises en œuvre par les opérateurs ont pour finalité principale de leur permettre de poursuivre leurs activités d’importance vitale, le rétablissement à un fonctionnement normal de l’opérateur constituant la dernière étape, laquelle sera alimentée du retour d’expérience acquise durant l’incident.

Alinéa 14 

Au début, insérer les mots : 

Après avoir recueilli leurs observations,

Afin de prendre en considération les observations émises par le rapporteur au stade de l’examen du texte en commission, le présent amendement du groupe SER prévoit que la notification à l'opérateur de l'intention de le désigner opérateur d’importance vitale (OIV) doit être l'occasion d'une consultation de l'opérateur concerné par l'autorité administrative (ministre coordonnateur ou préfet de département selon le cas) et non d’une concertation avec cette dernière. 

Le rapporteur a raison de souligner que la procédure de notification ne doit pas être retardée inutilement ou de manière disproportionnée. 

Cependant, le principe de cette consultation étant déjà prévu dans la partie règlementaire du code de la défense, le présent amendement du groupe SER envisage de le consacrer dans la loi en raison des implications que la désignation d’OIV entraîne.  

La consultation préalable est d’autant plus déterminante qu’elle permettra de prendre en considération l’examen de plusieurs facteurs : taille de l'opérateur, allant de la TPE au grand groupe ; secteur d'activité concerné ; probabilité d'occurrence et gravité des risques identifiés.  

Par ailleurs, la systématisation de la prise en compte de la continuité d'activité pour satisfaire au critère de résilience inscrit dans la directive va engendrer des coûts supplémentaires pour l’opérateur. Il en ira de même pour les collectivités territoriales désignées en tant qu'OIV en raison des activités qu'elles assurent pour leurs administrés. 

Il parait donc raisonnable de recueillir préalablement les observations de l’OIV pressenti.

Alinéa 22

Remplacer les mots :

naturels ou d’origine humaine, accidentels ou intentionnels

par les mots :

de toute nature

et les mots :

terroristes et ceux qui revêtent un caractère transsectoriel ou transfrontière

par le mot :

terroriste

Le présent amendement tend à restaurer la rédaction initiale du projet de loi s’agissant de la définition des risques dont les opérateurs d’importance vitale (OIV) doivent procéder à l’analyse.

Il paraît à cet égard préférable de conserver une définition la plus souple et la plus large possible. La mention des risques « de toute nature » semble à cet égard devoir être conservée. Les éléments de définition adoptés par la commission, bien que relativement larges, pourraient ainsi conduire à une analyse lacunaire, alors que l’objectif du dispositif est de contraindre les OIV à procéder à une analyse des risques la plus complète possible.

Alinéa 32, deuxième phrase

Supprimer les mots :

et de sous-traitance

Le présent amendement tend à supprimer la notion de sous-traitance de l’analyse des dépendances que seront tenus de réaliser les opérateurs d’importance vitale (OIV).

En effet, cette notion ne figure pas dans la directive dite « REC », qui se borne à mentionner les seules chaînes d’approvisionnement. En outre, étendre l’analyse des dépendances aux sous-traitants pourrait s’avérer une charge particulièrement lourde pour certains opérateurs.

Afin d’éviter toute surtransposition et restreindre la charge administrative imposée aux opérateurs au strict nécessaire, il est donc proposé de supprimer la notion de sous-traitance.

Alinéa 34

Remplacer le mot :

dont

par les mots :

pour lesquels

Amendement rédactionnel.

Alinéa 35

Après les mots :

Ces mesures

Insérer les mots :

précisent les équipements matériels et les dispositifs numériques installés et mis en œuvre et

Amendement de précision.

L'opérateur d'importance vitale relevant de la catégorie d'entité critique doit assurer une activité d'importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs assurant leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver. 

Alinéa 40 

Compléter cet alinéa par les mots : 

, pris après avis de la Commission nationale de l'informatique et des libertés

Le projet de loi relatif à la résilience des infrastructure critiques et au renforcement de la cybersécurité modifie l’article L. 1332-6 du code de la défense dans une nouvelle rédaction qui prévoit l'élargissement du champ des enquêtes administratives de sécurité aux accès à distance aux Point d’Importance Vitale (PIV), ainsi qu'aux Systèmes d’Information d’Importance Vitale (SIIV), conformément à la directive européenne REC (art. 14). 

L’article L.1332-6 dispose précisément qu’en cas de suspicion, avant d’accorder une autorisation d’accès physique ou à distance à ses PIV et SIIV, l’Opérateur d’Importance Vitale (OIV) peut demander l’avis de l’autorité administrative compétente dans les conditions prévues par l’article L. 114-1 du CSI, selon les modalités fixées par décret en conseil d’État. 

Le présent amendement du Groupe SER du Sénat prévoit d’assortir le décret en Conseil d’État d’un avis de la CNIL. 

Cet avis est d’autant plus justifié que cette nouvelle disposition intéresse les accès physique aux PIV mais également les accès à distance aux PIV et SIIV, d’une part et que ces  enquêtes peuvent donner lieu à la consultation du bulletin n° 2 du casier judiciaire et de traitements automatisés de données à caractère personnel relevant de l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (à l'exception des fichiers d'identification) d’autre part.

Alinéa 40 

Compléter cet alinéa par les mots : 

, pris après avis de la Commission nationale de l'informatique et des libertés

Cet amendement prévoit que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL. Cette garantie est essentielle, ces enquêtes couvrant un champ élargi et pouvant impliquer la consultation du bulletin n°2 du casier judiciaire ainsi que de traitements automatisés de données personnelles (article 26 de la loi n° 78-17 du 6 janvier 1978).

I. - Avant l’article 5

Insérer un article additionnel ainsi rédigé :

L’État met en place un plan national d’accompagnement au renforcement de la cybersécurité sur cinq ans qui identifie les compétences nécessaires et les besoins de formations sur les territoires.

Un volet de ce plan est consacré à l’accompagnement technique et financier des TPE et PME, ainsi qu’aux villes moyennes et petites intercommunalités.

Le plan clarifie le rôle des centres de réponse aux incidents de sécurité informatique territoriaux, et leur financement, dans l’accompagnement des entités nouvellement soumises à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) et la mutualisation des moyens des collectivités.

Un bilan de la mise en œuvre de la directive est réalisé deux ans après la promulgation de la présente loi pour évaluer les difficultés et ajuster les mesures d’accompagnement.

II. – En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :

Chapitre...

De l’accompagnement des entités soumises à des exigences renforcées de cybersécurité

La mise en conformité avec NIS2 représente un coût estimé à 2 milliards d’euros, dont 690 millions d’euros par an pour les collectivités, alors même que nombre d’entre elles manquent de ressources humaines et techniques en cybersécurité.

La Commission supérieure du numérique et des postes (CSNP) et le Conseil d’État ont souligné la nécessité d’un accompagnement renforcé de l’État pour éviter une saturation des capacités d’expertise et assurer une mise en œuvre efficace des exigences de la directive.

Le présent amendement propose donc un plan national d’accompagnement pour les nouvelles entités concernées, en priorité les TPE, PME, villes moyennes et petites intercommunalités. Ce plan :

• Identifie les besoins en financements et formations ;

• Clarifie le rôle des CSIRT territoriaux dans l’accompagnement et la mutualisation des moyens, en métropole comme en outre-mer ;

• Prévoit un bilan d’application de la directive NIS 2 afin d’ajuster les mesures d’accompagnement.

Cet effort structurant est essentiel pour garantir la bonne application des obligations induites par NIS2 sur l’ensemble du territoire.

I. - Alinéa 1

Rédiger ainsi cet alinéa :

Afin de parvenir à un niveau élevé de souveraineté numérique et de le maintenir, le Premier ministre élabore une stratégie nationale, notamment en matière de cybersécurité, qui comprend notamment :

II. - Après l'alinéa 6

Insérer quatre alinéas ainsi rédigés :

...° Un plan de financement de la formation et de la recherche en matière de cyber sécurité;

...° Un plan permettant de financer une véritable doctrine de l’autonomie technologique maximale en matière de renseignement et de cyberdéfense, en faisant du recours à des technologies extra- européennes une exception devant être motivée;

...° Une évaluation du coût de notre dépendance aux solutions numériques  extra-européennes;

...° Une évaluation fine de l'externalisation des services numériques au sens large et du recours aux prestations intellectuelles informatiques par l’État, les organismes publics et les collectivités territoriales ;

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d'une véritable stratégie en faveur de la souveraineté numérique. c'est le sens de notre amendement.

I. - Alinéa 2

Supprimer les mots :

, couvrant en particulier les secteurs mentionnés à l’article 7

II. – Alinéas 3, 5 et 6

Supprimer ces alinéas 

III. -Alinéa 4

Remplacer les mots :

définis au 2°

par les mots :

concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité

Le présent amendement tend à préciser le champ de la stratégie nationale de cybersécurité, dont l’existence a été consacrée par la commission spéciale.

En effet, si le Gouvernement partage l’objectif de lisibilité du droit poursuivi par l’inscription d’une telle stratégie – déjà adoptée et mise à jour régulièrement –, il convient néanmoins que son contenu soit conforme aux visées stratégiques poursuivies par ce type de document. Il est ainsi proposé d’en recentrer le contenu sur trois piliers : la fixation d’objectifs ; la détermination d’une gouvernance permettant la mise en œuvre de ces objectifs ; la définition d’indicateurs de performance garantissant la bonne information de tous. En outre, la stratégie étant globale à l’échelle de la Nation, il est proposé de supprimer la mention des secteurs d’application du présent projet de loi.

Alinéa 6

Après le mot :

publiques

Insérer les mots :

, des communes

La cybersécurité constitue un enjeu majeur pour les collectivités locales, dans un contexte de transformation numérique profonde et de recrudescence des menaces cyber. D'après l'étude sur la maturité des collectivités en matière de cybersécurité réalisée par le GIP ACYMA en 2024[1], une collectivité sur dix déclare avoir été victime d’une ou de plusieurs cyberattaques[2] au cours des 12 derniers mois.

Ces attaques, en constante augmentation, sont loin d’être anodines : elles ont provoqué une interruption d’activité et de service pour plus d’un tiers des communes touchées et une destruction ou un vol de données pour un quart d’entre elles[3]. À La Rochelle par exemple, une cyberattaque subie entre Noël et le jour de l’an 2021 a directement causé l’interruption de plusieurs services publics locaux et notamment le service d’état civil, le service des cimetières ou encore le service de gestion des parkings.

Même si les collectivités prennent de plus en plus conscience du risque cyber, elles ne se sentent pas suffisamment armées en cas d’incident cyber. Seules 14 % d’entre elles se disent préparées en cas de cyberattaque et à peine une collectivité sur cinq dispose d’une procédure de réaction adaptée.[4]

L'amendement du groupe SER a ainsi pour objectif d’accompagner les communes, en particulier celles qui sont exclues du champ d'application de loi, en fournissant des orientations et un soutien facilement accessibles pour répondre à leurs besoins spécifiques.

Il s'agit pour les communes d'appréhender davantage le risque cyber, par exemple, en ajoutant explicitement un volet cybersécurité au sein du plan communal de sauvegarde pour les communes qui en disposent, comme l'avait recommandé l'AMF.

Après l'alinéa 3 

Insérer un alinéa ainsi rédigé

... ° Le cadre d'intervention et le rôle des CSIRT (computer security incident response team) territoriaux dans la politique de cybersécurité, leur financement et leur déploiement sur le territoire en hexagone comme en outre-mer ; 

Véritable vecteur de développement d'une culture cyber de proximité, auprès des PME/TPE comme des collectivités locales, les CSIRT peuvent jouer un rôle important dans l'accompagnement.

L'amendement du groupe SER propose que le gouvernement clarifie le rôle joué par les CSIRT territoriaux, leur répartition sur le territoire, en hexagone comme en Outre-mer, et leur financement.

Après l’alinéa 5

Insérer un alinéa ainsi rédigé :

…° Les orientations permettant une approche intégrée des enjeux de cybersécurité et de souveraineté numérique ;

L'amendement du groupe SER propose que la stratégie nationale de cybersécurité donne les orientations en matière de souveraineté numérique favorisant ainsi le recours à des infrastructures et solutions françaises ou européennes souveraines.

L'ambition de l'Union européenne de supprimer toute dépendance à l’égard des systèmes non européens d'ici 2030 semble devoir être réaffirmée au titre des priorités de notre stratégie nationale en matière de cybersécurité.

Après l’alinéa 6 

Insérer un alinéa ainsi rédigé :

... ° Les modalités de soutien aux collectivités territoriales et à leurs groupements ;

Les exigences accrues en cybersécurité risquent de peser lourdement particulièrement pour les nouvelles entités concernées : le coût de mise en conformité est estimé à 2 milliards d’euros, dont 1,3 milliard pour les entreprises de taille moyenne et à 690 millions d’euros par an pour les collectivités (hors coût des recrutements rendus nécessaires).

Le Conseil d’État, dans son avis du 6 juin 2024, estime indispensable un effort d'information et d'accompagnement soutenu et réactif de l’État au profit des entités concernées par le directive NIS2.

La réussite de la mise en œuvre des exigences renforcées de cybersécurité, dans un temps que l'on souhaite le plus court possible, est donc subordonnée à la capacité de l’État à accompagner ces nouvelles entités.

L'amendement du groupe SER propose de compléter la stratégie nationale en matière de cybersécurité prévue par la commission spéciale pour renforcer les besoins d'accompagnement des collectivités nouvellement soumises à des exigences renforcées de cybersécurité et particulièrement l’accompagnement financier.

Après l’alinéa 6 

Insérer un alinéa ainsi rédigé :

... ° L’identification et le renforcement des compétences et formations nécessaires sur l’ensemble du territoire ;

La mise en œuvre de la directive NIS2 pose des défis majeurs et notamment le risque de saturation des ressources expertes et le coût financier. Les exigences accrues en cybersécurité risquent de peser lourdement particulièrement pour les nouvelles entités concernées : le coût de mise en conformité est estimé à 2 milliards d’euros, dont 1,3 milliard pour les entreprises de taille moyenne et à 690 millions d’euros par an pour les collectivités (hors coût des recrutements rendus nécessaires).

Comme souligné par la Commission supérieure du numérique des postes (CSNP), certaines des entités nouvellement soumises aux dispositions de la directive sont moins dotées en ressources humaines, techniques et financières. Et au-delà des coûts, certains territoires ne disposent tout simplement pas des ressources humaines ou de prestataires compétents en matière de cybersécurité pour accompagner les nouvelles entités essentielles ou importantes au sens de la directive NIS 2.

L'amendement du groupe SER propose de compléter la stratégie nationale en matière de cybersécurité par un volet compétences et formations nécessaires sur l'ensemble du territoire.

Après l’alinéa 7

Insérer un alinéa ainsi rédigé :

Dans chaque département, un sous-préfet est identifié en qualité de référent en matière de cybersécurité et résilience pour coordonner l’accompagnement des collectivités territoriales dans la mise en œuvre de leurs obligations en matière de cybersécurité et dans l’aide au maintien des services publics essentiels en cas de perturbation des services numériques.

Beaucoup de collectivités se sentent encore très éloignées des enjeux de cybersécurité alors qu’elles sont souvent la cible privilégiée de cyberattaques en raison de leur rôle critique dans la gestion de nombreuses données sensibles et de leur proximité avec les administrés. Elles doivent aussi garantir la continuité des missions essentielles de services publics.

Reprenant l’esprit d’une recommandation de son avis n°2023-06 du 12 septembre 2023 sur la souveraineté numérique, la Commission supérieure du numérique et des postes (CSNP) pose à nouveau le rôle que les préfets pourraient jouer dans l’accompagnement des collectivités pour se mettre en conformité aux exigences de la directive NIS2.

Il est proposé de consolider le maillage territorial d’accompagnement des collectivités.

Aussi notre amendement propose, dans chaque département, qu’un sous-préfet soit identifié en matière de cybersécurité et résilience pour coordonner l’accompagnement des collectivités territoriales et organiser la mutualisation des moyens pour le renforcement de la cybersécurité.

Il est précisé qu’il s’agit de confier cette mission à un sous-préfet déjà en place.

Il apportera aussi tout l’appui nécessaire de l’administration décentralisée en lien avec les administrations centrales lorsque ces services publics locaux sont étroitement liées à des missions régaliennes ou nationales (état civil, élections, éducation...). Il veillera à la mise en œuvre de plans de résilience par les collectivités pour assurer la continuité des missions de service public. L’objectif est d’apporter une réponse organisée et centralisée face à des crises où l’interruption des services numériques rendrait difficile l’exécution des missions essentielles. 

Après l’article 5 bis

Insérer un article additionnel ainsi rédigé :

I. – Après l’article 244 quater Y du code général des impôts, il est inséré un article 244 ... ainsi rédigé :

« Art. 244 ... – Jusqu’au 31 décembre 2027, les dépenses exposées par les entreprises qui satisfont à la définition des microentreprises et petites entreprises donnée à l’annexe I au règlement (UE) n° 651/2014 de la Commission du 17 juin 2014 déclarant certaines catégories d’aides compatibles avec le marché intérieur en application des articles 107 et 108 du traité peuvent bénéficier d’un crédit d’impôt égal à 30 % de la somme :

« – des dépenses d’audit de cybersécurité ;

« – des dépenses d’acquisition, de souscription ou de maintenance d’un produit ou service de cybersécurité ;

« – des dépenses de formation en cybersécurité engagées par l’entreprise ;

« Les subventions publiques reçues par les entreprises à raison des dépenses ouvrant droit au crédit d’impôt sont déduites des bases de calcul de ce crédit.

« Le crédit d’impôt est plafonné à 15 000 €.

« Le crédit d’impôt est imputé sur le résultat imposable à l’impôt sur le revenu ou à l’impôt sur les sociétés de l’entreprise. »

II. – Le I s’applique aux dépenses exposées à compter du lendemain de la promulgation de la présente loi.

III. – Le I ne s’applique qu’aux sommes venant en déduction de l'impôt dû.

IV. – La perte de recettes résultant pour l’État du paragraphe précédent est compensée, à due concurrence, par la création d’une taxe additionnelle à l’accise sur les tabacs prévue au chapitre IV du titre I^er du livre III du code des impositions sur les biens et services.

V. – Un décret en Conseil d’État détermine les critères nécessaires à l’obtention de ce crédit d’impôt.

Le Sénat a préconisé à de multiples occasions la nécessité de mettre en place un accompagnement financier, sous forme de crédit d'impôt, pour accompagner la transformation numérique des petites et moyennes entreprises. Les TPE et PME françaises accusent déjà un retard certain en matière de numérisation, notamment en raison de l’absence de politique publique claire spécifiquement dédiée à leur modernisation.

Dans le rapport de 2021 de la délégation aux entreprises relatif à la cybersécurité des entreprises, les auteurs, Rémi CARDON et Sébastien MEURANT, pointaient déjà le coût financier que représentait le virage numérique, surtout pour les plus petites entreprises. Les auteurs du rapport avaient en effet identifié le risque qu'elles aient une bonne connaissance de leurs insuffisances, grâce aux diagnostics, tout en ne disposant pas des moyens financiers d’y remédier.

Le volet financier du renforcement de la cybersécurité des petites entreprises ne doit plus rester un angle mort de cette politique publique.

L'amendement du groupe SER vise à instaurer un crédit d’impôt en faveur des micro et petites entreprises pour les accompagner dans la mise en œuvre de la directive NIS2.

Dans le contexte budgétaire contraint, le crédit d'impôt proposé est recentré sur les micro et petites entreprises concernées par NIS 2, dans la limite de 15 000€. Le coût pour les finances de l’État est donc mesuré.

Alinéa 10

Remplacer les mots :

d’origine humaine

par les mots :

d’un utilisateur de ces derniers

Amendement de précision. Le présent amendement vise à tenir compte du facteur humain susceptible de relever d’une vulnérabilité tout en le reliant directement à l’utilisation des produits et services des technologies de l’information et la communication.

I. - Alinéa 2

Après le mot :

entreprises

insérer les mots :

relevant d’un type d’entités 

II. - Alinéa 3

Après le mot :

territoriales,

insérer les mots :

relevant d’un type d’entités

Cet amendement vise à mettre en cohérence le projet de loi suite à l’amendement relatif à l’article 7. Il prévoit de remplacer, lorsque nécessaire, le critère de l’appartenance à un secteur d’activité par celui de l’appartenance à un type d’entités pour éviter tout risque de surtransposition.

Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou 

Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou

L’article 3 de la directive NIS2 prévoit une application du texte aux entités essentielles qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

Cet amendement propose de se conformer au champ exact prévu par la directive NIS2.

Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou 

Le présent article reprend l’article 2 de la directive, consacré au champ d’application, qui précise que les entités essentielles sont celles « qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne ». Sont donc concernées les entités dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros.

Le présent article n’est pas conforme à la définition européenne puisque les conditions cumulatives et alternatives sont inversées.

Il est donc proposé de reprendre la définition exacte de la définition européenne des PME (recommandation 2003/361/CE).

Alinéa 13

Après les mots :

communautés d'agglomération

insérer les mots :

comprenant au moins une commune d'une population supérieure à  30 000 habitants

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS 2 du 14 décembre 2022 qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’État.

Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.

Les nouvelles obligations imposées par ce projet entraîneront des charges supplémentaires pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées-, alors que dans le même temps, elles doivent maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières.

L’absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Quels seront les moyens réels et disponibles pour les collectivités ? Quelles seront les modalités d’accompagnement de l’État auprès des collectivités pour se conformer aux nouvelles exigences ?

Ces inquiétudes sont notamment pointées pour des communautés de communes et les communautés d’agglomération.

C’est pourquoi, le présent amendement propose d’exclure du périmètre des « Entités essentielles » les communautés d’agglomération dont aucune commune membre n’a ce statut (c’est-à-dire dont aucune commune membre n’a 30 000 habitants et plus).

Cela concernerait 120 communautés d’agglomération qui seraient alors intégrées dans le périmètre des « Entités importantes ». En revanche, 110 communautés d’agglomération, qui comptent au moins une commune de plus de 30 000 habitants, resteraient soumises aux règles applicables aux « Entités essentielles ».

Cette mesure de concordance vise à éviter des distorsions pour l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être très coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des « Entités essentielles ».

Alinéa 13

Après les mots :

communautés d’agglomération

insérer les mots :

comprenant au moins une commune d’une population supérieure à 30 000 habitants

Cet amendement, en lien avec l’amendement déposé par les rapporteurs à l’article 9, vise à faire basculer de la catégorie d’entité essentielle vers la catégorie d’entité importante les communautés d’agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants.

Il s’agit, dans un souci de proportionnalité, d’éviter d’imposer des obligations excessives en matière de cybersécurité à des intercommunalités dont la taille ne le justifierait pas.

Seront ainsi des entités essentielles les métropoles, les communautés urbaines et les 110 communautés d’agglomération qui comptent au moins une commune de plus de 30 000 habitants.

Alinéa 13

Après les mots :

communautés d'agglomération

insérer les mots :

comprenant au moins une commune d'une population supérieure à 30 000 habitants 

Pour éviter que les plus petites collectivités ne soient considérées comme des entités essentielles, cet amendement vise à préciser le texte et s’assurer de leur exclusion du périmètre d’application de cet article.

I. - Alinéa 2

Après le mot :

entreprises

insérer les mots :

relevant d’un type d’entités 

II. - Alinéa 9

Après le mot :

relevant

insérer les mots :

d’un type d’entités appartenant à un

Cet amendement vise à mettre en cohérence le projet de loi suite à l’amendement relatif à l’article 7. Il prévoit de remplacer, lorsque nécessaire, le critère de l’appartenance à un secteur d’activité par celui de l’appartenance à un type d’entités pour éviter tout risque de surtransposition.

Alinéa 2

1° Remplacer la deuxième occurrence du mot :

ou

par le mot :

et

2° Remplacer la deuxième occurrence du mot :

et

par le mot :

ou

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 50 personnes et dont le chiffre d’affaires ou le total du bilan annuel excède 10 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

L’article 9 du projet de loi n’est pas conforme à ces dispositions et prévoit que ces critères sont alternatifs. Le présent d’amendement vise à corriger cette rédaction pour éviter tout écart de transposition avec la directive NIS2.

Alinéa 2

1° Remplacer la deuxième occurrence du mot :

ou

par le mot :

et

2° Remplacer la deuxième occurrence du mot :

et

par le mot :

ou

L’article 3 de la directive NIS2 prévoit une application du texte aux entités importantes qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

Cet amendement propose de se conformer au champ exact prévu par la directive NIS2.

Alinéa 2

1° Remplacer la deuxième occurrence du mot :

ou

par le mot :

et

2° Remplacer la deuxième occurrence du mot :

et

par le mot :

ou

Le présent article reprend l’article 2 de la directive, consacré au champ d’application, qui précise que celle-ci « s’applique aux entités qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne ». Sont donc concernées les entités dont l’effectif est d’au moins 50 personnes et dont le chiffre d’affaires ou le total du bilan annuel excède 10 millions d’euros.

Le présent article n’est pas conforme à la définition européenne puisque les conditions cumulatives et alternatives sont inversées.

Il est donc proposé de reprendre la définition exacte de la définition européenne des PME (recommandation 2003/361/CE).

Alinéa 5

Rédiger ainsi le début de cet alinéa

4° Les communautés d’agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants, les communautés de communes… (le reste sans changement)

Cet amendement, en lien avec l’amendement déposé par les rapporteurs à l’article 8, vise à faire basculer de la catégorie d’entité essentielle vers la catégorie d’entité importante les communautés d'agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants.

Il s’agit, dans un souci de proportionnalité, d’éviter d’imposer des obligations excessives en matière de cybersécurité à des intercommunalités dont la taille ne le justifierait pas.

Seront ainsi des entités importantes les 120 communautés d’agglomération qui ne comptent pas au moins une commune de plus de 30 000 habitants ainsi que les communautés de commune.

Alinéa 5

Remplacer les mots :

de communes

par les mots :

d'agglomération ne comprenant aucune commune de 30 000 habitants et plus

Cet amendement vise à éviter toute sur transposition dans la définition du périmètre des collectivités concernées.

Alinéa 5

Remplacer les mots :

de communes

par les mots :

d'agglomération ne comprenant aucune commune de 30 000 habitants et plus

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS 2 du 14 décembre 2022, qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’Etat.

Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.

L'absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Quels seront les moyens réels et disponibles pour les collectivités ? Quelles seront les modalités d’accompagnement de l’État auprès des collectivités pour se conformer aux nouvelles exigences ?

Ces inquiétudes particulières sont notamment pointées pour des communautés de communes et les communautés d’agglomération.

C’est pourquoi, le présent amendement proposé par l'AMF :

1/ d’insérer dans le périmètre des « Entités importantes » les communautés d’agglomération dont aucune commune membre n’a le statut d’ « Entité essentielle ». Cela concernerait 120 communautés d’agglomération qui seraient alors soumises aux règles applicables aux « Entités importantes ».

Cette mesure de concordance vise à éviter des distorsions dans l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des « Entités essentielles ».  

2/ de retirer les communautés de communes du périmètre des « entités importantes », considérant que leurs moyens financiers et en ingénierie sont insuffisants pour appliquer les exigences du texte et du projet de référentiel dans le contexte actuel. Il s’agit ainsi de leur laisser le temps nécessaire pour mettre en place de nouvelles règles de cybersécurité, lesquelles doivent être adaptées à leur réalité.

Ainsi, l’information et la formation des élus et des agents sont indispensables, tout comme la diffusion de bonnes pratiques, or le projet de loi ne prend pas en compte ces aspects.

Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.

Après l'article 10

Insérer un article additionnel ainsi rédigé :

L'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans cet équipement, lorsqu’ils visent à anonymiser à bref délai des données à caractère personnel provenant de ce terminal, satisfont les conditions prévues au sixième alinéa de l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Un décret fixe les modalités d’application du présent article. Il précise notamment, de manière non limitative et a minima, une liste de procédés techniques assurant l’anonymisation mentionnée au premier alinéa du présent article. Cette liste est mise à jour périodiquement, et au moins tous les 36 mois, au regard de l’évolution des technologies.

L’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Loi Informatique et Libertés) prévoit que « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète (…) 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement » et que « Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ».

Toutefois il résulte de ce même article que ces dispositions ne sont pas applicables « si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur (…) a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ».

L’objet du présent amendement vise à clarifier ces dernières dispositions, sans en modifier la portée, au regard des dispositifs technologiques innovants qui permettent désormais l’anonymisation à bref délai des données à caractère personnel et assurent ainsi la communication par voie électronique de la manière la plus protectrice des intérêts des utilisateurs.

En effet les dispositions de l’article 82 de la Loi Informatique et Libertés sont issues de la transposition en droit interne de l’article 5.3 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (la Directive ePrivacy), dont le considérant 9 prévoit que « Les États membres, les fournisseurs et les utilisateurs concernés, ainsi que les institutions communautaires compétentes, devraient coopérer à la conception et au développement des technologies pertinentes lorsque cela est nécessaire pour mettre en œuvre les garanties prévues par la présente directive, en tenant particulièrement compte des objectifs qui consistent à réduire au minimum le traitement des données à caractère personnel et à utiliser des données anonymes ou pseudonymes lorsque c'est possible ».

Il en résulte que les modalités selon lesquelles la communication électronique est établie doivent être prises en compte : l’anonymisation des données à caractère personnel, loin de constituer une simple technique, constitue expressément une finalité qui doit être poursuivie et favorisée par les États membres.

Cependant, les opérations d’anonymisation elles-mêmes constituent un traitement de données à caractère personnel. Par conséquent, alors même que l’anonymisation est une finalité devant être favorisée pour protéger les personnes concernées, la rédaction actuelle de l’article 82 susvisé limite les possibilités de sa mise en œuvre effective. Partant, soumettre une telle mesure protectrice des personnes concernées à leur consentement préalable, alors même que ces dernières sont d’ores et déjà sollicitées à outrance (voir en ce sens la « fatigue du consentement » décrite par la Commission National de l’Informatique et des Libertés) semblerait contre-productif.

C’est pourquoi l’amendement proposé vient préciser que l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans cet équipement doivent être regardés, lorsque cet accès ou cette inscription ont pour finalité l’anonymisation à bref délai des données à caractère personnel, comme permettant ou facilitant la communication par voie électronique au sens du 6^ème alinéa de l’article 82 de la Loi Informatique et Libertés.

Afin de favoriser l’adoption de dispositifs techniques d’anonymisation, objectif fixé par la Directive ePrivacy, l’amendement prévoit également que le Gouvernement dresse périodiquement, de manière non limitative, une liste de dispositifs techniques d’anonymisation.

I. – Alinéa 1

Compléter cet alinéa par une phrase ainsi rédigée :

Dans les trois années qui suivent l’entrée en application de la présente loi, l’ensemble des entités concernées sont informées et sensibilisées par les ministères concernés.

II. – Alinéa 2

Rédiger ainsi cet alinéa :

Dans le respect des modalités de chiffrement de bout en bout ainsi que de protection des données recueillies des lois extraterritoriales, les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises sont définis par décret en Conseil d’État.

Amendement n° 22 rect. septies, alinéas 1 à 3

Supprimer ces alinéas.

Le Gouvernement est favorable à l’amendement n°22 sous réserve qu’il soit sous-amendé afin d’en supprimer le I., qui ne relève pas du niveau législatif.

Sur le fond, le Gouvernement a pleinement conscience que la communication et la sensibilisation des futures entités régulées sera un facteur clef de réussite pour la bonne mise en œuvre de NIS 2. La stratégie de l’ANSSI passe par exemple par la mise à disposition d’un portail numérique, MonEspaceNIS2, qui permet aux entités de s’informer et de tester leur éligibilité. Elle s’appuie également sur des acteurs relais pour décupler son action d’information et d’accompagnement. Des kits de communication seront par ailleurs proposés aux associations d’élus et associations professionnelles afin d’informer leurs adhérents et de les inciter à s’informer sur le texte, à tester leur éligibilité, et réaliser les premières actions de mise en conformité NIS 2. 

Le Gouvernement est favorable au II de l’amendement n°22, qui constitue une garantie utile dont l’ANSSI a déjà à cœur d’assurer la pleine effectivité.

Compléter cet article par un alinéa ainsi rédigé :

Les ministères coordonnateurs des secteurs d’activité visés à l’article 7 sont destinataires pour avis de la liste des entités essentielles et des entités importantes qui relèvent de leur compétence. Les ministères coordonnateurs peuvent, en lien avec l’autorité nationale de sécurité des systèmes d’information, amender la liste qui leur a été communiquée.

Les opérateurs d’importance vitale sont désignés par les ministères coordonnateurs du secteur auxquels ils appartiennent.

En cohérence, cet amendement vise à apporter l’expertise les ministères coordonnateurs des secteurs d’activités visés par le projet de loi au service de l’autorité nationale de sécurité des systèmes d’information afin que les listes élaborées d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.

Ainsi, certaines entités ne correspondant pas aux critères prédéfinies d’entité importante ou essentielle pourrait être intégrées à la liste des entités concernées pour des critères stratégiques, économiques, technologiques ou sociaux relevant de l’analyse des ministères coordonnateurs.

Compléter cet article par une phrase ainsi rédigée :

À intervalle régulier, l’Agence nationale de la sécurité des systèmes d’information informe les entités du degré d’exigence qui pèse sur elles.

De nombreuses réglementations numériques, sectorielles et non sectorielles, viennent s’imposer aux entreprises. L’avant-projet de loi Résilience numérique dispose actuellement, au travers de l'article 13, que l’entreprise devra se conformer au texte le plus contraignant : cette formulation laisse la place à une appréciation individuelle desdites entreprises. De fait, afin de s'assurer de l'usage systématique de la réglementation la plus exigeante, l’ANSSI devra informer régulièrement les entités du degré d’exigence qui pèse sur elles.

Alinéa 3

Compléter cet alinéa par les mots et une phrase ainsi rédigée :

lorsque celle-ci a une implication directe sur la sécurité des réseaux et systèmes d’information. Les rôles et les responsabilités de chacun sont précisés autant que de possible au préalable ;

L’article 14 prévoit que les entités essentielles doivent prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information. Pour ce faire, elles doivent notamment assurer la protection de ces réseaux et systèmes, y compris en cas de recours à la sous-traitance.

La mention explicite de la sous-traitance pourrait entraîner des interprétations excessives entraînant, pour les entités essentielles, des obligations de sécurité pour l’ensemble des sous-traitants, y compris ceux dont l’intervention n’a pas d’incidence directe sur la sécurité des systèmes d’information.

De plus, la sous-traitance impliquera des responsabilités différentes selon le niveau d’accès aux données et aux systèmes du donneur d’ordre. En effet, les sous-traitants administrateurs ou gestionnaires des données jouent un rôle actif dans la gestion des systèmes ou le traitement des données du donneur d’ordre. A ce titre, ils doivent garantir que leurs infrastructures et procédures ne constituent pas une faille de sécurité susceptible d’exposer les données à des risques de cyberattaques. Il est essentiel d’exiger d’eux des garanties spécifiques en matière de cybersécurité et de conformité aux exigences de la directive NIS.

Concernant les sous-traitants ayant un simple accès aux données, sans rôle de gestion ou d’administration, bien qu’ils n’interviennent pas directement sur les systèmes, leur accès aux données du donneur d’ordre peut représenter un risque, notamment en cas d’utilisation inappropriée, de fuite d’informations ou d’erreur humaine. Il est donc essentiel d’encadrer leurs rôles et responsabilités afin d’éviter toute utilisation inappropriée ou faille de sécurité.

Le présent amendement propose donc de clarifier la portée de cette disposition en limitant sa mise en œuvre aux cas où la sous-traitance a une implication directe sur la sécurité des systèmes d'information et en spécifiant que les rôles et responsabilités de chacun devront être précisés autant que de possible au préalable.

Après l'alinéa 5 

Insérer un alinéa ainsi rédigé :

Les communes, les établissements publics de coopération intercommunale à fiscalité propre et leurs établissements publics administratifs visés aux articles 8 et 9 disposent d’un délai maximum de 5 ans pour se mettre en conformité avec le présent titre II. 

Le projet de loi sur la résilience des infrastructures critiques et la cybersécurité transpose la directive européenne NIS 2, visant à assurer un niveau élevé de cybersécurité au sein de l'Union européenne.

Le gouvernement a choisi une transposition très étendue.

Pour répondre à ces enjeux, cet amendement propose un délai de 5 ans pour appliquer les nouvelles règles, permettant à l’État d’accompagner les collectivités locales à travers une formation des élus, une évaluation des impacts et des moyens nécessaires, ainsi que la structuration d’une filière cybersécurité adaptée. 

Après l’alinéa 5

Insérer un alinéa ainsi rédigé :

Les communes, les établissements publics de coopération intercommunale à fiscalité propre et leurs établissements publics administratifs visés aux articles 8 et 9 disposent d’un délai maximum de 5 ans pour se mettre en conformité avec le présent titre II.

Le présent amendement propose d’introduire un délai de 5 ans pour appliquer les dispositions du titre II.

Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.

Ainsi, un autre calendrier pourrait être envisagé selon un cadencement plus réaliste :

1) un état des lieux et une feuille de route (avec la mesure des impacts et l’évaluation des moyens nécessaires) à établir (années 1 et 2) ;

2) Contractualiser avec l'ANSSI sur un délai de mise en conformité adapté à la situation de la collectivité, qui donnerait une trajectoire pouvant aller potentiellement au-delà de 3 ans, avec des jalons contractuels pour respecter les termes du contrat ;

3) Vérifier l'avancement des jalons intermédiaires jusqu'à la mise en conformité.

Alinéa 6

Compléter cet alinéa par les mots :

, et les modalités de concertation des représentants des entités concernées et des associations d'élus 

Les travaux en commission ont permis de préciser qu'un décret déterminera les conditions d'élaboration, de modification et de publication du référentiel d'exigences techniques et organisationnelles afin qu'il soit adapté aux différentes entités en fonction de leur degré d'exposition aux risques, de leur taille, de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences économiques et sociales.

L'amendement du groupe SER propose que ce décret indique les modalités de concertation des entités concernées et des associations d'élus.

Alinéa 8

Après les mots :

du présent article, 

insérer les mots :

lorsqu’ils sont des entités importantes ou essentielles, 

Le présent amendement vise à circonscrire le périmètre des exigences de sécurité propres à certains opérateurs du numérique (fournisseurs de services de systèmes de noms de domaine, offices d’enregistrement, fournisseurs de services d’informatique en nuage, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux et prestataires de services de confiance) aux seuls d’entre eux étant des entités essentielles ou importantes.

En effet, certains de ces opérateurs ne sont pas soumis pas soumis à la directive (UE) 2022/2555 dite « NIS 2 ». En l’état actuel de la rédaction de l’article 14, sont pourtant visés l’ensemble de ces opérateurs. Il s’agit donc d’éviter toute surtransposition en procédant à une adaptation du périmètre des opérateurs assujettis.

Après l'article 14

Insérer un article additionnel ainsi rédigé :

I. – Les entités mentionnées au titre II de la loi n°     du     relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :  
1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information ;
2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts, sauf lorsque la prestation est assurée par un opérateur interne appartenant au même groupe que l’entité requérante ;  
II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés.  

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.

Alinéa 1

Compléter cet alinéa par les mots :

, le cas échéant, au moyen d’un label de confiance approuvé par l’ autorité nationale de sécurité des systèmes d'information

L'amendement vise à ajouter un moyen pour les entités de démontrer plus facilement leur conformité à l'article 14 alinéa 6.

Par la lisibilité qu'il apporte sur le niveau de sécurité atteint, la labellisation est également un outil incitatif, pour les entités, à élever leur niveau de maturité cyber.

Après l'alinéa 3

Insérer un alinéa ainsi rédigé :

Les services de l'État, administrations, établissements publics et entreprises du secteur public, les collectivités territoriales et leurs établissements publics utilisent des logiciels libres et des formats ouverts lors du développement, de l'achat ou de l'utilisation d'un système informatique. L’utilisation de solutions propriétaires doit être une exception motivée.

Si l’objectif  de renforcer la sécurité des matériels informatiques et des logiciels afin de diminuer les risques d’attaques est louable, il ne doit pas de faire au détriment de l'utilisation de logiciels libres seuls à même de garantir une véritable souveraineté numérique.

Le recours au logiciel libre au sein des administrations publiques doit être fortement encouragé et devenir un principe ne souffrant que d’exceptions dûment justifiées. Il s’agit, en effet, de réduire la part des solutions logicielles propriétaires, notamment non européennes, utilisées par défaut alors que des solutions alternatives ont fait la démonstration de leur utilité.

Après l'article 16

Insérer un article additionnel ainsi rédigé :

Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses, ou tout autre mécanisme permettant un accès non consenti aux données protégées. 

La sécurité des systèmes d’information est un enjeu stratégique pour la protection des données personnelles, la confidentialité des communications, le secret des affaires, la protection des Droits et Libertés fondamentales et la souveraineté numérique. Le chiffrement joue un rôle central dans cet écosystème en garantissant l’intégrité et la confidentialité des échanges numériques, qu’il s’agisse de transactions financières, de communications privées ou de données sensibles des entreprises et administrations.

Or, certaines initiatives législatives et réglementaires, tant au niveau national qu’international, ont cherché à imposer aux fournisseurs de services de chiffrement des obligations visant à insérer des dispositifs techniques permettant un accès aux données protégées par des tiers, notamment par les autorités publiques. Ces dispositifs, communément appelés « portes dérobées » (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité, présentent des risques considérables pour la sécurité informatique et la protection des droits fondamentaux.

D’une part, ces dispositifs créent des vulnérabilités exploitables non seulement par les autorités prévues, mais également par des acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées cherchant à compromettre la sécurité des systèmes d’information. Il est démontré que toute faiblesse introduite dans un système de chiffrement réduit sa fiabilité de manière globale et incontrôlable. Ainsi, l’obligation d’intégrer de telles failles irait à l’encontre des principes de sécurité informatique et de cybersécurité reconnus au niveau international et imposé par la Directive NIS2.

D’autre part, l’introduction de ces obligations remettrait en cause des droits fondamentaux tels que le droit à la vie privée et à la protection des données personnelles, garantis par des textes fondamentaux comme le Règlement général sur la protection des données (RGPD) ou l’article 8 de la Convention européenne des droits de l’homme. L’accès non consenti aux communications et aux données privées, sans garanties suffisantes, constituerait une atteinte disproportionnée à ces droits.

Enfin, sur le plan économique et stratégique, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à leur compétitivité face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes. Cela risquerait d’entraîner un déplacement des utilisateurs et entreprises vers des solutions étrangères considérées comme plus sûres, affaiblissant ainsi notre souveraineté numérique.

Cet amendement vise donc à inscrire dans la loi un principe clair de sécurité numérique

Alinéa 1

Remplacer les mots : 

incident ayant un impact important

par les mots :

incident important ayant un impact

Le texte prévoit que les entités doivent notifier à l'ANSSI "tout incident ayant un impact important sur la fourniture de leurs services".

Les travaux de la commission ont permis, à juste titre, de préciser la notion d'incident important dans l'esprit de la directive NIS2.

Comme souligné par la Commission supérieure du numérique et des postes (CSNP) dans son avis rendu le 3 octobre 2024, il n'est cependant pas opportun de lier la notion d'incident à l'importance de son impact : il n’est pas rare en effet qu’une cyberattaque ne soit pas immédiatement identifiée et que l’ampleur de son impact, important ou pas, puisse parfois être difficilement évaluable. Par ailleurs, cette notion est sujette à interprétation et ne sera pas forcément perçue de la même manière selon les entités.

Cette notion d'incident important est centrale dans la directive et doit pouvoir s'apprécier selon des éléments objectifs pour guider aux mieux les entités concernées.

L'amendement du groupe SER propose donc d'utiliser les termes "incident important ayant un impact..." plutôt que "incident ayant un impact important..." en cohérence avec les travaux de la commission.

Alinéa 14

Après le mot :

importants

rédiger ainsi la fin de cet alinéa :

ayant un impact direct sur les destinataires de leurs services, notamment lorsqu’ils ont causé ou sont susceptibles de causer l’extraction de données sensibles de ces derniers, ou de causer la mort ou des dommages considérables à la santé d’une personne physique destinataire, ou qu’ils consistent en un accès non autorisé effectif au réseau et aux systèmes d’information de l’entité, susceptible d’être malveillant et de causer une perturbation opérationnelle grave pour le destinataire ;

Cet amendement à un objectif de sécurité juridique pour les entités dès lors qu’il vise à clarifier les types d’incidents importants que les entités devront notifier aux destinataires de leur services afin de satisfaire à la lettre de l’article 23 de la directive qui soumet cette notification à la détermination de son caractère approprié.

Alinéa 1

Remplacer les mots :

tant que le nom de domaine est utilisé

par les mots :

pendant la durée d’utilisation du nom de domaine et jusqu’à expiration d’un délai d’un an à compter de la cessation de l’utilisation de ce nom de domaine

L’article 20 prévoit une obligation pour les offices et bureaux d’enregistrement de conservation des données relatives à l’enregistrement des noms de domaine sans prévoir aucune période minimale de conservation.

Cette obligation demeurerait donc valable uniquement tant que le nom de domaine est utilisé.

Il en résulte un risque majeur de fraude au bénéfice des délinquants numériques pouvant utiliser un nom de domaine simplement l’espace de quelques jours, puis d’en utiliser un autre, en renouvelant ce processus indéfiniment sans que l’on soit en mesure de procéder rapidement à leur identification.

Pour prévenir les risques de fraude et permettre l’identification des délinquants numériques, l’amendement du groupe SER, déposé en lien avec la Société Civile des Producteurs Phonographiques, propose que l’obligation de conservation des données soit maintenue pendant une durée d’un an à compter de la cessation de l’utilisation du nom de domaine.

I. - Après la première occurrence du mot :

domaine

insérer les mots :

, à titre gratuit

II. - Compléter cet article par les mots :

, y compris les données d’enregistrement de nom de domaine des personnes morales

III. - Compléter cet article par un alinéa ainsi rédigé :

À cette fin, les offices et bureaux d’enregistrement mettent à disposition une interface en permettant l’accès.

L'article 21 du projet de loi prévoit que les offices d'enregistrement des noms de domaine et les bureaux d'enregistrement des noms de domaine rendent publiques sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement relatives à ce nom de domaine, dès lors qu'elles n'ont pas de caractère personnel.

L'amendement du groupe SER, déposé en lien avec la Société Civile des Producteurs Phonographiques, propose d'encadrer cette obligation en précisant qu’elle doit avoir un caractère gratuit pour le public et qu’il appartient aux débiteurs de l’obligation de prévoir les moyens d’accéder à ces informations, par le biais d’une interface qu’ils mettent à disposition du public.

Après l’article 24

Insérer un article additionnel ainsi rédigé :

Les entités essentielles et importantes ainsi que, le cas échéant, leurs fournisseurs ou prestataires de services peuvent échanger entre elles, à titre volontaire, au sein de communautés, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités ou non, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques, techniques et procédures adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations :

1° Vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact ;

2° Renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.

Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.

Les échanges volontaires des informations prévues au premier alinéa peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques, les informations compromises ou encore les horodatages lorsqu’ils révèlent des données à caractère personnel.

Ces traitements de données à caractère personnel sont considérés comme nécessaires à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par leurs fournisseurs ou prestataires de services, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données, et abrogeant la directive 95/46/CE.

Ces accords de partage d’informations précisent les éléments opérationnels, y compris le recours éventuel à des plateformes TIC spécialisées et d’outils d’automatisation, le contenu et les conditions – notamment de sécurisation renforcée – de ces partages.

Lorsque des autorités publiques ou les centre de réponse aux attaques informatiques participent à ces accords de partage et mettent à disposition tout ou partie des informations visées à l’alinéa 1 dont elles disposent, elles respectent les conditions prévues par décret en Conseil d’État. 

Les entités essentielles et importantes notifient à l’autorité nationale de sécurité des systèmes d’information sans délai indu leur participation aux accords de partage d’informations en matière de cybersécurité visés au présent article lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords une fois que le retrait prend effet.

Cet amendement vise à transposer les dispositions de l’article 29 de la directive NIS 2 prévoyant l’existence d’accords de partage d’informations en matière de cybersécurité permettant aux entités essentielles, aux entités importantes et à leurs prestataires en matière de cybersécurité d’échanger des informations détaillées et opérationnelles sur les menaces cyber afin de mieux y faire face, ce qui est une demande forte de leur part. Comme la directive le rappelle dans ses considérant 119 et 120, « Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. (…) Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données. ».

Il semble nécessaire pour lever tout doute à ce sujet de reprendre également le contenu du considérant 121 décrivant le recours à la base légale de l’intérêt légitime pour fonder les traitements de données à caractère personnel qui pourraient être effectués à cette occasion, et reconnaitre que le partage de données concernées est conforme aux exigences du RGPD.

I. – Alinéa 6

Compléter cet alinéa par les mots :

ou, le cas échéant, par les organismes d’évaluation de la conformité

II. – Alinéa 7

Après les mots :

organismes indépendants

insérer les mots :

ou experts

Le présent amendement vise à préciser la rédaction de l’article 26 afin de couvrir deux situations opérationnelles :

-       en application de la règlementation européenne et nationale sur la certification, certains certificats sont également délivrés par des organismes d’évaluation de la conformité. Il apparaît donc nécessaire notamment en application du règlement UE n°2019/881 de prévoir la supervision de l’activité de certification de ces organismes privés ;

-       la recherche de manquements implique de recourir à des experts qui ne seront ni des contrôleurs au sens du premier alinéa ni des organismes indépendants. Il s’agit par exemple d’experts d’autorités de supervision d’Etats de l’Union européenne dans le cadre d’enquêtes transfrontières, de consultants indépendants qui pourraient faire notamment des audits ou des scans, ou encore d’agents de l’Etat dont l’expertise pointue et temporaire pourrait être utile sans pour autant qu’il ne soit nécessaire de les désigner et faire assermenter comme un contrôleur.

Alinéa 1

Remplacer les mots :

qui lui incombent

par les mots :

mentionnées au même article

Amendement rédactionnel

Alinéa 5

Après le mot : 

Accéder

insérer les mots :

, lorsque cela est directement nécessaire à l’accomplissement de leur mission,

Cet amendement vise à introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.

Alinéa 5

Supprimer les mots :

et en demander la transcription par tout traitement approprié dans des documents directement exploitables pour les besoins de la supervision

L’article 27 impose aux entreprises de donner accès aux systèmes d’informations, aux logiciels, aux programmes informatiques et aux données stockées mais également de demander la transcription par tout traitement approprié dans des documents directement exploitables.

Demander la transcription dans des documents destinés à la supervision peut s’avérer lourd, en particulier pour les TPE - PME qui devront mobiliser des ressources pour structurer ces données sous une forme particulière. De plus, cette demande n’est pas imposée par la directive européenne. Il s’agit donc d’une surtransposition.

Dans un objectif de simplification et pour éviter une charge administrative supplémentaire pour les TPE - PME, il est proposé de supprimer cette obligation de transcription des données.

I. – Alinéa 1

Compléter cet alinéa par une phrase ainsi rédigée :

Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

II. – Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et leurs établissements publics administratifs

L’article 28 prévoit des sanctions lorsqu’une entité fait obstacle aux demandes d’informations de l’ANSSI, ou en cas de fourniture de renseignements incomplets.

La situation inhérente à une crise cyber ne permet pas toujours à une entité de fournir l’ensemble des informations requises dans les délais impartis, sans pour autant que sa bonne foi ne puisse être remise en cause. 

Cet amendement propose par conséquent de reproduire une disposition issue de l’article 33 du RGPD sur la transmission progressive des informations en fonction de la disponibilité de celles-ci.

Il propose également, dans un objectif d'égalité de traitement, d'étendre la dispense d'application prévue pour les administrations de l’État aux collectivités territoriales.

Alinéa 2

1° Après le mot :

fournissant

insérer le mot :

sciemment

2° Compléter cet alinéa par une phrase ainsi rédigée :

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

Cet amendement vise à introduire une gradation et un critère d’intention dans la sanction administrative prévue par le projet de loi en cas de fourniture incomplète d’informations à l’ANSSI par les entités.

Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement.

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes

En conséquence, cet amendement vise à :

•          Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

•          Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Ce projet de loi fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement. 

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes. 

En conséquence, cet amendement vise à :

• Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

• Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Alinéa 4

Compléter cet alinéa par les mots :

, aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement. 

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes 

En conséquence, cet amendement vise à :

• Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

• Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Cet amendement a été travaillé avec Départements de France.

Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement.

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes

En conséquence, cet amendement vise à :

•          Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

•          Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Tel est l’objet de cet amendement.

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. 

Or, un renseignement incomplet ou inexact peut être le résultat d’un cas de force majeure, ou de circonstances qui ne dépendent pas uniquement de la personne contrôlée.

C’est pourquoi, afin de garantir une évaluation proportionnée des manquements, il est proposé de préciser que l’absence de coopération de la personne contrôlée doit être délibérée pour que le manquement soit caractérisé.

I. - Alinéa 3

Remplacer cet alinéa par deux alinéas ainsi rédigés :

...° Audits de sécurité réguliers et ciblés réalisés par l’autorité nationale de sécurité des systèmes d’information ;

...° Audits de sécurité réguliers et ciblés réalisés par un organisme indépendant désigné par l’autorité nationale de sécurité des systèmes d’information ;

III. - Alinéa 6

Rédiger ainsi cet alinéa :

Le coût des mesures mentionnées aux 1°, 2°, 4° et 5° est à la charge de l’autorité nationale de sécurité des systèmes d’information. Celui des mesures mentionnées au 3° est à la charge de la personne contrôlée, sauf, lorsque les circonstances l’exigent, si l’autorité nationale de sécurité des systèmes d’information en décide autrement.

Le présent amendement tend à modifier les conditions dans lesquelles le coût des contrôles peut être mis à la charge de l’entité assujettie, dans le but d’éviter toute surtransposition.

En l’état du texte, la prise à la charge du coût des mesures de contrôle n’est prévue que lorsque ne révèle pas de manquement. Si le but d’une telle disposition d’encourager la mise en conformité, peut parfaitement être partagé, une telle disposition paraît néanmoins poser plusieurs difficultés. D’une part, une telle disposition s’insère mal dans l’économie générale du projet de loi, puisque dans celle-ci le manquement n’a vocation à être qualifié qu’à l’issue de la procédure d’instruction. D’autre part, une telle disposition pourrait s’apparenter à une sanction financière, prononcée directement par le contrôleur, ce qui va à nouveau à l’encontre du phasage de la procédure de sanction tel que prévu par le projet de loi.

Outre ces difficultés, la rédaction actuelle du texte aboutit à une surtransposition, puisqu’elle revient à faire endosser aux entités assujetties le coût des contrôles dès qu’ils révèlent un manquement, quelle que soit la nature de la mesure de contrôle utilisée pour découvrir ce dernier. Il apparaît donc que le champ d’application de cette prescription est plus large que les cas prévus par la directive dite « NIS 2 », qui ne prévoit la prise à la charge des entités du contrôle que pour les seuls audits de sécurité ciblés.

Afin d’éviter toute surtransposition, il est donc proposé que ne puissent être pris en charge par l’entité assujettie que les coûts résultant des audits de sécurité ciblés, conformément aux articles 32.2 et 33.2 de la directive.

Alinéa 3

Compléter cet alinéa par les mots :

et dont le siège social se situe dans un État membre de l’Union européenne

Le mécanisme de contrôle prévu à l'article 29 prévoit que l'ANSSI peut déléguer les contrôles à des organismes indépendants.

Eu égard au caractère très sensible de ces contrôles et des données récoltées, il est impératif de veiller à ce que ces organismes soient européens.

C'est pourquoi cet amendement vise à expliciter cette condition dans le texte de la loi.

Alinéa 6

Compléter cet alinéa par les mots : 

, ou lorsque l’autorité nationale de sécurité des systèmes d’information en décide autrement

Compléter cet article par un alinéa ainsi rédigé :

L’autorité nationale de sécurité des systèmes d’information communique chaque année au public, par tout moyen adapté, le montant total des coûts induits par les contrôles mis à la charge des personnes contrôlées.

Étant donné qu'il n'est pas permis aux Parlementaires, eu égard aux règles de recevabilité financière des amendements fixées par l'article 40 de la Constitution, d'imputer les coûts induits par les contrôles à l'autorité contrôlante plutôt qu'aux entreprises contrôlées, il est à défaut proposé d'obliger l'autorité à indiquer le montant total des coûts induits pour les acteurs privés par les contrôles qu'elle décide.

En effet, il n'apparaît pas opportun, au plan organisationnel, de ne pas faire peser sur l'autorité contrôlante le coût de ses propres décisions, selon le principe "qui décide paye".

Cet amendement introduit un mécanisme de publication des coûts induits, afin que les pouvoirs exécutif ou législatif puissent mieux apprécier les conséquences du mode de financement retenu dans le texte initial du Gouvernement.

Compléter cet article par un alinéa ainsi rédigé :

Ce décret fixe également un calendrier d'application progressif et différencié des mesures de contrôles en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

Le projet de loi ne prévoit pas de date limite de mise en conformité.

Il ne prévoit pas non plus de date pour l'application des contrôles et donc des sanctions potentielles. L’ANSSI a d'ailleurs indiqué qu'elle laisserait le temps aux entités de se mettre en conformité avant d’engager les procédures de contrôle et de sanction.

La mise en œuvre de la directive NIS2 doit permettre une certaine souplesse dans son application pour permettre aux entités nouvellement concernées d'organiser leur montée en compétences et de renforcer progressivement leurs dispositifs de sécurité, sans risquer des pénalités immédiates.
Cette souplesse sur le calendrier permettra ainsi aux collectivités de s'organiser et d’éviter le recours systématique à des prestataires extérieurs spécialisés et les coûts induits.

Pour améliorer la lisibilité des acteurs concernées sur la mise en œuvre des exigences, l'amendement du groupe SER propose que le décret d'application prévu à l'article 30, fixe un calendrier d'application échelonnée et différenciée des mesures de contrôle en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

Alinéa 1

Remplacer les mots :

Lorsqu’un contrôle réalisé en application de la section 1 révèle un manquement aux obligations mentionnées à l’article 26

par les mots :

Au vu des résultats du contrôle réalisé en application des dispositions de la section 1

L’article 31 alinéa 1 doit prévoir des conditions de déclenchement de la phase d’instruction, compatibles avec la réalité opérationnelle des contrôles. Or, si c’est effectivement le cas lorsque de manière évidente les mesures de contrôle ont révélé un manquement, cela doit également être possible lorsque le constat de certains faits sont susceptibles de révéler un manquement qui n’est pas encore qualifié ou pleinement établi au moment de l’ouverture de l’instruction. Dans certaines hypothèses, la qualification d’un manquement nécessitera des mesures d’instructions approfondies assorties de mesures de contrôle complémentaires, le cas échéant.

Ainsi, la phase d’instruction permettra la qualification de certains faits au regard des règlementations mentionnées à l’article 26 justement pour déterminer si des manquements peuvent être identifiés.

C’est pourquoi, il apparaît important de ne pas limiter l’ouverture de la phase d’instruction uniquement aux manquements constatés et qualifiés dans le cadre des mesures de contrôle.

Alinéa 1, première phrase

Remplacer les mots :

Lorsqu'un contrôle réalisé en application de la section 1 révèle un manquement aux obligations mentionnées à l'article 26

par les mots :

Lorsqu'un manquement ou une suspicion de manquement aux obligations mentionnées à l'article 26 apparaît au terme d'un contrôle réalisé en application de la section 1

Cet amendement vise à permettre l'ouverture d'une procédure à l'encontre de l'entité contrôlée lorsque le contrôle mené, sans aboutir à la constatation d'un manquement évident de la part de cette entité, révèle des éléments ou des faits éveillant une suspicion de manquement.

Les agents chargés de l'instruction devront alors vérifier si le manquement peut ou non être qualifié et déterminer si l'adoption d'une mesure d'exécution est requise ou non dans les circonstances de l'espèce.

I. – Alinéa 7

Remplacer les mots :

et qui ne peut être inférieur à un mois, sauf en cas de manquement grave ou répété 

par les mots :

. Sauf en cas de manquement grave ou répété, le délai ne peut être inférieur à un mois et doit être adapté à la gravité du manquement, à la taille et à la capacité opérationnelle de l’entité concernée ;

II. – Alinéa 9

Compléter cet alinéa par une phrase ainsi rédigée

Les recommandations formulées sont adaptées à la taille et à la capacité opérationnelle de l’entité concernée.

L’article 31 introduit un délai de mise en conformité pour les entités soumises aux obligations de sécurité et de résilience prévues par la directive.

Cependant, aucune disposition spécifique ne tient compte des capacités opérationnelles, financières ou organisationnelles des entités à se conformer dans le délai imparti, quelle que soit leur taille ou leur structure. Cette absence de prise en compte des réalités propres à chaque entité, notamment la gravité des manquements constatés et les moyens disponibles pour y remédier, pose un double problème. D’une part, elle risque de désavantager les PME, qui disposent souvent de ressources limitées pour se conformer rapidement à des exigences complexes.

D’autre part, elle peut entraîner des difficultés d’application pratique, car des délais inadaptés pourraient conduire certaines entités à une mise en conformité superficielle ou incomplète, au détriment de l’efficacité des mesures correctives. En outre, l’absence de flexibilité pourrait engendrer une désorganisation au sein des structures concernées, compromettant leur fonctionnement et leur compétitivité.

Le présent amendement vise à introduire davantage de flexibilité dans les délais imposés par l’article 31. Concrètement, il propose de moduler ces délais en fonction de plusieurs critères, tels que la gravité des manquements constatés, la taille de l’entité concernée et ses capacités réelles à s’y conformer. Cette approche permettra de mieux adapter les exigences aux spécificités des entités, en assurant une application des mesures correctives plus efficace et mieux acceptée.

Alinéa 10

Compléter cet alinéa par une phrase ainsi rédigée :

Ce montant ne peut excéder 100 euros par jour de retard pour les collectivités territoriales, leurs groupements et leurs établissements publics administratifs. 

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des collectivités pour que la mise en œuvre des mesures requises soit supportable financièrement.

Les nouvelles obligations imposées par ce projet entraîneront des charges supplémentaires pour les collectivités, sans que l’étude d’impact n’ait pris la peine de les chiffrer, alors que dans le même temps, elles doivent impérativement maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières.

Cet amendement propose de réduire l’astreinte pouvant être appliquée à une collectivité de 5 000 euros à 100 euros par jour, afin qu’elle soit davantage proportionnée à ses capacités financières.

Alinéa 10

Compléter cet alinéa par une phrase ainsi rédigée :

Cette mesure d’exécution ne peut être rendue publique par l’autorité nationale de sécurité des systèmes d’information.

Cet amendement de précision vise à éviter toute sur-transposition dans la pratique des sanctions impliquant la publicité des manquements.

Il explicite dans le texte que l'ANSSI ne peut rendre les manquements publics.

Après l’alinéa 1

Insérer un alinéa ainsi rédigé :

…° D'un représentant du ministère coordonnateur du secteur d’activité auquel appartient l’entité pour laquelle la commission est saisie ;

Cet amendement vise à s’assurer que la sanction éventuellement prononcée prenne en compte d’une part l’impact des manquements aux obligations de l’entité visée sur ses clients, fournisseurs ou écosystème et d’autre part les enjeux stratégiques (intelligence économique), économiques, technologiques ou sociaux liés à l’entité.

Ni l’ANSSI ni les autres membres de la commission des sanctions n’ont l’expertise que doit avoir un représentant du ministère en charge du secteur d’activité de l’entité visée.

Alinéa 3, seconde phrase

Rédiger ainsi cette phrase :

Ces personnalités ne peuvent avoir exercé, au cours des trois années précédant leur nomination, une activité au sein de l’une des personnes mentionnées aux articles 8 et 9 ni au sein de l’autorité nationale de sécurité des systèmes d’information.

Le présent amendement vise à améliorer les garanties d’indépendance de la commission des sanctions et améliorer la prévention des conflits d’intérêts en son sein. Il prévoit ainsi d’élargir la règle d’incompatibilité prévue pour l’ANSSI aux entités assujetties, et d’en abaisser la durée à trois ans, une durée de droit commun en la matière. 

Alinéa 13, première phrase

Remplacer les mots :

en dernier recours, si le manquement persiste après que l’amende administrative prévue au I ou au II du présent article a été prononcée

par les mots :

si les mesures d’exécution prévues aux articles 25 et 31 sont inefficaces,

Le présent amendement a pour objet la mise en conformité à la directive NIS 2 qui ne conditionne pas l’interdiction d’exercer des dirigeants des entités essentielles à la persistance d’un manquement malgré l’imposition d’amendes pécuniaires.

En effet, l’article 32 §5 de la directive NIS II prévoit, lorsque les mesures d’exécution de son paragraphe 4 aux points a) à d) et au point f) imposées aux entités essentielles – mesures de police administrative reprises dans le projet de loi aux articles 25 et 31 – sont inefficaces, une procédure en deux temps :

(i) l’entité essentielle est invitée, dans un délai imparti, à pallier les insuffisances ou satisfaire aux exigences des mesures d’exécution ;

(ii) si la mesure demandée n’est pas prise dans ce délai, alors l’autorité de supervision peut notamment prévoir une interdiction d’exercer temporaire des dirigeants, personnes physiques, de ces entités essentielles.

De plus, conformément à l’article 34 paragraphe 2 de la directive NIS 2, les amendes administratives peuvent intervenir en complément de l’interdiction d’exercer.

Il est donc proposé par cet amendement de conditionner l’interdiction d’exercer des dirigeants à l’inefficacité des mesures de police administratives (mesures d’exécution) mentionnées aux article 25 et 31 du projet de loi conformément aux articles 32 et 34 de la directive NIS 2.

Compléter cet article par un alinéa ainsi rédigé :

… . – Lorsque la commission des sanctions prononce l’une des sanctions prévues au présent article, elle prend en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

Afin d'éviter toute mesure disproportionnée qui pourrait peser très lourdement les plus petites entités, notamment les TPE-PME, il est également proposé de prendre en compte dans le prononcé de la sanction, les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

Compléter cet article par un alinéa ainsi rédigé :

… . – Lorsque la commission des sanctions prononce l’une des sanctions prévues au présent article, elle prend en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

L’article 37 prévoit une possibilité d’interdiction pour un dirigeant d’exercer ses fonctions en cas de manquements graves ou répétés.

En raison de moyens humains, financiers et techniques plus limités, les TPE - PME peuvent rencontrer des difficultés pour se conformer rapidement aux obligations imposées. Il est donc essentiel que la gravité des sanctions prenne en compte la nature et la répétition des manquements, la taille de l’entreprise et ses capacités réelles à répondre aux exigences réglementaires.

Cet amendement propose d'encadrer plus strictement cette disposition pour éviter des sanctions disproportionnées ou injustifiées, qui pourraient non seulement pénaliser de manière excessive les dirigeants de PME, mais également menacer la pérennité de ces entreprises. 

Article 37

Compléter cet article par un alinéa ainsi rédigé :

… . – Lorsque la commission des sanctions prononce l’une des sanctions prévues au présent article, elle prend en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

L’article 37 prévoit une possibilité d’interdiction pour un dirigeant d’exercer ses fonctions en cas de manquements graves ou répétés.

En raison de moyens humains, financiers et techniques plus limités, les TPE - PME peuvent rencontrer des difficultés pour se conformer rapidement aux obligations imposées. Il est donc essentiel que la gravité des sanctions prenne en compte la nature et la répétition des manquements, la taille de l’entreprise et ses capacités réelles à répondre aux exigences réglementaires.

Le présent amendement vise à encadrer plus strictement cette disposition pour éviter des sanctions disproportionnées ou injustifiées, qui pourraient non seulement pénaliser de manière excessive les dirigeants de PME, mais également menacer la pérennité de ces entreprises. Il concilie l’exigence de sécurité et la nécessaire préservation du tissu économique, tout en protégeant les dirigeants de PME de sanctions qui pourraient s’avérer injustifiées ou disproportionnées.

Après l’article 37

Insérer un article additionnel ainsi rédigé :

Pour les entités essentielles mentionnées aux articles 8 et 10, les dispositions du présent chapitre entrent en vigueur trois ans après la promulgation de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Pour les entités importantes mentionnés aux articles 9 et 10, les dispositions du présent chapitre entrent en vigueur quatre ans après la promulgation de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. 

Cet amendement vise à accorder les délais nécessaires aux entreprises, aux administrations et aux collectivités territoriales pour se mettre en conformité avec les obligations prévues par la directive NIS 2 et le présent projet de loi en assurant la transposition.

Il s’agira en particulier pour les 15 000 entités désormais régulées de se mettre en conformité avec le référentiel prévu à l’article 14 qu’édictera l’Anssi, ce qui nécessitera des investissements importants, le recours à des prestataires spécialisées, l’embauche de personnel qualifié, etc.

Il faudra donc laisser le temps aux entités de s’organiser, d’où l’importance de prévoir des délais nécessaires avant la mise en œuvre de contrôles et a fortiori de sanctions.

Dans un souci de proportionnalité, ce délai est fixé à trois ans pour les entités essentielles et à quatre ans pour les entités importantes, de plus petites tailles et souvent moins bien outillées pour mettre en place leurs nouvelles obligations en matière de cybersécurité.

Après l’article 39

Insérer un article additionnel ainsi rédigé :

La première phrase du premier alinéa de l’article L. 4121-3 du code du travail est complétée par les mots : « et dans la sécurisation des outils numériques ».

La transformation organisationnelle qu’appelle NIS 2 pour les entités ne saurait se limiter à un accompagnement circonscrit à des subventions ou des crédits d’impôts. Le présent projet de loi est l’occasion d’impulser un réel changement de paradigme autour des enjeux de cyberprotection et de cybersécurité. Ces risques sont dorénavant des risques du quotidien et doivent être appréhendés comme tels par tous les acteurs concernés. La méthode cybersecurity by design doit donc devenir la norme de tout projet informatique ou de transformation numérique.

L’objectif de passer de 5% des dépenses informatiques des entreprises dédiées à la cyber, à 10% tel que fixé par le Directeur Général de l’ANSSI (et à l’image de nombreux pays à travers le monde) est donc un objectif quantifiable et concret. Il représente moins une dépense additionnelle qu'une allocation différente du budget des organisations et des entreprises concernées.

Pour accompagner ce changement de paradigme, le présent amendement intègre le risque cyber dans le document unique d'évaluation des risques professionnels (DUERP) afin de favoriser l'acclimatation des chefs d’entreprises et des salariés à ceux-ci, ainsi que l’engagement général des entreprises sur ces questions. 

Après l’article 39

Insérer un article additionnel ainsi rédigé :

La première phrase du premier alinéa de l’article L. 4121-3 du code du travail est complétée par les mots : « et dans la sécurisation des outils numériques ».

Cet amendement propose d’intégrer le risque cyber dans le document unique d'évaluation des risques professionnels (DUERP) afin de favoriser l'acclimatation des chefs d’entreprises et des salariés à ceux-ci, ainsi que l’engagement général des entreprises sur ces questions. 

Alinéa 11

Remplacer les mots :

sans préjudice

par les mots :

sous réserve

Le rehaussement du quantum des sanctions, prévu par l’article 41 du projet de loi conduit, pour la perturbation d'un service autorisé, à dépasser celui prévu par l'article 78 de la loi relative à la liberté audiovisuelle lorsque l'émetteur et le service perturbé sont des communications audiovisuelles. C’est pourquoi, la rédaction du projet de loi tel qu’issu du Conseil d’Etat prévoyait que les nouvelles sanctions s’appliquaient « sous réserve » de celles de l’article 78 de la loi relative à la liberté audiovisuelle.

En remplaçant les mots "sous réserve" par "sans préjudice", il reviendra à l'Administration de choisir sur quel fondement (code des postes et des communications électroniques ou loi de 1986), elle entend sanctionner un brouillage du fait d'un service de communication audiovisuel alors même que le quantum des peines diffère selon le fondement retenu.

Revenir à la formulation « sous réserve » permettra de sécuriser juridiquement le dispositif.

Alinéa 11

Compléter cet alinéa par une phrase ainsi rédigée :

L’ensemble des activités relevant de l’exploitation d’une fréquence, notamment la fourniture de services de communications électroniques qui en découle, est soumis aux mêmes obligations d’immatriculation et de droit.

Dans son avis sur le projet de loi, le conseil d’Etat précise que cette nouvelle assignation portée par l’article 42 “ne porte que sur l’utilisation de fréquences par un système satellitaire, alors que son emploi ultérieur à des fins de fourniture de services de communications électroniques et la commercialisation de tels services sur le territoire de l’Union européenne ne présentent qu’un caractère hypothétique.”

 Le présent amendement des sénateurs CRCE-K vise à empêcher le recours à des stratégies d’optimisation fiscale des entreprises bénéficiant des services de l’Agence nationale des fréquences.Par exemple Starlink, basé à Dublin.

I. - Alinéa 3

Remplacer les mots :

exerce les fonctions et missions prévues à l’article 19 

par les mots :

veille au respect 

II. - Alinéa 5

1° Remplacer les mots :

exerce les fonctions et missions prévues à l’article 19 

par les mots :

veille au respect

2° Après les mots :

personnes mentionnées

Rédiger ainsi la fin de cet alinéa :

aux I et II de l’article L. 612-2, à l’exception de celles mentionnées au b du 2° du A du I et du 8° du B du I.

Cet amendement vise à désigner la Banque de France ainsi que l’Autorité de contrôle prudentiel et de résolution comme autorités compétentes au titre de l’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (Texte présentant de l’intérêt pour l’EEE). L’articulation nécessaire à l’application de la directive NIS 2 et du règlement DORA pour ce qui concerne la notification des incidents, permettant de facto d’assurer l’assistance technique dont les entités pourront avoir besoin de la part du CSIRT, est satisfaite par un autre amendement ne nature à expliciter les incidents concernés.

Amendement n° 123, alinéas 1 à 5 et 7 à 10

Supprimer ces alinéas.

Le présent sous-amendement vise à empêcher la neutralisation, par l'amendement 123 du Gouvernement, de l'article 43 A issu des travaux de la commission. Cet article 43 A désignait l'Autorité de contrôle prudentiel et de résolution (ACPR) comme autorité compétente pour exercer les fonctions et missions prévues à l'article 19 du règlement DORA à l'égard de la plupart des personnes soumises à sa supervision. L'amendement 123, lui, prévoit que l'ACPR se contente de veiller au respect du règlement DORA par ces personnes, ce qu'elle doit déjà faire selon le règlement DORA.

Dans le même temps, le sous-amendement conserve la correction d'une erreur de référence comprise dans l'article 43 A, correction permise par l'amendement 123 du Gouvernement.

Après l'article 43 A

Insérer un article additionnel ainsi rédigé :

Après l’article L. 612-24 du code monétaire et financier, il est inséré un article L. 612-24-… ainsi rédigé :

« Art. L. 612-24-…. I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b) du 2° du A du I de l’article L. 612-2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions prévues au titre II de la loi n° X du X relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA). 

Cette désignation permet d’éviter à ces entités d’avoir à adresser deux ou trois déclarations identiques aux différentes autorités financières à la surveillance desquelles elles sont soumises. Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les entités assujetties à NIS2 et, sur base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

Après l’article 45

Insérer un article additionnel ainsi rédigé :

Le code monétaire et financier est ainsi modifié : 

1° L’article L. 54-10-7 est complété par un paragraphe ainsi rédigé :

« …. – L’Autorité des marchés financiers exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour les prestataires agréés conformément au I, à l’exception de ceux visés à l’article L. 612-24-1. » ;

2° Après l’article L. 421-11, il est inséré un article L. 421-11-… ainsi rédigé :

« Art. L. 421-11-... – L’Autorité des marchés financiers exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour l’entreprise de marché mentionnée à l’article L. 421-2. »

L’article 19 du règlement « DORA » prévoit expressément que les États membres désignent, pour les entités financières qui sont soumises à la surveillance de plusieurs autorités nationales compétentes, une seule autorité compétente pour recevoir les déclarations d’incidents majeurs liés aux TIC et les notifications volontaires des cybermenaces importantes.

Le présent amendement a pour objet de répondre à cette exigence prévue par le règlement en désignant l’Autorité des marchés financiers comme seule autorité compétente pour exercer les fonctions et missions prévues par le règlement « DORA » en matière de déclaration des incidents majeurs liés aux technologies de l’information et de la communication (TIC) et de notification volontaire des cybermenaces importantes pour les entreprises de marché et pour les prestataires de services pour crypto-actifs. Il reprend en cela une rédaction similaire à celle introduite en commission par l'article 43 A. 

La désignation d’un « guichet unique » constitue une mesure de simplification qui, sans préjudice des échanges d’informations entre les services administratifs compétents, réduit la charge administrative des entreprises qui constituent par suite un unique dossier de déclaration ou de notification.

Après l'article 45

Insérer un article additionnel ainsi rédigé :

L’article L. 54-10-7 du code monétaire et financier est complété par un paragraphe ainsi rédigé :

« VI. En application du deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les prestataires agréés conformément au I, à l’exception de ceux visés au I. de l’article L. 612-24-1 du code monétaire et financier, adressent à l’Autorité des marchés financiers leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication. 

« En application du premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les prestataires agréés conformément au I, à l’exception de ceux visés au I de l’article L. 612-24-1 du code monétaire et financier peuvent adresser à l’Autorité des marchés financiers leurs notifications de cybermenaces. »

Cet amendement vise à désigner l’Autorité des marchés financiers comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des prestataires de services sur crypto-actifs agréés, autres que ceux déjà tenus de le faire auprès de l’Autorité de contrôle prudentiel et de résolution au titre de leur statut d’entités financières sous contrôle de l’ACPR,  conformément au deuxième alinéa du paragraphe 1 et premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA). 

Après l'article 45

Insérer un article additionnel ainsi rédigé :

Après l’article L. 421-11 du code monétaire et financier, il est inséré un article L. 421-11-1 ainsi rédigé :

« Art. L. 421-11-1. – En application du deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, l’entreprise de marché adresse à l’Autorité des marchés financiers ses déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque l’entreprise de marché est également soumise en tant qu’entité essentielle ou importante aux dispositions prévues au titre II de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, elle transmet également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« En application du premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, l’entreprise de marché peut adresser à l’Autorité des marchés financiers ses notifications de cybermenaces. Dans ce cas, elle transmet également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

Cet amendement vise à désigner l’Autorité des marchés financiers comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entreprises de marché, conformément au deuxième alinéa du paragraphe 1 et premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA). 

Cette désignation permet d’éviter aux entreprises de marchés d’avoir à adresser des déclarations identiques aux différentes autorités financières à la surveillance desquelles elles sont soumises. L’Autorité de contrôle prudentiel et de résolution, qui participe également à leur supervision, recevra ces informations via l’Autorité des marchés financiers. Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les incidents et sur une base volontaire pour les cybermenaces, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

I. – Alinéa 2, seconde phrase

1° Supprimer les mots :

et au c du II

2° Remplacer la référence :

L. 521-10

par la référence :

L. 521-1

II. – Alinéas 3 et 4

Remplacer les mots :

aux a et b du

par le mot :

au

III. – Compléter cet article par deux alinéas ainsi rédigés : 

.... – Il est ajouté un paragraphe ainsi rédigé : 

«.... – La Caisse des dépôts et consignations réalise les déclarations mentionnées au I, dans les conditions prévues par le décret mentionné à l’article L. 518-15-1. » 

Le présent amendement vise à modifier l'article L. 521-10 du code monétaire et financier pour tenir compte de la situation particulière qui s'appliquera à la Caisse des dépôts et consignations (CDC). Il est en effet prévu d'assujettir la CDC à des obligations de notification d'incidents issues du règlement DORA, par une modification du décret n° 2020-94 du 5 février 2020 relatif au contrôle interne et externe de la Caisse des dépôts et consignations (en cours de réécriture). 

Dans sa version initiale, l'article 49 du projet de loi ne prenait pas en compte ce futur assujettissement de la CDC à certaines obligations de DORA. Dans le texte adopté en commission, l'article 49 a alors été modifié pour préciser que la CDC notifie les incidents dans les conditions prévues par l'article 23 du règlement DORA. Cependant, pour des raisons d'ordonnancement juridique, il apparaît préférable de renvoyer au décret pour l'application du régime des incidents à la CDC, plutôt que de rendre applicables directement des articles de DORA à la CDC. 

Après l’article 54

Insérer un article additionnel ainsi rédigé :

Après l’article L. 574-6 du code monétaire et financier, il est inséré un article L. 574-… ainsi rédigé :

« Art. L. 574-….- I. – Les entités mentionnées au sein du titre III de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, et relevant du champ d’application des chapitres II et IV du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.  

Alinéa 11, tableau, première colonne, première ligne

Supprimer les mots :

L. 421-1 à

Correction d'une erreur de référence. 

Après l’article 57

Insérer un article additionnel ainsi rédigé :

Après le troisième alinéa de l’article L. 354-1 du code des assurances sont insérés quatre alinéas ainsi rédigés : 

« 1° Les entreprises d’assurance et de réassurance recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« a) Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« b) Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« 2° À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au 1° , l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.  

Après l’article 58

Insérer un article additionnel ainsi rédigé :

Au second alinéa de l’article L. 121-8 du code des assurances, les mots : « ou de mouvements populaires » sont remplacés par les mots : « , de mouvements populaires ou d’attaques informatiques ».

Après l’article 60

Insérer un article additionnel ainsi rédigé :

Après le troisième alinéa de l’article L. 211-12 du code de la mutualité, sont insérés quatre alinéas ainsi rédigés : 

« Les mutuelles et unions mentionnées à l'article L. 211-10 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services

Après l’article 61

Insérer un article additionnel ainsi rédigé :

Après le troisième alinéa de l’article  L. 931-7 du code de la sécurité sociale sont insérés quatre alinéas ainsi rédigés : 

« Les institutions de prévoyance et unions mentionnées à l'article L. 931-6 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux conditions mentionnées aux 1° et  2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services.

Après l’article 61

Insérer un article additionnel ainsi rédigé :

Afin de garantir un niveau de protection des données à caractère personnel conforme aux exigences du Règlement général sur la protection des données (UE) 2016/679 et de la Charte des droits fondamentaux de l’Union européenne, les entités visées par le titre III de la présente loi doivent assurer l’hébergement et le traitement des données à caractère personnel collectées en France sur des infrastructures situées sur le territoire national.

À cette fin, ces données doivent être stockées soit :

1. Sur un service de cloud qualifié SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;

2. Sur un système d’information interne, physiquement localisé en France et conforme aux exigences de sécurité définies par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Toute externalisation de ces données vers un prestataire non qualifié SecNumCloud ou situé hors du territoire national est interdite, sauf dérogation expressément accordée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les autorités de contrôle compétentes peuvent imposer des sanctions financières en cas de non-respect de cette obligation.

Cet amendement vise à renforcer la souveraineté numérique de la France et la protection des données personnelles en imposant leur territorialisation sur des infrastructures sécurisées, conformément aux exigences européennes en matière de protection des données.  L’invalidation du Privacy Shield par la CJUE et les risques liés aux législations étrangères, notamment américaines, justifient la nécessité d’un hébergement souverain des données.

Après l'article 61

Insérer un article additionnel ainsi rédigé :

Le Gouvernement remet au Parlement, dans un délai de six mois à compter de la promulgation de la présente loi, un rapport sur le recours aux prestataires de services de technologies de l'information et de la communication par les entités visées au titre III de la présente loi. Ce rapport évalue notamment la part des entreprises extra-communautaires parmi ces prestataires, ainsi que les enjeux en matière de résilience et de souveraineté numérique.

Cet amendement vise à mieux appréhender la dépendance des entités concernées aux prestataires TIC, en particulier étrangers. L’objectif est de mesurer la part des entreprises extra-communautaires et d’identifier les risques liés à la souveraineté et à la sécurité des infrastructures numériques essentielles.

Rédiger ainsi cet article :

Le présent titre entre en vigueur le lendemain de la promulgation de la présente loi. Toutefois, les dispositions des articles 46, 47 et 54 sont applicables aux sociétés de financement remplissant les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012 à compter du 17 janvier 2026.

Le présent amendement vise deux objectifs. En premier lieu, il s’agit de rétablir le principe d’une entrée en application différenciée entre les plus grandes sociétés de financement et les autres entreprises de ce type. Les plus grandes sociétés de financement exercent, pour certaines, des activités critiques pour le secteur financier français et devraient être assujetties dès la promulgation de la présente loi à des standards élevés en matière de résilience et de cybersécurité. Les autres sociétés de financement, de taille modeste, devraient bénéficier d’un report de l’entrée en application de ces exigences dans le cadre d’un calendrier de mise en conformité proportionné.

D’autre part, le présent amendement vise à rétablir une date d’assujettissement des petites sociétés de financement dans des délais plus adaptés, assurant qu’à moyen terme l’ensemble du secteur financier français applique un niveau d’exigences cohérent. Le 1^er janvier 2030 apparaît dans cette optique comme un horizon trop lointain et l’ampleur de cette différenciation est inéquitable par rapport à d’autres acteurs du secteur financier distribuant des services comparables aux sociétés de financement. Dans un souci d’égalité de traitement, l’échéance du 17 janvier 2026 du présent amendement offre un an aux petites sociétés de financement pour se préparer aux exigences de DORA, à l’instar des délais qui avaient été offerts par le règlement aux établissements de crédit.

Enfin, une entrée en application différée à un horizon aussi lointain que 2030 apparaît contraire au principe du droit français d’équivalence des exigences prudentielles entre sociétés de financement et établissements de crédit. Cette équivalence est profitable aux sociétés de financement dont les expositions bénéficient à ce titre d’un traitement prudentiel aussi favorable que celui-ci des expositions auprès des banques en application de l’article 119 du règlement « CRR ». Dans le cas où cette équivalence devait être questionnée, les sociétés de financement pourraient perdre le bénéfice de cette dérogation prudentielle.

Compléter cet article par un alinéa ainsi rédigé : 

Lorsqu'elles remplissent les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012, les sociétés de financement appliquent les règles énoncées aux chapitres II à IV et à la section 1 du chapitre V du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 conformément au principe de proportionnalité énoncé à l'article 4 du même règlement (UE). 

Le présent amendement vise à soumettre les sociétés de financement de petite taille et non complexes, comme les sociétés de caution ou de crédit-bail, au règlement DORA selon un principe de proportionnalité, tel que prévu à l'article 4 de ce règlement. L'enjeu est de permettre une distinction entre les sociétés de financement qui tiendrait compte de la taille, de la nature et de la complexité des activités concernées telles que rappelées à l’article 4 du règlement DORA.

L'objectif de cet amendement est de modérer les effets de la surtransposition née de la soumission des sociétés de financement au règlement DORA alors que ces sociétés, de droit français, ne font pas partie du périmètre du règlement, tout en préservant la pleine application dudit règlement pour les sociétés de financement systémiques, pour lesquels les exigences en matière de cybersécurité doivent être les mêmes que pour les établissements de crédit. En effet, peu d’Etats membres envisagent d’étendre DORA aux établissements exerçant des activités de leasing ou d’affacturage sans adaptations. Le présent amendement vise à prévoir une telle adaptation.