Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 92

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 1ER


Alinéa 7

Après la première occurrence du mot :

de

rédiger ainsi la fin de l’alinéa :

l’économie ou de la société ainsi qu’à la défense ou à la sécurité de la Nation ;

Objet

Le présent amendement tend à restaurer la rédaction initiale du projet de loi.

 

En effet, si le souhait d’éviter toute surtransposition est pleinement partagé par le Gouvernement, le périmètre de la sauvegarde des activités d’importance vitale (SAIV) n’est pas strictement équivalent à celui de la directive dite « REC » et comprend un volet national.

 

Afin d’éviter la restriction du périmètre actuel de la SAIV, qui n’est pas souhaitable, le présent amendement tend donc à restaurer la rédaction initiale du projet de loi.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 95

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 1ER


Alinéa 13

Après le mot :

prévenir

rédiger ainsi la fin de l’alinéa :

, à se protéger et à résister contre tout type d’incident afin d’assurer la continuité de la ou des activités d’importance vitale qu’il exerce.

Objet

Le présent amendement propose de compléter la définition de « résilience » adoptée par la commission spéciale.

En effet, si cette définition simplifie celle retenue par la directive « REC », qui liste une série de capacités devant être justifiées par un opérateur d’importance vitale dont certaines paraissent difficilement exploitables, deux éléments essentiels de la résilience sont absents de cette définition.

La notion de résilience étant employée dans de nombreux domaines d’activités, elle doit être précise lorsqu’elle s’applique dans un contexte imposant aux acteurs concernés des mesures destinées à la rendre effective.

La définition votée par la commission spéciale ne mentionne pas explicitement la nécessité pour l’opérateur d’adopter des mesures efficaces lui permettant de résister face aux conséquences d’un incident.

En outre, il est essentiel de préciser que les mesures de résilience mises en œuvre par les opérateurs ont pour finalité principale de leur permettre de poursuivre leurs activités d’importance vitale, le rétablissement à un fonctionnement normal de l’opérateur constituant la dernière étape, laquelle sera alimentée du retour d’expérience acquise durant l’incident.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 25

10 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Favorable
Rejeté

Mme CONWAY-MOURET, M. Mickaël VALLET, Mme LINKENHELD, M. CARDON, Mmes BLATRIX CONTAT et NARASSIGUIN, M. ROS

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 1ER


Alinéa 14 

Au début, insérer les mots : 

Après avoir recueilli leurs observations,

Objet

Afin de prendre en considération les observations émises par le rapporteur au stade de l’examen du texte en commission, le présent amendement du groupe SER prévoit que la notification à l'opérateur de l'intention de le désigner opérateur d’importance vitale (OIV) doit être l'occasion d'une consultation de l'opérateur concerné par l'autorité administrative (ministre coordonnateur ou préfet de département selon le cas) et non d’une concertation avec cette dernière. 

Le rapporteur a raison de souligner que la procédure de notification ne doit pas être retardée inutilement ou de manière disproportionnée. 

Cependant, le principe de cette consultation étant déjà prévu dans la partie règlementaire du code de la défense, le présent amendement du groupe SER envisage de le consacrer dans la loi en raison des implications que la désignation d’OIV entraîne.  

La consultation préalable est d’autant plus déterminante qu’elle permettra de prendre en considération l’examen de plusieurs facteurs : taille de l'opérateur, allant de la TPE au grand groupe ; secteur d'activité concerné ; probabilité d'occurrence et gravité des risques identifiés.  

Par ailleurs, la systématisation de la prise en compte de la continuité d'activité pour satisfaire au critère de résilience inscrit dans la directive va engendrer des coûts supplémentaires pour l’opérateur. Il en ira de même pour les collectivités territoriales désignées en tant qu'OIV en raison des activités qu'elles assurent pour leurs administrés. 

Il parait donc raisonnable de recueillir préalablement les observations de l’OIV pressenti.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 93

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 1ER


Alinéa 22

Remplacer les mots :

naturels ou d’origine humaine, accidentels ou intentionnels

par les mots :

de toute nature

et les mots :

terroristes et ceux qui revêtent un caractère transsectoriel ou transfrontière

par le mot :

terroriste

Objet

Le présent amendement tend à restaurer la rédaction initiale du projet de loi s’agissant de la définition des risques dont les opérateurs d’importance vitale (OIV) doivent procéder à l’analyse.

Il paraît à cet égard préférable de conserver une définition la plus souple et la plus large possible. La mention des risques « de toute nature » semble à cet égard devoir être conservée. Les éléments de définition adoptés par la commission, bien que relativement larges, pourraient ainsi conduire à une analyse lacunaire, alors que l’objectif du dispositif est de contraindre les OIV à procéder à une analyse des risques la plus complète possible.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 108

11 mars 2025


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Favorable
Adopté

Le Gouvernement


ARTICLE 1ER


Alinéa 32, deuxième phrase

Supprimer les mots :

et de sous-traitance

Objet

Le présent amendement tend à supprimer la notion de sous-traitance de l’analyse des dépendances que seront tenus de réaliser les opérateurs d’importance vitale (OIV).

En effet, cette notion ne figure pas dans la directive dite « REC », qui se borne à mentionner les seules chaînes d’approvisionnement. En outre, étendre l’analyse des dépendances aux sous-traitants pourrait s’avérer une charge particulièrement lourde pour certains opérateurs.

Afin d’éviter toute surtransposition et restreindre la charge administrative imposée aux opérateurs au strict nécessaire, il est donc proposé de supprimer la notion de sous-traitance.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 113

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. SAURY, CANÉVET et CHAIZE

au nom de la CS Cybersécurité


ARTICLE 1ER


Alinéa 34

Remplacer le mot :

dont

par les mots :

pour lesquels

Objet

Amendement rédactionnel.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 62 rect.

10 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

MM. Cédric VIAL et Étienne BLANC


ARTICLE 1ER


Alinéa 35

Après les mots :

Ces mesures

Insérer les mots :

précisent les équipements matériels et les dispositifs numériques installés et mis en œuvre et

Objet

Amendement de précision.

L'opérateur d'importance vitale relevant de la catégorie d'entité critique doit assurer une activité d'importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs assurant leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver. 



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 26

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme CONWAY-MOURET, M. Mickaël VALLET, Mme LINKENHELD, M. CARDON, Mmes BLATRIX CONTAT et NARASSIGUIN, M. ROS

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 1ER


Alinéa 40 

Compléter cet alinéa par les mots : 

, pris après avis de la Commission nationale de l'informatique et des libertés

Objet

Le projet de loi relatif à la résilience des infrastructure critiques et au renforcement de la cybersécurité modifie l’article L. 1332-6 du code de la défense dans une nouvelle rédaction qui prévoit l'élargissement du champ des enquêtes administratives de sécurité aux accès à distance aux Point d’Importance Vitale (PIV), ainsi qu'aux Systèmes d’Information d’Importance Vitale (SIIV), conformément à la directive européenne REC (art. 14). 

L’article L.1332-6 dispose précisément qu’en cas de suspicion, avant d’accorder une autorisation d’accès physique ou à distance à ses PIV et SIIV, l’Opérateur d’Importance Vitale (OIV) peut demander l’avis de l’autorité administrative compétente dans les conditions prévues par l’article L. 114-1 du CSI, selon les modalités fixées par décret en conseil d’État. 

Le présent amendement du Groupe SER du Sénat prévoit d’assortir le décret en Conseil d’État d’un avis de la CNIL. 

Cet avis est d’autant plus justifié que cette nouvelle disposition intéresse les accès physique aux PIV mais également les accès à distance aux PIV et SIIV, d’une part et que ces  enquêtes peuvent donner lieu à la consultation du bulletin n° 2 du casier judiciaire et de traitements automatisés de données à caractère personnel relevant de l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (à l'exception des fichiers d'identification) d’autre part.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 49

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. DOSSUS, MELLOULI, BENARROCHE, Grégory BLANC et DANTEC, Mme de MARCO, MM. FERNIQUE et GONTARD, Mme GUHL, M. JADOT, Mmes OLLIVIER et PONCET MONGE, M. SALMON, Mmes SENÉE, SOUYRIS, Mélanie VOGEL

et les membres du groupe Écologiste - Solidarité et Territoires


ARTICLE 1ER


Alinéa 40 

Compléter cet alinéa par les mots : 

, pris après avis de la Commission nationale de l'informatique et des libertés

Objet

Cet amendement prévoit que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL. Cette garantie est essentielle, ces enquêtes couvrant un champ élargi et pouvant impliquer la consultation du bulletin n°2 du casier judiciaire ainsi que de traitements automatisés de données personnelles (article 26 de la loi n° 78-17 du 6 janvier 1978).






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 54

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. DOSSUS, MELLOULI, BENARROCHE, Grégory BLANC et DANTEC, Mme de MARCO, MM. FERNIQUE et GONTARD, Mme GUHL, M. JADOT, Mmes OLLIVIER et PONCET MONGE, M. SALMON, Mmes SENÉE, SOUYRIS, Mélanie VOGEL

et les membres du groupe Écologiste - Solidarité et Territoires


ARTICLE ADDITIONNEL AVANT ARTICLE 5


I. - Avant l’article 5

Insérer un article additionnel ainsi rédigé :

L’État met en place un plan national d’accompagnement au renforcement de la cybersécurité sur cinq ans qui identifie les compétences nécessaires et les besoins de formations sur les territoires.

Un volet de ce plan est consacré à l’accompagnement technique et financier des TPE et PME, ainsi qu’aux villes moyennes et petites intercommunalités.

Le plan clarifie le rôle des centres de réponse aux incidents de sécurité informatique territoriaux, et leur financement, dans l’accompagnement des entités nouvellement soumises à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) et la mutualisation des moyens des collectivités.

Un bilan de la mise en œuvre de la directive est réalisé deux ans après la promulgation de la présente loi pour évaluer les difficultés et ajuster les mesures d’accompagnement.

II. – En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :

Chapitre...

De l’accompagnement des entités soumises à des exigences renforcées de cybersécurité

Objet

La mise en conformité avec NIS2 représente un coût estimé à 2 milliards d’euros, dont 690 millions d’euros par an pour les collectivités, alors même que nombre d’entre elles manquent de ressources humaines et techniques en cybersécurité.

La Commission supérieure du numérique et des postes (CSNP) et le Conseil d’État ont souligné la nécessité d’un accompagnement renforcé de l’État pour éviter une saturation des capacités d’expertise et assurer une mise en œuvre efficace des exigences de la directive.

Le présent amendement propose donc un plan national d’accompagnement pour les nouvelles entités concernées, en priorité les TPE, PME, villes moyennes et petites intercommunalités. Ce plan :

• Identifie les besoins en financements et formations ;

• Clarifie le rôle des CSIRT territoriaux dans l’accompagnement et la mutualisation des moyens, en métropole comme en outre-mer ;

• Prévoit un bilan d’application de la directive NIS 2 afin d’ajuster les mesures d’accompagnement.

Cet effort structurant est essentiel pour garantir la bonne application des obligations induites par NIS2 sur l’ensemble du territoire.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 65

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE 5 BIS


I. - Alinéa 1

Rédiger ainsi cet alinéa :

Afin de parvenir à un niveau élevé de souveraineté numérique et de le maintenir, le Premier ministre élabore une stratégie nationale, notamment en matière de cybersécurité, qui comprend notamment :

II. - Après l'alinéa 6

Insérer quatre alinéas ainsi rédigés :

...° Un plan de financement de la formation et de la recherche en matière de cyber sécurité;

...° Un plan permettant de financer une véritable doctrine de l’autonomie technologique maximale en matière de renseignement et de cyberdéfense, en faisant du recours à des technologies extra- européennes une exception devant être motivée;

...° Une évaluation du coût de notre dépendance aux solutions numériques  extra-européennes;

...° Une évaluation fine de l'externalisation des services numériques au sens large et du recours aux prestations intellectuelles informatiques par l’État, les organismes publics et les collectivités territoriales ;

Objet

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d'une véritable stratégie en faveur de la souveraineté numérique. c'est le sens de notre amendement.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 96

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 5 BIS


I. - Alinéa 2

Supprimer les mots :

, couvrant en particulier les secteurs mentionnés à l’article 7

II. – Alinéas 3, 5 et 6

Supprimer ces alinéas 

III. -Alinéa 4

Remplacer les mots :

définis au 2°

par les mots :

concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité

Objet

Le présent amendement tend à préciser le champ de la stratégie nationale de cybersécurité, dont l’existence a été consacrée par la commission spéciale.

En effet, si le Gouvernement partage l’objectif de lisibilité du droit poursuivi par l’inscription d’une telle stratégie – déjà adoptée et mise à jour régulièrement –, il convient néanmoins que son contenu soit conforme aux visées stratégiques poursuivies par ce type de document. Il est ainsi proposé d’en recentrer le contenu sur trois piliers : la fixation d’objectifs ; la détermination d’une gouvernance permettant la mise en œuvre de ces objectifs ; la définition d’indicateurs de performance garantissant la bonne information de tous. En outre, la stratégie étant globale à l’échelle de la Nation, il est proposé de supprimer la mention des secteurs d’application du présent projet de loi.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 39

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

M. Mickaël VALLET, Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, M. ROS

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 5 BIS


Alinéa 6

Après le mot :

publiques

Insérer les mots :

, des communes

Objet

La cybersécurité constitue un enjeu majeur pour les collectivités locales, dans un contexte de transformation numérique profonde et de recrudescence des menaces cyber. D'après l'étude sur la maturité des collectivités en matière de cybersécurité réalisée par le GIP ACYMA en 2024[1], une collectivité sur dix déclare avoir été victime d’une ou de plusieurs cyberattaques[2] au cours des 12 derniers mois.

Ces attaques, en constante augmentation, sont loin d’être anodines : elles ont provoqué une interruption d’activité et de service pour plus d’un tiers des communes touchées et une destruction ou un vol de données pour un quart d’entre elles[3]. À La Rochelle par exemple, une cyberattaque subie entre Noël et le jour de l’an 2021 a directement causé l’interruption de plusieurs services publics locaux et notamment le service d’état civil, le service des cimetières ou encore le service de gestion des parkings.

Même si les collectivités prennent de plus en plus conscience du risque cyber, elles ne se sentent pas suffisamment armées en cas d’incident cyber. Seules 14 % d’entre elles se disent préparées en cas de cyberattaque et à peine une collectivité sur cinq dispose d’une procédure de réaction adaptée.[4]

L'amendement du groupe SER a ainsi pour objectif d’accompagner les communes, en particulier celles qui sont exclues du champ d'application de loi, en fournissant des orientations et un soutien facilement accessibles pour répondre à leurs besoins spécifiques.

Il s'agit pour les communes d'appréhender davantage le risque cyber, par exemple, en ajoutant explicitement un volet cybersécurité au sein du plan communal de sauvegarde pour les communes qui en disposent, comme l'avait recommandé l'AMF.

 


[1] 3e étude du baromètre de la maturité Cyber des Collectivités françaises, Opinionway pour le GIP ACYMA, 25 octobre 2024, p.30

[2] L’Agence nationale de la sécurité des systèmes d’information (« ANSSI ») définit, dans son Cyberdico, la cyberattaque comme une attaque consistant à porter atteinte à un ou plusieurs systèmes informatiques dans le but de satisfaire des intérêts malveillants.

[3] 3e étude du baromètre de la maturité Cyber des Collectivités françaises, Opinionway pour le GIP ACYMA, 25 octobre 2024, p.31

[4] Ibid., p.28






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 43

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 5 BIS


Après l'alinéa 3 

Insérer un alinéa ainsi rédigé

... ° Le cadre d'intervention et le rôle des CSIRT (computer security incident response team) territoriaux dans la politique de cybersécurité, leur financement et leur déploiement sur le territoire en hexagone comme en outre-mer ; 

Objet

Véritable vecteur de développement d'une culture cyber de proximité, auprès des PME/TPE comme des collectivités locales, les CSIRT peuvent jouer un rôle important dans l'accompagnement.

L'amendement du groupe SER propose que le gouvernement clarifie le rôle joué par les CSIRT territoriaux, leur répartition sur le territoire, en hexagone comme en Outre-mer, et leur financement.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 36

10 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Sagesse du Sénat
Adopté

Mmes BLATRIX CONTAT et LINKENHELD, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET, MONTAUGÉ

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 5 BIS


Après l’alinéa 5

Insérer un alinéa ainsi rédigé :

…° Les orientations permettant une approche intégrée des enjeux de cybersécurité et de souveraineté numérique ;

Objet

L'amendement du groupe SER propose que la stratégie nationale de cybersécurité donne les orientations en matière de souveraineté numérique favorisant ainsi le recours à des infrastructures et solutions françaises ou européennes souveraines.

L'ambition de l'Union européenne de supprimer toute dépendance à l’égard des systèmes non européens d'ici 2030 semble devoir être réaffirmée au titre des priorités de notre stratégie nationale en matière de cybersécurité.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 42

10 mars 2025


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Sagesse du Sénat
Adopté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 5 BIS


Après l’alinéa 6 

Insérer un alinéa ainsi rédigé :

... ° Les modalités de soutien aux collectivités territoriales et à leurs groupements ;

Objet

Les exigences accrues en cybersécurité risquent de peser lourdement particulièrement pour les nouvelles entités concernées : le coût de mise en conformité est estimé à 2 milliards d’euros, dont 1,3 milliard pour les entreprises de taille moyenne et à 690 millions d’euros par an pour les collectivités (hors coût des recrutements rendus nécessaires).

Le Conseil d’État, dans son avis du 6 juin 2024, estime indispensable un effort d'information et d'accompagnement soutenu et réactif de l’État au profit des entités concernées par le directive NIS2.

La réussite de la mise en œuvre des exigences renforcées de cybersécurité, dans un temps que l'on souhaite le plus court possible, est donc subordonnée à la capacité de l’État à accompagner ces nouvelles entités.

L'amendement du groupe SER propose de compléter la stratégie nationale en matière de cybersécurité prévue par la commission spéciale pour renforcer les besoins d'accompagnement des collectivités nouvellement soumises à des exigences renforcées de cybersécurité et particulièrement l’accompagnement financier.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 34

10 mars 2025


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Sagesse du Sénat
Adopté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 5 BIS


Après l’alinéa 6 

Insérer un alinéa ainsi rédigé :

... ° L’identification et le renforcement des compétences et formations nécessaires sur l’ensemble du territoire ;

Objet

La mise en œuvre de la directive NIS2 pose des défis majeurs et notamment le risque de saturation des ressources expertes et le coût financier. Les exigences accrues en cybersécurité risquent de peser lourdement particulièrement pour les nouvelles entités concernées : le coût de mise en conformité est estimé à 2 milliards d’euros, dont 1,3 milliard pour les entreprises de taille moyenne et à 690 millions d’euros par an pour les collectivités (hors coût des recrutements rendus nécessaires).

Comme souligné par la Commission supérieure du numérique des postes (CSNP), certaines des entités nouvellement soumises aux dispositions de la directive sont moins dotées en ressources humaines, techniques et financières. Et au-delà des coûts, certains territoires ne disposent tout simplement pas des ressources humaines ou de prestataires compétents en matière de cybersécurité pour accompagner les nouvelles entités essentielles ou importantes au sens de la directive NIS 2.

L'amendement du groupe SER propose de compléter la stratégie nationale en matière de cybersécurité par un volet compétences et formations nécessaires sur l'ensemble du territoire.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 38

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 5 BIS


Après l’alinéa 7

Insérer un alinéa ainsi rédigé :

Dans chaque département, un sous-préfet est identifié en qualité de référent en matière de cybersécurité et résilience pour coordonner l’accompagnement des collectivités territoriales dans la mise en œuvre de leurs obligations en matière de cybersécurité et dans l’aide au maintien des services publics essentiels en cas de perturbation des services numériques.

Objet

Beaucoup de collectivités se sentent encore très éloignées des enjeux de cybersécurité alors qu’elles sont souvent la cible privilégiée de cyberattaques en raison de leur rôle critique dans la gestion de nombreuses données sensibles et de leur proximité avec les administrés. Elles doivent aussi garantir la continuité des missions essentielles de services publics.

Reprenant l’esprit d’une recommandation de son avis n°2023-06 du 12 septembre 2023 sur la souveraineté numérique, la Commission supérieure du numérique et des postes (CSNP) pose à nouveau le rôle que les préfets pourraient jouer dans l’accompagnement des collectivités pour se mettre en conformité aux exigences de la directive NIS2.

Il est proposé de consolider le maillage territorial d’accompagnement des collectivités.

Aussi notre amendement propose, dans chaque département, qu’un sous-préfet soit identifié en matière de cybersécurité et résilience pour coordonner l’accompagnement des collectivités territoriales et organiser la mutualisation des moyens pour le renforcement de la cybersécurité.

Il est précisé qu’il s’agit de confier cette mission à un sous-préfet déjà en place.

Il apportera aussi tout l’appui nécessaire de l’administration décentralisée en lien avec les administrations centrales lorsque ces services publics locaux sont étroitement liées à des missions régaliennes ou nationales (état civil, élections, éducation...). Il veillera à la mise en œuvre de plans de résilience par les collectivités pour assurer la continuité des missions de service public. L’objectif est d’apporter une réponse organisée et centralisée face à des crises où l’interruption des services numériques rendrait difficile l’exécution des missions essentielles. 






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 35

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

M. CARDON, Mmes LINKENHELD, BLATRIX CONTAT, CONWAY-MOURET et NARASSIGUIN, MM. Mickaël VALLET, ROS

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE ADDITIONNEL APRÈS ARTICLE 5 BIS


Après l’article 5 bis

Insérer un article additionnel ainsi rédigé :

I. – Après l’article 244 quater Y du code général des impôts, il est inséré un article 244 ... ainsi rédigé :

« Art. 244 ... – Jusqu’au 31 décembre 2027, les dépenses exposées par les entreprises qui satisfont à la définition des microentreprises et petites entreprises donnée à l’annexe I au règlement (UE) n° 651/2014 de la Commission du 17 juin 2014 déclarant certaines catégories d’aides compatibles avec le marché intérieur en application des articles 107 et 108 du traité peuvent bénéficier d’un crédit d’impôt égal à 30 % de la somme :

« – des dépenses d’audit de cybersécurité ;

« – des dépenses d’acquisition, de souscription ou de maintenance d’un produit ou service de cybersécurité ;

« – des dépenses de formation en cybersécurité engagées par l’entreprise ;

« Les subventions publiques reçues par les entreprises à raison des dépenses ouvrant droit au crédit d’impôt sont déduites des bases de calcul de ce crédit.

« Le crédit d’impôt est plafonné à 15 000 €.

« Le crédit d’impôt est imputé sur le résultat imposable à l’impôt sur le revenu ou à l’impôt sur les sociétés de l’entreprise. »

II. – Le I s’applique aux dépenses exposées à compter du lendemain de la promulgation de la présente loi.

III. – Le I ne s’applique qu’aux sommes venant en déduction de l'impôt dû.

IV. – La perte de recettes résultant pour l’État du paragraphe précédent est compensée, à due concurrence, par la création d’une taxe additionnelle à l’accise sur les tabacs prévue au chapitre IV du titre Ier du livre III du code des impositions sur les biens et services.

V. – Un décret en Conseil d’État détermine les critères nécessaires à l’obtention de ce crédit d’impôt.

Objet

Le Sénat a préconisé à de multiples occasions la nécessité de mettre en place un accompagnement financier, sous forme de crédit d'impôt, pour accompagner la transformation numérique des petites et moyennes entreprises. Les TPE et PME françaises accusent déjà un retard certain en matière de numérisation, notamment en raison de l’absence de politique publique claire spécifiquement dédiée à leur modernisation.

Dans le rapport de 2021 de la délégation aux entreprises relatif à la cybersécurité des entreprises, les auteurs, Rémi CARDON et Sébastien MEURANT, pointaient déjà le coût financier que représentait le virage numérique, surtout pour les plus petites entreprises. Les auteurs du rapport avaient en effet identifié le risque qu'elles aient une bonne connaissance de leurs insuffisances, grâce aux diagnostics, tout en ne disposant pas des moyens financiers d’y remédier.

Le volet financier du renforcement de la cybersécurité des petites entreprises ne doit plus rester un angle mort de cette politique publique.

L'amendement du groupe SER vise à instaurer un crédit d’impôt en faveur des micro et petites entreprises pour les accompagner dans la mise en œuvre de la directive NIS2.

Dans le contexte budgétaire contraint, le crédit d'impôt proposé est recentré sur les micro et petites entreprises concernées par NIS 2, dans la limite de 15 000€. Le coût pour les finances de l’État est donc mesuré.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 97

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 6


Alinéa 10

Remplacer les mots :

d’origine humaine

par les mots :

d’un utilisateur de ces derniers

Objet

Amendement de précision. Le présent amendement vise à tenir compte du facteur humain susceptible de relever d’une vulnérabilité tout en le reliant directement à l’utilisation des produits et services des technologies de l’information et la communication.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 98

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 8


I. - Alinéa 2

Après le mot :

entreprises

insérer les mots :

relevant d’un type d’entités 

II. - Alinéa 3

Après le mot :

territoriales,

insérer les mots :

relevant d’un type d’entités

Objet

Cet amendement vise à mettre en cohérence le projet de loi suite à l’amendement relatif à l’article 7. Il prévoit de remplacer, lorsque nécessaire, le critère de l’appartenance à un secteur d’activité par celui de l’appartenance à un type d’entités pour éviter tout risque de surtransposition.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 17 rect. septies

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme MORIN-DESAILLY, M. LAUGIER, Mme PATRU, M. DUFFOURG, Mmes BILLON et SAINT-PÉ, MM. HENNO et LAFON, Mme JACQUEMET, M. CHAUVET, Mme GACQUERRE et MM. PILLEFER et Pascal MARTIN


ARTICLE 8


Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou 

Objet

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

L’article 8 du projet de loi n’est pas conforme à ces dispositions et prévoit que ces critères sont alternatifs. Le présent d’amendement vise à corriger cette rédaction pour éviter tout écart de transposition avec la directive NIS2.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 30

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 8


Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou

Objet

L’article 3 de la directive NIS2 prévoit une application du texte aux entités essentielles qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

Cet amendement propose de se conformer au champ exact prévu par la directive NIS2.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 83 rect. sexies

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. BLEUNVEN, Jean-Michel ARNAUD, CAMBIER et PARIGI


ARTICLE 8


Alinéa 2

1° Remplacer le mot : 

ou

par le mot :

et

2° Remplacer le mot :

et

par le mot :

ou 

Objet

Le présent article reprend l’article 2 de la directive, consacré au champ d’application, qui précise que les entités essentielles sont celles « qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne ». Sont donc concernées les entités dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros.

Le présent article n’est pas conforme à la définition européenne puisque les conditions cumulatives et alternatives sont inversées.

Il est donc proposé de reprendre la définition exacte de la définition européenne des PME (recommandation 2003/361/CE).



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 82 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Sagesse du Sénat
Adopté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE 8


Alinéa 13

Après les mots :

communautés d'agglomération

insérer les mots :

comprenant au moins une commune d'une population supérieure à  30 000 habitants

Objet

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS 2 du 14 décembre 2022 qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’État.

Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.

Les nouvelles obligations imposées par ce projet entraîneront des charges supplémentaires pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées-, alors que dans le même temps, elles doivent maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières.

L’absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Quels seront les moyens réels et disponibles pour les collectivités ? Quelles seront les modalités d’accompagnement de l’État auprès des collectivités pour se conformer aux nouvelles exigences ?

Ces inquiétudes sont notamment pointées pour des communautés de communes et les communautés d’agglomération.

C’est pourquoi, le présent amendement propose d’exclure du périmètre des « Entités essentielles » les communautés d’agglomération dont aucune commune membre n’a ce statut (c’est-à-dire dont aucune commune membre n’a 30 000 habitants et plus).

Cela concernerait 120 communautés d’agglomération qui seraient alors intégrées dans le périmètre des « Entités importantes ». En revanche, 110 communautés d’agglomération, qui comptent au moins une commune de plus de 30 000 habitants, resteraient soumises aux règles applicables aux « Entités essentielles ».

Cette mesure de concordance vise à éviter des distorsions pour l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être très coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des « Entités essentielles ».






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 114

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Sagesse du Sénat
Adopté

MM. CHAIZE, SAURY et CANÉVET

au nom de la CS Cybersécurité


ARTICLE 8


Alinéa 13

Après les mots :

communautés d’agglomération

insérer les mots :

comprenant au moins une commune d’une population supérieure à 30 000 habitants

Objet

Cet amendement, en lien avec l’amendement déposé par les rapporteurs à l’article 9, vise à faire basculer de la catégorie d’entité essentielle vers la catégorie d’entité importante les communautés d’agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants.

Il s’agit, dans un souci de proportionnalité, d’éviter d’imposer des obligations excessives en matière de cybersécurité à des intercommunalités dont la taille ne le justifierait pas.

Seront ainsi des entités essentielles les métropoles, les communautés urbaines et les 110 communautés d’agglomération qui comptent au moins une commune de plus de 30 000 habitants.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 50 rect. bis

12 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. MELLOULI, DOSSUS, BENARROCHE, Grégory BLANC et DANTEC, Mme de MARCO, MM. FERNIQUE et GONTARD, Mme GUHL, M. JADOT, Mmes OLLIVIER et PONCET MONGE, M. SALMON, Mmes SENÉE, SOUYRIS, Mélanie VOGEL

et les membres du groupe Écologiste - Solidarité et Territoires


ARTICLE 8


Alinéa 13

Après les mots :

communautés d'agglomération

insérer les mots :

comprenant au moins une commune d'une population supérieure à 30 000 habitants 

Objet

Pour éviter que les plus petites collectivités ne soient considérées comme des entités essentielles, cet amendement vise à préciser le texte et s’assurer de leur exclusion du périmètre d’application de cet article.



NB :Rectification à la demande de l'auteur pour rendre l'amendement identique aux 82 et 114





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 99

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 9


I. - Alinéa 2

Après le mot :

entreprises

insérer les mots :

relevant d’un type d’entités 

II. - Alinéa 9

Après le mot :

relevant

insérer les mots :

d’un type d’entités appartenant à un

Objet

Cet amendement vise à mettre en cohérence le projet de loi suite à l’amendement relatif à l’article 7. Il prévoit de remplacer, lorsque nécessaire, le critère de l’appartenance à un secteur d’activité par celui de l’appartenance à un type d’entités pour éviter tout risque de surtransposition.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 18 rect. septies

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme MORIN-DESAILLY, M. LAUGIER, Mme PATRU, M. DUFFOURG, Mme BILLON, MM. HENNO et LAFON, Mmes SAINT-PÉ et JACQUEMET, M. CHAUVET, Mme GACQUERRE et MM. PILLEFER et Pascal MARTIN


ARTICLE 9


Alinéa 2

1° Remplacer la deuxième occurrence du mot :

ou

par le mot :

et

2° Remplacer la deuxième occurrence du mot :

et

par le mot :

ou

Objet

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 50 personnes et dont le chiffre d’affaires ou le total du bilan annuel excède 10 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

L’article 9 du projet de loi n’est pas conforme à ces dispositions et prévoit que ces critères sont alternatifs. Le présent d’amendement vise à corriger cette rédaction pour éviter tout écart de transposition avec la directive NIS2.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 31

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 9


Alinéa 2

1° Remplacer la deuxième occurrence du mot :

ou

par le mot :

et

2° Remplacer la deuxième occurrence du mot :

et

par le mot :

ou

Objet

L’article 3 de la directive NIS2 prévoit une application du texte aux entités importantes qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs.

Cet amendement propose de se conformer au champ exact prévu par la directive NIS2.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 84 rect. sexies

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G  
Non soutenu

MM. BLEUNVEN, Jean-Michel ARNAUD, CAMBIER et PARIGI


ARTICLE 9


Alinéa 2

1° Remplacer la deuxième occurrence du mot :

ou

par le mot :

et

2° Remplacer la deuxième occurrence du mot :

et

par le mot :

ou

Objet

Le présent article reprend l’article 2 de la directive, consacré au champ d’application, qui précise que celle-ci « s’applique aux entités qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne ». Sont donc concernées les entités dont l’effectif est d’au moins 50 personnes et dont le chiffre d’affaires ou le total du bilan annuel excède 10 millions d’euros.

Le présent article n’est pas conforme à la définition européenne puisque les conditions cumulatives et alternatives sont inversées.

Il est donc proposé de reprendre la définition exacte de la définition européenne des PME (recommandation 2003/361/CE).



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 115

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Sagesse du Sénat
Adopté

MM. CHAIZE, SAURY et CANÉVET

au nom de la CS Cybersécurité


ARTICLE 9


Alinéa 5

Rédiger ainsi le début de cet alinéa

4° Les communautés d’agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants, les communautés de communes… (le reste sans changement)

Objet

Cet amendement, en lien avec l’amendement déposé par les rapporteurs à l’article 8, vise à faire basculer de la catégorie d’entité essentielle vers la catégorie d’entité importante les communautés d'agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants.

Il s’agit, dans un souci de proportionnalité, d’éviter d’imposer des obligations excessives en matière de cybersécurité à des intercommunalités dont la taille ne le justifierait pas.

Seront ainsi des entités importantes les 120 communautés d’agglomération qui ne comptent pas au moins une commune de plus de 30 000 habitants ainsi que les communautés de commune.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 51 rect.

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Sagesse du Sénat
Tombé

MM. MELLOULI, DOSSUS, BENARROCHE, Grégory BLANC et DANTEC, Mme de MARCO, MM. FERNIQUE et GONTARD, Mme GUHL, M. JADOT, Mmes OLLIVIER et PONCET MONGE, M. SALMON, Mmes SENÉE, SOUYRIS, Mélanie VOGEL

et les membres du groupe Écologiste - Solidarité et Territoires


ARTICLE 9


Alinéa 5

Remplacer les mots :

de communes

par les mots :

d'agglomération ne comprenant aucune commune de 30 000 habitants et plus

Objet

Cet amendement vise à éviter toute sur transposition dans la définition du périmètre des collectivités concernées.



NB :La présente rectification porte sur la liste des signataires.
La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 68

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G  
Retiré

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE 9


Alinéa 5

Remplacer les mots :

de communes

par les mots :

d'agglomération ne comprenant aucune commune de 30 000 habitants et plus

 

Objet

 

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS 2 du 14 décembre 2022, qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’Etat.

Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.

L'absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Quels seront les moyens réels et disponibles pour les collectivités ? Quelles seront les modalités d’accompagnement de l’État auprès des collectivités pour se conformer aux nouvelles exigences ?

Ces inquiétudes particulières sont notamment pointées pour des communautés de communes et les communautés d’agglomération.

C’est pourquoi, le présent amendement proposé par l'AMF :

1/ d’insérer dans le périmètre des « Entités importantes » les communautés d’agglomération dont aucune commune membre n’a le statut d’ « Entité essentielle ». Cela concernerait 120 communautés d’agglomération qui seraient alors soumises aux règles applicables aux « Entités importantes ».

Cette mesure de concordance vise à éviter des distorsions dans l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des « Entités essentielles ».  

2/ de retirer les communautés de communes du périmètre des « entités importantes », considérant que leurs moyens financiers et en ingénierie sont insuffisants pour appliquer les exigences du texte et du projet de référentiel dans le contexte actuel. Il s’agit ainsi de leur laisser le temps nécessaire pour mettre en place de nouvelles règles de cybersécurité, lesquelles doivent être adaptées à leur réalité.

Ainsi, l’information et la formation des élus et des agents sont indispensables, tout comme la diffusion de bonnes pratiques, or le projet de loi ne prend pas en compte ces aspects.

Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 56 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Avis du gouvernement
G  
Non soutenu

MM. VERZELEN et LAOUEDJ


ARTICLE ADDITIONNEL APRÈS ARTICLE 10


Après l'article 10

Insérer un article additionnel ainsi rédigé :

L'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans cet équipement, lorsqu’ils visent à anonymiser à bref délai des données à caractère personnel provenant de ce terminal, satisfont les conditions prévues au sixième alinéa de l’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Un décret fixe les modalités d’application du présent article. Il précise notamment, de manière non limitative et a minima, une liste de procédés techniques assurant l’anonymisation mentionnée au premier alinéa du présent article. Cette liste est mise à jour périodiquement, et au moins tous les 36 mois, au regard de l’évolution des technologies.

Objet

L’article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Loi Informatique et Libertés) prévoit que « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète (…) 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement » et que « Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ».

Toutefois il résulte de ce même article que ces dispositions ne sont pas applicables « si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur (…) a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ».

L’objet du présent amendement vise à clarifier ces dernières dispositions, sans en modifier la portée, au regard des dispositifs technologiques innovants qui permettent désormais l’anonymisation à bref délai des données à caractère personnel et assurent ainsi la communication par voie électronique de la manière la plus protectrice des intérêts des utilisateurs.

En effet les dispositions de l’article 82 de la Loi Informatique et Libertés sont issues de la transposition en droit interne de l’article 5.3 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (la Directive ePrivacy), dont le considérant 9 prévoit que « Les États membres, les fournisseurs et les utilisateurs concernés, ainsi que les institutions communautaires compétentes, devraient coopérer à la conception et au développement des technologies pertinentes lorsque cela est nécessaire pour mettre en œuvre les garanties prévues par la présente directive, en tenant particulièrement compte des objectifs qui consistent à réduire au minimum le traitement des données à caractère personnel et à utiliser des données anonymes ou pseudonymes lorsque c'est possible ».

Il en résulte que les modalités selon lesquelles la communication électronique est établie doivent être prises en compte : l’anonymisation des données à caractère personnel, loin de constituer une simple technique, constitue expressément une finalité qui doit être poursuivie et favorisée par les États membres.

Cependant, les opérations d’anonymisation elles-mêmes constituent un traitement de données à caractère personnel. Par conséquent, alors même que l’anonymisation est une finalité devant être favorisée pour protéger les personnes concernées, la rédaction actuelle de l’article 82 susvisé limite les possibilités de sa mise en œuvre effective. Partant, soumettre une telle mesure protectrice des personnes concernées à leur consentement préalable, alors même que ces dernières sont d’ores et déjà sollicitées à outrance (voir en ce sens la « fatigue du consentement » décrite par la Commission National de l’Informatique et des Libertés) semblerait contre-productif.

C’est pourquoi l’amendement proposé vient préciser que l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans cet équipement doivent être regardés, lorsque cet accès ou cette inscription ont pour finalité l’anonymisation à bref délai des données à caractère personnel, comme permettant ou facilitant la communication par voie électronique au sens du 6ème alinéa de l’article 82 de la Loi Informatique et Libertés.

Afin de favoriser l’adoption de dispositifs techniques d’anonymisation, objectif fixé par la Directive ePrivacy, l’amendement prévoit également que le Gouvernement dresse périodiquement, de manière non limitative, une liste de dispositifs techniques d’anonymisation.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 22 rect. septies

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme MORIN-DESAILLY, MM. DUFFOURG et LAUGIER, Mmes BILLON, PATRU et SAINT-PÉ, MM. LAFON et HENNO, Mme JACQUEMET, M. CHAUVET, Mme GACQUERRE et MM. PILLEFER et Pascal MARTIN


ARTICLE 12


I. – Alinéa 1

Compléter cet alinéa par une phrase ainsi rédigée :

Dans les trois années qui suivent l’entrée en application de la présente loi, l’ensemble des entités concernées sont informées et sensibilisées par les ministères concernés.

II. – Alinéa 2

Rédiger ainsi cet alinéa :

Dans le respect des modalités de chiffrement de bout en bout ainsi que de protection des données recueillies des lois extraterritoriales, les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises sont définis par décret en Conseil d’État.

Objet

La directive NIS 2 prévoit que les nouvelles entités importantes doivent s’auto-déclarer auprès de l’autorité de tutelle. Il est à craindre qu’un certain nombre d’entre elles, nouvellement concernées par ces obligations de cybersécurité, tardent à identifier leur nouvelle obligation et y répondent. Un travail d’identification croisé doit être opéré, via le code NAF ou NACE, sur les critères édictés (filière, CA, effectifs) et par les acteurs publics, pour identifier et pré-sensibiliser les entreprises nouvellement destinataires de nouvelles obligations pour les informer et accompagner au mieux. La durée de 3 ans doit permettre d’être en cohérence avec les annonces récentes de l’ANSSI sur l’entrée en application des contrôles à venir par l’Autorité.

Les obligations prévues par NIS 2, REC et DORA vont conduire les entités régulées à transmettre régulièrement informations et données sensibles à l’ANSSI. Il est primordial que ce partage se fasse dans des conditions de sécurité importantes et qui préservent les données d’un risque d’extra-territorialisation. Comme le suggère la recommandation n°11 du rapport de la CSNP, il est primordial que ce partage se fasse au travers de mécanismes de protection des informations divulguées afin de garantir la confidentialité des données, potentiellement sensibles, et de les préserver d’un risque d’extra-territorialisation, conformément à l’article 31 de la LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 125

11 mars 2025


 

SOUS-AMENDEMENT

à l'amendement n° 22 rect. septies de Mme MORIN-DESAILLY

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 12


Amendement n° 22 rect. septies, alinéas 1 à 3

Supprimer ces alinéas.

Objet

Le Gouvernement est favorable à l’amendement n°22 sous réserve qu’il soit sous-amendé afin d’en supprimer le I., qui ne relève pas du niveau législatif.

 

Sur le fond, le Gouvernement a pleinement conscience que la communication et la sensibilisation des futures entités régulées sera un facteur clef de réussite pour la bonne mise en œuvre de NIS 2. La stratégie de l’ANSSI passe par exemple par la mise à disposition d’un portail numérique, MonEspaceNIS2, qui permet aux entités de s’informer et de tester leur éligibilité. Elle s’appuie également sur des acteurs relais pour décupler son action d’information et d’accompagnement. Des kits de communication seront par ailleurs proposés aux associations d’élus et associations professionnelles afin d’informer leurs adhérents et de les inciter à s’informer sur le texte, à tester leur éligibilité, et réaliser les premières actions de mise en conformité NIS 2. 

 

Le Gouvernement est favorable au II de l’amendement n°22, qui constitue une garantie utile dont l’ANSSI a déjà à cœur d’assurer la pleine effectivité.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 59 rect.

10 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

MM. CADIC et CANÉVET


ARTICLE 12


Compléter cet article par un alinéa ainsi rédigé :

Les ministères coordonnateurs des secteurs d’activité visés à l’article 7 sont destinataires pour avis de la liste des entités essentielles et des entités importantes qui relèvent de leur compétence. Les ministères coordonnateurs peuvent, en lien avec l’autorité nationale de sécurité des systèmes d’information, amender la liste qui leur a été communiquée.

Objet

Les opérateurs d’importance vitale sont désignés par les ministères coordonnateurs du secteur auxquels ils appartiennent.

En cohérence, cet amendement vise à apporter l’expertise les ministères coordonnateurs des secteurs d’activités visés par le projet de loi au service de l’autorité nationale de sécurité des systèmes d’information afin que les listes élaborées d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.

Ainsi, certaines entités ne correspondant pas aux critères prédéfinies d’entité importante ou essentielle pourrait être intégrées à la liste des entités concernées pour des critères stratégiques, économiques, technologiques ou sociaux relevant de l’analyse des ministères coordonnateurs.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 16 rect. septies

11 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme MORIN-DESAILLY, M. LAUGIER, Mmes PATRU et BILLON, M. DUFFOURG, Mme SAINT-PÉ, MM. LAFON et HENNO, Mme JACQUEMET, M. CHAUVET, Mme GACQUERRE et MM. PILLEFER et Pascal MARTIN


ARTICLE 13


Compléter cet article par une phrase ainsi rédigée :

À intervalle régulier, l’Agence nationale de la sécurité des systèmes d’information informe les entités du degré d’exigence qui pèse sur elles.

Objet

De nombreuses réglementations numériques, sectorielles et non sectorielles, viennent s’imposer aux entreprises. L’avant-projet de loi Résilience numérique dispose actuellement, au travers de l'article 13, que l’entreprise devra se conformer au texte le plus contraignant : cette formulation laisse la place à une appréciation individuelle desdites entreprises. De fait, afin de s'assurer de l'usage systématique de la réglementation la plus exigeante, l’ANSSI devra informer régulièrement les entités du degré d’exigence qui pèse sur elles.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 47

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LINKENHELD, CONWAY-MOURET et BLATRIX CONTAT, M. CARDON, Mme NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 14


Alinéa 1, après la deuxième phrase

Insérer une phrase ainsi rédigée : 

Pour l’évaluation de la proportionnalité de ces mesures, il est tenu compte du degré d’exposition de l’entité aux risques, de sa taille et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

Objet

L’article 14 prévoit les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées à prendre pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information.

Cet amendement, déposé en lien avec la FedeRez propose, selon les termes de l'article 21 de la directive NIS2, de préciser les critères d'évaluation de la proportionnalité des mesures en ajoutant qu'il sera tenu compte du degré d’exposition de l’entité aux risques, de sa taille et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 85 rect. quater

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. BLEUNVEN, Jean-Michel ARNAUD, CAMBIER et HENNO, Mme JACQUEMET et MM. LAFON, PARIGI et PILLEFER


ARTICLE 14


Alinéa 3

Compléter cet alinéa par les mots et une phrase ainsi rédigée :

lorsque celle-ci a une implication directe sur la sécurité des réseaux et systèmes d’information. Les rôles et les responsabilités de chacun sont précisés autant que de possible au préalable ;

Objet

L’article 14 prévoit que les entités essentielles doivent prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information. Pour ce faire, elles doivent notamment assurer la protection de ces réseaux et systèmes, y compris en cas de recours à la sous-traitance.

La mention explicite de la sous-traitance pourrait entraîner des interprétations excessives entraînant, pour les entités essentielles, des obligations de sécurité pour l’ensemble des sous-traitants, y compris ceux dont l’intervention n’a pas d’incidence directe sur la sécurité des systèmes d’information.

De plus, la sous-traitance impliquera des responsabilités différentes selon le niveau d’accès aux données et aux systèmes du donneur d’ordre. En effet, les sous-traitants administrateurs ou gestionnaires des données jouent un rôle actif dans la gestion des systèmes ou le traitement des données du donneur d’ordre. A ce titre, ils doivent garantir que leurs infrastructures et procédures ne constituent pas une faille de sécurité susceptible d’exposer les données à des risques de cyberattaques. Il est essentiel d’exiger d’eux des garanties spécifiques en matière de cybersécurité et de conformité aux exigences de la directive NIS.

Concernant les sous-traitants ayant un simple accès aux données, sans rôle de gestion ou d’administration, bien qu’ils n’interviennent pas directement sur les systèmes, leur accès aux données du donneur d’ordre peut représenter un risque, notamment en cas d’utilisation inappropriée, de fuite d’informations ou d’erreur humaine. Il est donc essentiel d’encadrer leurs rôles et responsabilités afin d’éviter toute utilisation inappropriée ou faille de sécurité.

Le présent amendement propose donc de clarifier la portée de cette disposition en limitant sa mise en œuvre aux cas où la sous-traitance a une implication directe sur la sécurité des systèmes d'information et en spécifiant que les rôles et responsabilités de chacun devront être précisés autant que de possible au préalable.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 24 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme Maryse CARRÈRE, MM. BILHAC, FIALAIRE, GOLD et GROSVALET, Mmes GUILLOTIN et JOUVE, MM. MASSET et LAOUEDJ, Mme PANTEL et M. RUEL


ARTICLE 14


Après l'alinéa 5 

Insérer un alinéa ainsi rédigé :

Les communes, les établissements publics de coopération intercommunale à fiscalité propre et leurs établissements publics administratifs visés aux articles 8 et 9 disposent d’un délai maximum de 5 ans pour se mettre en conformité avec le présent titre II. 

Objet

Le projet de loi sur la résilience des infrastructures critiques et la cybersécurité transpose la directive européenne NIS 2, visant à assurer un niveau élevé de cybersécurité au sein de l'Union européenne.

Le gouvernement a choisi une transposition très étendue.

Pour répondre à ces enjeux, cet amendement propose un délai de 5 ans pour appliquer les nouvelles règles, permettant à l’État d’accompagner les collectivités locales à travers une formation des élus, une évaluation des impacts et des moyens nécessaires, ainsi que la structuration d’une filière cybersécurité adaptée. 



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 69

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE 14


Après l’alinéa 5

Insérer un alinéa ainsi rédigé :

Les communes, les établissements publics de coopération intercommunale à fiscalité propre et leurs établissements publics administratifs visés aux articles 8 et 9 disposent d’un délai maximum de 5 ans pour se mettre en conformité avec le présent titre II.

Objet

Le présent amendement propose d’introduire un délai de 5 ans pour appliquer les dispositions du titre II.

Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.

Ainsi, un autre calendrier pourrait être envisagé selon un cadencement plus réaliste :

1) un état des lieux et une feuille de route (avec la mesure des impacts et l’évaluation des moyens nécessaires) à établir (années 1 et 2) ;

2) Contractualiser avec l'ANSSI sur un délai de mise en conformité adapté à la situation de la collectivité, qui donnerait une trajectoire pouvant aller potentiellement au-delà de 3 ans, avec des jalons contractuels pour respecter les termes du contrat ;

3) Vérifier l'avancement des jalons intermédiaires jusqu'à la mise en conformité.

 






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 37

10 mars 2025


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Favorable
Adopté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 14


Alinéa 6

Compléter cet alinéa par les mots :

, et les modalités de concertation des représentants des entités concernées et des associations d'élus 

Objet

Les travaux en commission ont permis de préciser qu'un décret déterminera les conditions d'élaboration, de modification et de publication du référentiel d'exigences techniques et organisationnelles afin qu'il soit adapté aux différentes entités en fonction de leur degré d'exposition aux risques, de leur taille, de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences économiques et sociales.

L'amendement du groupe SER propose que ce décret indique les modalités de concertation des entités concernées et des associations d'élus.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 94

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 14


Alinéa 8

Après les mots :

du présent article, 

insérer les mots :

lorsqu’ils sont des entités importantes ou essentielles, 

Objet

Le présent amendement vise à circonscrire le périmètre des exigences de sécurité propres à certains opérateurs du numérique (fournisseurs de services de systèmes de noms de domaine, offices d’enregistrement, fournisseurs de services d’informatique en nuage, fournisseurs de services de centres de données, fournisseurs de réseaux de diffusion de contenu, fournisseurs de services gérés, fournisseurs de services de sécurité gérés, fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux et prestataires de services de confiance) aux seuls d’entre eux étant des entités essentielles ou importantes.

En effet, certains de ces opérateurs ne sont pas soumis pas soumis à la directive (UE) 2022/2555 dite « NIS 2 ». En l’état actuel de la rédaction de l’article 14, sont pourtant visés l’ensemble de ces opérateurs. Il s’agit donc d’éviter toute surtransposition en procédant à une adaptation du périmètre des opérateurs assujettis.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 67

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE ADDITIONNEL APRÈS ARTICLE 14


Après l'article 14

Insérer un article additionnel ainsi rédigé :

I. – Les entités mentionnées au titre II de la loi n°     du     relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :  
1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information ;
2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts, sauf lorsque la prestation est assurée par un opérateur interne appartenant au même groupe que l’entité requérante ;  
II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés.  

Objet


Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 100

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 15


Alinéa 1

Compléter cet alinéa par les mots :

, le cas échéant, au moyen d’un label de confiance approuvé par l’ autorité nationale de sécurité des systèmes d'information

Objet

L'amendement vise à ajouter un moyen pour les entités de démontrer plus facilement leur conformité à l'article 14 alinéa 6.

Par la lisibilité qu'il apporte sur le niveau de sécurité atteint, la labellisation est également un outil incitatif, pour les entités, à élever leur niveau de maturité cyber.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 66

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE 16


Après l'alinéa 3

Insérer un alinéa ainsi rédigé :

Les services de l'État, administrations, établissements publics et entreprises du secteur public, les collectivités territoriales et leurs établissements publics utilisent des logiciels libres et des formats ouverts lors du développement, de l'achat ou de l'utilisation d'un système informatique. L’utilisation de solutions propriétaires doit être une exception motivée.

Objet

Si l’objectif  de renforcer la sécurité des matériels informatiques et des logiciels afin de diminuer les risques d’attaques est louable, il ne doit pas de faire au détriment de l'utilisation de logiciels libres seuls à même de garantir une véritable souveraineté numérique.

Le recours au logiciel libre au sein des administrations publiques doit être fortement encouragé et devenir un principe ne souffrant que d’exceptions dûment justifiées. Il s’agit, en effet, de réduire la part des solutions logicielles propriétaires, notamment non européennes, utilisées par défaut alors que des solutions alternatives ont fait la démonstration de leur utilité.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 1 rect. quinquies

12 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Adopté

MM. CADIC et CANÉVET, Mme MORIN-DESAILLY, MM. HAYE et Loïc HERVÉ, Mmes LOISIER, HOUSSEAU, FLORENNES, SOLLOGOUB, JACQUEMET, de LA PROVÔTÉ, SAINT-PÉ, PATRU, EVREN, PERROT et BILLON, M. KERN, Mme GACQUERRE, M. MILON, Mme JOSEPH, MM. MELLOULI et MICHALLET, Mme BRIANTE GUILLEMONT et MM. CHASSEING et DOSSUS


ARTICLE ADDITIONNEL APRÈS ARTICLE 16


Après l'article 16

Insérer un article additionnel ainsi rédigé :

Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses, ou tout autre mécanisme permettant un accès non consenti aux données protégées. 

Objet

La sécurité des systèmes d’information est un enjeu stratégique pour la protection des données personnelles, la confidentialité des communications, le secret des affaires, la protection des Droits et Libertés fondamentales et la souveraineté numérique. Le chiffrement joue un rôle central dans cet écosystème en garantissant l’intégrité et la confidentialité des échanges numériques, qu’il s’agisse de transactions financières, de communications privées ou de données sensibles des entreprises et administrations.

Or, certaines initiatives législatives et réglementaires, tant au niveau national qu’international, ont cherché à imposer aux fournisseurs de services de chiffrement des obligations visant à insérer des dispositifs techniques permettant un accès aux données protégées par des tiers, notamment par les autorités publiques. Ces dispositifs, communément appelés « portes dérobées » (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité, présentent des risques considérables pour la sécurité informatique et la protection des droits fondamentaux.

D’une part, ces dispositifs créent des vulnérabilités exploitables non seulement par les autorités prévues, mais également par des acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées cherchant à compromettre la sécurité des systèmes d’information. Il est démontré que toute faiblesse introduite dans un système de chiffrement réduit sa fiabilité de manière globale et incontrôlable. Ainsi, l’obligation d’intégrer de telles failles irait à l’encontre des principes de sécurité informatique et de cybersécurité reconnus au niveau international et imposé par la Directive NIS2.

D’autre part, l’introduction de ces obligations remettrait en cause des droits fondamentaux tels que le droit à la vie privée et à la protection des données personnelles, garantis par des textes fondamentaux comme le Règlement général sur la protection des données (RGPD) ou l’article 8 de la Convention européenne des droits de l’homme. L’accès non consenti aux communications et aux données privées, sans garanties suffisantes, constituerait une atteinte disproportionnée à ces droits.

Enfin, sur le plan économique et stratégique, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à leur compétitivité face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes. Cela risquerait d’entraîner un déplacement des utilisateurs et entreprises vers des solutions étrangères considérées comme plus sûres, affaiblissant ainsi notre souveraineté numérique.

Cet amendement vise donc à inscrire dans la loi un principe clair de sécurité numérique



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 33

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 17


Alinéa 1

Remplacer les mots : 

incident ayant un impact important

par les mots :

incident important ayant un impact

Objet

Le texte prévoit que les entités doivent notifier à l'ANSSI "tout incident ayant un impact important sur la fourniture de leurs services".

Les travaux de la commission ont permis, à juste titre, de préciser la notion d'incident important dans l'esprit de la directive NIS2.

Comme souligné par la Commission supérieure du numérique et des postes (CSNP) dans son avis rendu le 3 octobre 2024, il n'est cependant pas opportun de lier la notion d'incident à l'importance de son impact : il n’est pas rare en effet qu’une cyberattaque ne soit pas immédiatement identifiée et que l’ampleur de son impact, important ou pas, puisse parfois être difficilement évaluable. Par ailleurs, cette notion est sujette à interprétation et ne sera pas forcément perçue de la même manière selon les entités.

Cette notion d'incident important est centrale dans la directive et doit pouvoir s'apprécier selon des éléments objectifs pour guider aux mieux les entités concernées.

L'amendement du groupe SER propose donc d'utiliser les termes "incident important ayant un impact..." plutôt que "incident ayant un impact important..." en cohérence avec les travaux de la commission.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 101

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 17


Alinéa 14

Après le mot :

importants

rédiger ainsi la fin de cet alinéa :

ayant un impact direct sur les destinataires de leurs services, notamment lorsqu’ils ont causé ou sont susceptibles de causer l’extraction de données sensibles de ces derniers, ou de causer la mort ou des dommages considérables à la santé d’une personne physique destinataire, ou qu’ils consistent en un accès non autorisé effectif au réseau et aux systèmes d’information de l’entité, susceptible d’être malveillant et de causer une perturbation opérationnelle grave pour le destinataire ;

Objet

Cet amendement à un objectif de sécurité juridique pour les entités dès lors qu’il vise à clarifier les types d’incidents importants que les entités devront notifier aux destinataires de leur services afin de satisfaire à la lettre de l’article 23 de la directive qui soumet cette notification à la détermination de son caractère approprié.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 40

10 mars 2025


 

AMENDEMENT

présenté par

C Sagesse du Sénat
G Sagesse du Sénat
Adopté

Mmes Sylvie ROBERT, LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 20


Alinéa 1

Remplacer les mots :

tant que le nom de domaine est utilisé

par les mots :

pendant la durée d’utilisation du nom de domaine et jusqu’à expiration d’un délai d’un an à compter de la cessation de l’utilisation de ce nom de domaine

Objet

L’article 20 prévoit une obligation pour les offices et bureaux d’enregistrement de conservation des données relatives à l’enregistrement des noms de domaine sans prévoir aucune période minimale de conservation.

Cette obligation demeurerait donc valable uniquement tant que le nom de domaine est utilisé.

Il en résulte un risque majeur de fraude au bénéfice des délinquants numériques pouvant utiliser un nom de domaine simplement l’espace de quelques jours, puis d’en utiliser un autre, en renouvelant ce processus indéfiniment sans que l’on soit en mesure de procéder rapidement à leur identification.

Pour prévenir les risques de fraude et permettre l’identification des délinquants numériques, l’amendement du groupe SER, déposé en lien avec la Société Civile des Producteurs Phonographiques, propose que l’obligation de conservation des données soit maintenue pendant une durée d’un an à compter de la cessation de l’utilisation du nom de domaine.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 41

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes Sylvie ROBERT, LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 21


I. - Après la première occurrence du mot :

domaine

insérer les mots :

, à titre gratuit

II. - Compléter cet article par les mots :

, y compris les données d’enregistrement de nom de domaine des personnes morales

III. - Compléter cet article par un alinéa ainsi rédigé :

À cette fin, les offices et bureaux d’enregistrement mettent à disposition une interface en permettant l’accès.

Objet

L'article 21 du projet de loi prévoit que les offices d'enregistrement des noms de domaine et les bureaux d'enregistrement des noms de domaine rendent publiques sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement relatives à ce nom de domaine, dès lors qu'elles n'ont pas de caractère personnel.

L'amendement du groupe SER, déposé en lien avec la Société Civile des Producteurs Phonographiques, propose d'encadrer cette obligation en précisant qu’elle doit avoir un caractère gratuit pour le public et qu’il appartient aux débiteurs de l’obligation de prévoir les moyens d’accéder à ces informations, par le biais d’une interface qu’ils mettent à disposition du public.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 60 rect.

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. CADIC et CANÉVET


ARTICLE ADDITIONNEL APRÈS ARTICLE 24


Après l’article 24

Insérer un article additionnel ainsi rédigé :

Les entités essentielles et importantes ainsi que, le cas échéant, leurs fournisseurs ou prestataires de services peuvent échanger entre elles, à titre volontaire, au sein de communautés, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités ou non, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques, techniques et procédures adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations :

1° Vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact ;

2° Renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.

Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.

Les échanges volontaires des informations prévues au premier alinéa peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques, les informations compromises ou encore les horodatages lorsqu’ils révèlent des données à caractère personnel.

Ces traitements de données à caractère personnel sont considérés comme nécessaires à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par leurs fournisseurs ou prestataires de services, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données, et abrogeant la directive 95/46/CE.

Ces accords de partage d’informations précisent les éléments opérationnels, y compris le recours éventuel à des plateformes TIC spécialisées et d’outils d’automatisation, le contenu et les conditions – notamment de sécurisation renforcée – de ces partages.

Lorsque des autorités publiques ou les centre de réponse aux attaques informatiques participent à ces accords de partage et mettent à disposition tout ou partie des informations visées à l’alinéa 1 dont elles disposent, elles respectent les conditions prévues par décret en Conseil d’État. 

Les entités essentielles et importantes notifient à l’autorité nationale de sécurité des systèmes d’information sans délai indu leur participation aux accords de partage d’informations en matière de cybersécurité visés au présent article lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords une fois que le retrait prend effet.

Objet

Cet amendement vise à transposer les dispositions de l’article 29 de la directive NIS 2 prévoyant l’existence d’accords de partage d’informations en matière de cybersécurité permettant aux entités essentielles, aux entités importantes et à leurs prestataires en matière de cybersécurité d’échanger des informations détaillées et opérationnelles sur les menaces cyber afin de mieux y faire face, ce qui est une demande forte de leur part. Comme la directive le rappelle dans ses considérant 119 et 120, « Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. (…) Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données. ».

Il semble nécessaire pour lever tout doute à ce sujet de reprendre également le contenu du considérant 121 décrivant le recours à la base légale de l’intérêt légitime pour fonder les traitements de données à caractère personnel qui pourraient être effectués à cette occasion, et reconnaitre que le partage de données concernées est conforme aux exigences du RGPD.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 48

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Mmes LINKENHELD, CONWAY-MOURET et BLATRIX CONTAT, M. CARDON, Mme NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 25


Alinéa 1

Après le mot :

nécessaires

Insérer les mots :

, adaptées et proportionnées

Objet

Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information, l'ANSSI peut prescrire les mesures nécessaires, notamment pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et en rendre compte.

Conformément à l'esprit de l'article 21 de la directive NIS2, cet amendement, déposé en lien avec la FedeRez, propose de préciser que les mesures prises sont adaptées et proportionnées.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 102

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 26


I. – Alinéa 6

Compléter cet alinéa par les mots :

ou, le cas échéant, par les organismes d’évaluation de la conformité

II. – Alinéa 7

Après les mots :

organismes indépendants

insérer les mots :

ou experts

Objet

Le présent amendement vise à préciser la rédaction de l’article 26 afin de couvrir deux situations opérationnelles :

-       en application de la règlementation européenne et nationale sur la certification, certains certificats sont également délivrés par des organismes d’évaluation de la conformité. Il apparaît donc nécessaire notamment en application du règlement UE n°2019/881 de prévoir la supervision de l’activité de certification de ces organismes privés ;

 

-       la recherche de manquements implique de recourir à des experts qui ne seront ni des contrôleurs au sens du premier alinéa ni des organismes indépendants. Il s’agit par exemple d’experts d’autorités de supervision d’Etats de l’Union européenne dans le cadre d’enquêtes transfrontières, de consultants indépendants qui pourraient faire notamment des audits ou des scans, ou encore d’agents de l’Etat dont l’expertise pointue et temporaire pourrait être utile sans pour autant qu’il ne soit nécessaire de les désigner et faire assermenter comme un contrôleur.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 116

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. CHAIZE, SAURY et CANÉVET

au nom de la CS Cybersécurité


ARTICLE 27


Alinéa 1

Remplacer les mots :

qui lui incombent

par les mots :

mentionnées au même article

Objet

Amendement rédactionnel






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 9 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Mme PAOLI-GAGIN, MM. CHASSEING et CHEVALIER, Mme Laure DARCOS et MM. GRAND, LAMÉNIE, Vincent LOUAULT, Alain MARC, Louis VOGEL et WATTEBLED


ARTICLE 27


Alinéa 5

Après le mot : 

Accéder

insérer les mots :

, lorsque cela est directement nécessaire à l’accomplissement de leur mission,

Objet

Cet amendement vise à introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 86 rect. quater

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. BLEUNVEN, Jean-Michel ARNAUD, CAMBIER et HENNO, Mme JACQUEMET et MM. LAFON, PARIGI et PILLEFER


ARTICLE 27


Alinéa 5

Supprimer les mots :

et en demander la transcription par tout traitement approprié dans des documents directement exploitables pour les besoins de la supervision

Objet

L’article 27 impose aux entreprises de donner accès aux systèmes d’informations, aux logiciels, aux programmes informatiques et aux données stockées mais également de demander la transcription par tout traitement approprié dans des documents directement exploitables.

Demander la transcription dans des documents destinés à la supervision peut s’avérer lourd, en particulier pour les TPE - PME qui devront mobiliser des ressources pour structurer ces données sous une forme particulière. De plus, cette demande n’est pas imposée par la directive européenne. Il s’agit donc d’une surtransposition.

Dans un objectif de simplification et pour éviter une charge administrative supplémentaire pour les TPE - PME, il est proposé de supprimer cette obligation de transcription des données.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 32

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes LINKENHELD et BLATRIX CONTAT, M. CARDON, Mmes CONWAY-MOURET et NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 28


I. – Alinéa 1

Compléter cet alinéa par une phrase ainsi rédigée :

Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

II. – Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et leurs établissements publics administratifs

Objet

L’article 28 prévoit des sanctions lorsqu’une entité fait obstacle aux demandes d’informations de l’ANSSI, ou en cas de fourniture de renseignements incomplets.

La situation inhérente à une crise cyber ne permet pas toujours à une entité de fournir l’ensemble des informations requises dans les délais impartis, sans pour autant que sa bonne foi ne puisse être remise en cause. 

Cet amendement propose par conséquent de reproduire une disposition issue de l’article 33 du RGPD sur la transmission progressive des informations en fonction de la disponibilité de celles-ci.

Il propose également, dans un objectif d'égalité de traitement, d'étendre la dispense d'application prévue pour les administrations de l’État aux collectivités territoriales.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 10 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme PAOLI-GAGIN, MM. CHASSEING et CHEVALIER, Mme Laure DARCOS et MM. GRAND, LAMÉNIE, Vincent LOUAULT, Alain MARC, Louis VOGEL et WATTEBLED


ARTICLE 28


Alinéa 2

1° Après le mot :

fournissant

insérer le mot :

sciemment

2° Compléter cet alinéa par une phrase ainsi rédigée :

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

Objet

Cet amendement vise à introduire une gradation et un critère d’intention dans la sanction administrative prévue par le projet de loi en cas de fourniture incomplète d’informations à l’ANSSI par les entités.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 2 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. FIALAIRE et BILHAC, Mme Maryse CARRÈRE, MM. GOLD et GROSVALET, Mmes GUILLOTIN et JOUVE, MM. LAOUEDJ et MASSET, Mme PANTEL et M. RUEL


ARTICLE 28


Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Objet

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement.

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes

En conséquence, cet amendement vise à :

•          Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

•          Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 5

6 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mmes DURANTON et HAVET, MM. PATRIAT, BUIS et BUVAL, Mme CAZEBONNE, MM. FOUASSIN, IACOVELLI, KULIMOETOKE, LEMOYNE et LÉVRIER, Mme NADILLE, M. PATIENT, Mme PHINERA-HORTH, M. RAMBAUD, Mme RAMIA, M. ROHFRITSCH, Mme SCHILLINGER, M. THÉOPHILE

et les membres du groupe Rassemblement des démocrates, progressistes et indépendants


ARTICLE 28


Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Objet

Ce projet de loi fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement. 

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes. 

En conséquence, cet amendement vise à :

• Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

• Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 52 rect.

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. MELLOULI, DOSSUS, BENARROCHE, Grégory BLANC et DANTEC, Mme de MARCO, MM. FERNIQUE et GONTARD, Mme GUHL, M. JADOT, Mmes OLLIVIER et PONCET MONGE, M. SALMON, Mmes SENÉE, SOUYRIS, Mélanie VOGEL

et les membres du groupe Écologiste - Solidarité et Territoires


ARTICLE 28


Alinéa 4

Compléter cet alinéa par les mots :

, aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Objet

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement. 

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes 

En conséquence, cet amendement vise à :

• Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

• Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Cet amendement a été travaillé avec Départements de France.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 63

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE 28


Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Objet

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement.

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes

En conséquence, cet amendement vise à :

•          Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

•          Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Tel est l’objet de cet amendement.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 20 rect. sexies

11 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme MORIN-DESAILLY, MM. LAUGIER et DUFFOURG, Mmes PATRU et BILLON, MM. HENNO et LAFON, Mme JACQUEMET, M. CHAUVET, Mme GACQUERRE et M. PILLEFER


ARTICLE 28


Alinéa 2

Après les mots :

faire obstacle

insérer les mots :

de façon délibérée

Objet

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. 

Or, un renseignement incomplet ou inexact peut être le résultat d’un cas de force majeure, ou de circonstances qui ne dépendent pas uniquement de la personne contrôlée.

C’est pourquoi, afin de garantir une évaluation proportionnée des manquements, il est proposé de préciser que l’absence de coopération de la personne contrôlée doit être délibérée pour que le manquement soit caractérisé.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 103

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 29


I. - Alinéa 3

Remplacer cet alinéa par deux alinéas ainsi rédigés :

...° Audits de sécurité réguliers et ciblés réalisés par l’autorité nationale de sécurité des systèmes d’information ;

...° Audits de sécurité réguliers et ciblés réalisés par un organisme indépendant désigné par l’autorité nationale de sécurité des systèmes d’information ;

III. - Alinéa 6

Rédiger ainsi cet alinéa :

Le coût des mesures mentionnées aux 1°, 2°, 4° et 5° est à la charge de l’autorité nationale de sécurité des systèmes d’information. Celui des mesures mentionnées au 3° est à la charge de la personne contrôlée, sauf, lorsque les circonstances l’exigent, si l’autorité nationale de sécurité des systèmes d’information en décide autrement.

Objet

Le présent amendement tend à modifier les conditions dans lesquelles le coût des contrôles peut être mis à la charge de l’entité assujettie, dans le but d’éviter toute surtransposition.

En l’état du texte, la prise à la charge du coût des mesures de contrôle n’est prévue que lorsque ne révèle pas de manquement. Si le but d’une telle disposition d’encourager la mise en conformité, peut parfaitement être partagé, une telle disposition paraît néanmoins poser plusieurs difficultés. D’une part, une telle disposition s’insère mal dans l’économie générale du projet de loi, puisque dans celle-ci le manquement n’a vocation à être qualifié qu’à l’issue de la procédure d’instruction. D’autre part, une telle disposition pourrait s’apparenter à une sanction financière, prononcée directement par le contrôleur, ce qui va à nouveau à l’encontre du phasage de la procédure de sanction tel que prévu par le projet de loi.

Outre ces difficultés, la rédaction actuelle du texte aboutit à une surtransposition, puisqu’elle revient à faire endosser aux entités assujetties le coût des contrôles dès qu’ils révèlent un manquement, quelle que soit la nature de la mesure de contrôle utilisée pour découvrir ce dernier. Il apparaît donc que le champ d’application de cette prescription est plus large que les cas prévus par la directive dite « NIS 2 », qui ne prévoit la prise à la charge des entités du contrôle que pour les seuls audits de sécurité ciblés.

Afin d’éviter toute surtransposition, il est donc proposé que ne puissent être pris en charge par l’entité assujettie que les coûts résultant des audits de sécurité ciblés, conformément aux articles 32.2 et 33.2 de la directive.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 13 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Tombé

Mme PAOLI-GAGIN, MM. CHASSEING et CHEVALIER, Mme Laure DARCOS et MM. GRAND, LAMÉNIE, Vincent LOUAULT, Alain MARC et Louis VOGEL


ARTICLE 29


Alinéa 3

Compléter cet alinéa par les mots :

et dont le siège social se situe dans un État membre de l’Union européenne

Objet

Le mécanisme de contrôle prévu à l'article 29 prévoit que l'ANSSI peut déléguer les contrôles à des organismes indépendants.

Eu égard au caractère très sensible de ces contrôles et des données récoltées, il est impératif de veiller à ce que ces organismes soient européens.

C'est pourquoi cet amendement vise à expliciter cette condition dans le texte de la loi.



NB :La présente rectification porte sur la liste des signataires.
La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 28

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Tombé

Mmes LINKENHELD, CONWAY-MOURET et BLATRIX CONTAT, M. CARDON, Mme NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 29


Alinéa 6

Compléter cet alinéa par les mots : 

, ou lorsque l’autorité nationale de sécurité des systèmes d’information en décide autrement

Objet

Cet amendement propose de conserver, comme prévu dans le projet de loi initial, la possibilité pour l'ANSSI de décider de ne pas faire supporter le coût des audits réalisés notamment considérant la taille, les ressources et les efforts réalisés par l'entité contrôlée, même en cas de manquement aux obligations et prescriptions édictées.

Cela permet à l'ANSSI de garder une souplesse dans le contrôle de l'application des nouvelles exigences de cybersécurité.


NB : La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 12 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

Mme PAOLI-GAGIN, MM. CHASSEING et CHEVALIER, Mme Laure DARCOS et MM. GRAND, LAMÉNIE, Vincent LOUAULT, Alain MARC et Louis VOGEL


ARTICLE 29


Compléter cet article par un alinéa ainsi rédigé :

L’autorité nationale de sécurité des systèmes d’information communique chaque année au public, par tout moyen adapté, le montant total des coûts induits par les contrôles mis à la charge des personnes contrôlées.

Objet

Étant donné qu'il n'est pas permis aux Parlementaires, eu égard aux règles de recevabilité financière des amendements fixées par l'article 40 de la Constitution, d'imputer les coûts induits par les contrôles à l'autorité contrôlante plutôt qu'aux entreprises contrôlées, il est à défaut proposé d'obliger l'autorité à indiquer le montant total des coûts induits pour les acteurs privés par les contrôles qu'elle décide.

En effet, il n'apparaît pas opportun, au plan organisationnel, de ne pas faire peser sur l'autorité contrôlante le coût de ses propres décisions, selon le principe "qui décide paye".

Cet amendement introduit un mécanisme de publication des coûts induits, afin que les pouvoirs exécutif ou législatif puissent mieux apprécier les conséquences du mode de financement retenu dans le texte initial du Gouvernement.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 29

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Retiré

Mmes LINKENHELD, CONWAY-MOURET et BLATRIX CONTAT, M. CARDON, Mme NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 30


Compléter cet article par un alinéa ainsi rédigé :

Ce décret fixe également un calendrier d'application progressif et différencié des mesures de contrôles en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

Objet

Le projet de loi ne prévoit pas de date limite de mise en conformité.

Il ne prévoit pas non plus de date pour l'application des contrôles et donc des sanctions potentielles. L’ANSSI a d'ailleurs indiqué qu'elle laisserait le temps aux entités de se mettre en conformité avant d’engager les procédures de contrôle et de sanction.

La mise en œuvre de la directive NIS2 doit permettre une certaine souplesse dans son application pour permettre aux entités nouvellement concernées d'organiser leur montée en compétences et de renforcer progressivement leurs dispositifs de sécurité, sans risquer des pénalités immédiates.
Cette souplesse sur le calendrier permettra ainsi aux collectivités de s'organiser et d’éviter le recours systématique à des prestataires extérieurs spécialisés et les coûts induits.

Pour améliorer la lisibilité des acteurs concernées sur la mise en œuvre des exigences, l'amendement du groupe SER propose que le décret d'application prévu à l'article 30, fixe un calendrier d'application échelonnée et différenciée des mesures de contrôle en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 104

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 31


Alinéa 1

Remplacer les mots :

Lorsqu’un contrôle réalisé en application de la section 1 révèle un manquement aux obligations mentionnées à l’article 26

par les mots :

Au vu des résultats du contrôle réalisé en application des dispositions de la section 1

Objet

L’article 31 alinéa 1 doit prévoir des conditions de déclenchement de la phase d’instruction, compatibles avec la réalité opérationnelle des contrôles. Or, si c’est effectivement le cas lorsque de manière évidente les mesures de contrôle ont révélé un manquement, cela doit également être possible lorsque le constat de certains faits sont susceptibles de révéler un manquement qui n’est pas encore qualifié ou pleinement établi au moment de l’ouverture de l’instruction. Dans certaines hypothèses, la qualification d’un manquement nécessitera des mesures d’instructions approfondies assorties de mesures de contrôle complémentaires, le cas échéant.

Ainsi, la phase d’instruction permettra la qualification de certains faits au regard des règlementations mentionnées à l’article 26 justement pour déterminer si des manquements peuvent être identifiés.

C’est pourquoi, il apparaît important de ne pas limiter l’ouverture de la phase d’instruction uniquement aux manquements constatés et qualifiés dans le cadre des mesures de contrôle.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 117

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

MM. CHAIZE, SAURY et CANÉVET

au nom de la CS Cybersécurité


ARTICLE 31


Alinéa 1, première phrase

Remplacer les mots :

Lorsqu'un contrôle réalisé en application de la section 1 révèle un manquement aux obligations mentionnées à l'article 26

par les mots :

Lorsqu'un manquement ou une suspicion de manquement aux obligations mentionnées à l'article 26 apparaît au terme d'un contrôle réalisé en application de la section 1

Objet

Cet amendement vise à permettre l'ouverture d'une procédure à l'encontre de l'entité contrôlée lorsque le contrôle mené, sans aboutir à la constatation d'un manquement évident de la part de cette entité, révèle des éléments ou des faits éveillant une suspicion de manquement.

Les agents chargés de l'instruction devront alors vérifier si le manquement peut ou non être qualifié et déterminer si l'adoption d'une mesure d'exécution est requise ou non dans les circonstances de l'espèce.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 89 rect. quinquies

11 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G  
Retiré

MM. BLEUNVEN, Jean-Michel ARNAUD, CAMBIER et HENNO, Mme JACQUEMET et MM. LAFON, PARIGI et PILLEFER


ARTICLE 31


I. – Alinéa 7

Remplacer les mots :

et qui ne peut être inférieur à un mois, sauf en cas de manquement grave ou répété 

par les mots :

. Sauf en cas de manquement grave ou répété, le délai ne peut être inférieur à un mois et doit être adapté à la gravité du manquement, à la taille et à la capacité opérationnelle de l’entité concernée ;

II. – Alinéa 9

Compléter cet alinéa par une phrase ainsi rédigée

Les recommandations formulées sont adaptées à la taille et à la capacité opérationnelle de l’entité concernée.

Objet

L’article 31 introduit un délai de mise en conformité pour les entités soumises aux obligations de sécurité et de résilience prévues par la directive.

Cependant, aucune disposition spécifique ne tient compte des capacités opérationnelles, financières ou organisationnelles des entités à se conformer dans le délai imparti, quelle que soit leur taille ou leur structure. Cette absence de prise en compte des réalités propres à chaque entité, notamment la gravité des manquements constatés et les moyens disponibles pour y remédier, pose un double problème. D’une part, elle risque de désavantager les PME, qui disposent souvent de ressources limitées pour se conformer rapidement à des exigences complexes.

D’autre part, elle peut entraîner des difficultés d’application pratique, car des délais inadaptés pourraient conduire certaines entités à une mise en conformité superficielle ou incomplète, au détriment de l’efficacité des mesures correctives. En outre, l’absence de flexibilité pourrait engendrer une désorganisation au sein des structures concernées, compromettant leur fonctionnement et leur compétitivité.

Le présent amendement vise à introduire davantage de flexibilité dans les délais imposés par l’article 31. Concrètement, il propose de moduler ces délais en fonction de plusieurs critères, tels que la gravité des manquements constatés, la taille de l’entité concernée et ses capacités réelles à s’y conformer. Cette approche permettra de mieux adapter les exigences aux spécificités des entités, en assurant une application des mesures correctives plus efficace et mieux acceptée.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 23 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme Maryse CARRÈRE, MM. BILHAC, FIALAIRE, GOLD et GROSVALET, Mmes GUILLOTIN et JOUVE, MM. LAOUEDJ et MASSET, Mme PANTEL et M. RUEL


ARTICLE 31


Alinéa 10

Compléter cet alinéa par une phrase ainsi rédigée :

Ce montant ne peut excéder 100 euros par jour de retard pour les collectivités territoriales, leurs groupements et leurs établissements publics administratifs. 

Objet

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des collectivités pour que la mise en œuvre des mesures requises soit supportable financièrement.

Les nouvelles obligations imposées par ce projet entraîneront des charges supplémentaires pour les collectivités, sans que l’étude d’impact n’ait pris la peine de les chiffrer, alors que dans le même temps, elles doivent impérativement maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières.

Cet amendement propose de réduire l’astreinte pouvant être appliquée à une collectivité de 5 000 euros à 100 euros par jour, afin qu’elle soit davantage proportionnée à ses capacités financières.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 61 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Retiré

Mme PAOLI-GAGIN, MM. CHASSEING et CHEVALIER, Mme Laure DARCOS et MM. GRAND, LAMÉNIE, Vincent LOUAULT, Alain MARC, Louis VOGEL et WATTEBLED


ARTICLE 31


Alinéa 10

Compléter cet alinéa par une phrase ainsi rédigée :

Cette mesure d’exécution ne peut être rendue publique par l’autorité nationale de sécurité des systèmes d’information.

Objet

Cet amendement de précision vise à éviter toute sur-transposition dans la pratique des sanctions impliquant la publicité des manquements.

Il explicite dans le texte que l'ANSSI ne peut rendre les manquements publics.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 58 rect.

10 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Retiré

MM. CADIC et CANÉVET


ARTICLE 36


Après l’alinéa 1

Insérer un alinéa ainsi rédigé :

…° D'un représentant du ministère coordonnateur du secteur d’activité auquel appartient l’entité pour laquelle la commission est saisie ;

Objet

Cet amendement vise à s’assurer que la sanction éventuellement prononcée prenne en compte d’une part l’impact des manquements aux obligations de l’entité visée sur ses clients, fournisseurs ou écosystème et d’autre part les enjeux stratégiques (intelligence économique), économiques, technologiques ou sociaux liés à l’entité.

Ni l’ANSSI ni les autres membres de la commission des sanctions n’ont l’expertise que doit avoir un représentant du ministère en charge du secteur d’activité de l’entité visée.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 105

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 36


Alinéa 3, seconde phrase

Rédiger ainsi cette phrase :

Ces personnalités ne peuvent avoir exercé, au cours des trois années précédant leur nomination, une activité au sein de l’une des personnes mentionnées aux articles 8 et 9 ni au sein de l’autorité nationale de sécurité des systèmes d’information.

Objet

Le présent amendement vise à améliorer les garanties d’indépendance de la commission des sanctions et améliorer la prévention des conflits d’intérêts en son sein. Il prévoit ainsi d’élargir la règle d’incompatibilité prévue pour l’ANSSI aux entités assujetties, et d’en abaisser la durée à trois ans, une durée de droit commun en la matière. 






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 106

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 37


Alinéa 13, première phrase

Remplacer les mots :

en dernier recours, si le manquement persiste après que l’amende administrative prévue au I ou au II du présent article a été prononcée

par les mots :

si les mesures d’exécution prévues aux articles 25 et 31 sont inefficaces,

Objet

Le présent amendement a pour objet la mise en conformité à la directive NIS 2 qui ne conditionne pas l’interdiction d’exercer des dirigeants des entités essentielles à la persistance d’un manquement malgré l’imposition d’amendes pécuniaires.

En effet, l’article 32 §5 de la directive NIS II prévoit, lorsque les mesures d’exécution de son paragraphe 4 aux points a) à d) et au point f) imposées aux entités essentielles – mesures de police administrative reprises dans le projet de loi aux articles 25 et 31 – sont inefficaces, une procédure en deux temps :

(i) l’entité essentielle est invitée, dans un délai imparti, à pallier les insuffisances ou satisfaire aux exigences des mesures d’exécution ;

(ii) si la mesure demandée n’est pas prise dans ce délai, alors l’autorité de supervision peut notamment prévoir une interdiction d’exercer temporaire des dirigeants, personnes physiques, de ces entités essentielles.

De plus, conformément à l’article 34 paragraphe 2 de la directive NIS 2, les amendes administratives peuvent intervenir en complément de l’interdiction d’exercer.

Il est donc proposé par cet amendement de conditionner l’interdiction d’exercer des dirigeants à l’inefficacité des mesures de police administratives (mesures d’exécution) mentionnées aux article 25 et 31 du projet de loi conformément aux articles 32 et 34 de la directive NIS 2.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 21 rect. nonies

12 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mme MORIN-DESAILLY, MM. LAUGIER et DUFFOURG, Mmes PATRU et BILLON, MM. HENNO et LAFON, Mme JACQUEMET, M. CHAUVET, Mme GACQUERRE et MM. PILLEFER et Pascal MARTIN


ARTICLE 37


Compléter cet article par un alinéa ainsi rédigé :

… . – Lorsque la commission des sanctions prononce l’une des sanctions prévues au présent article, elle prend en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

Objet

Afin d'éviter toute mesure disproportionnée qui pourrait peser très lourdement les plus petites entités, notamment les TPE-PME, il est également proposé de prendre en compte dans le prononcé de la sanction, les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 46 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Mmes CONWAY-MOURET, LINKENHELD et BLATRIX CONTAT, M. CARDON, Mme NARASSIGUIN, MM. ROS, Mickaël VALLET

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE 37


Compléter cet article par un alinéa ainsi rédigé :

… . – Lorsque la commission des sanctions prononce l’une des sanctions prévues au présent article, elle prend en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

 

Objet

L’article 37 prévoit une possibilité d’interdiction pour un dirigeant d’exercer ses fonctions en cas de manquements graves ou répétés.

En raison de moyens humains, financiers et techniques plus limités, les TPE - PME peuvent rencontrer des difficultés pour se conformer rapidement aux obligations imposées. Il est donc essentiel que la gravité des sanctions prenne en compte la nature et la répétition des manquements, la taille de l’entreprise et ses capacités réelles à répondre aux exigences réglementaires.

Cet amendement propose d'encadrer plus strictement cette disposition pour éviter des sanctions disproportionnées ou injustifiées, qui pourraient non seulement pénaliser de manière excessive les dirigeants de PME, mais également menacer la pérennité de ces entreprises. 






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 88 rect. quinquies

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. BLEUNVEN, Jean-Michel ARNAUD, CAMBIER et HENNO, Mme JACQUEMET, MM. LAFON, PARIGI et PILLEFER et Mme SAINT-PÉ


ARTICLE 37


Article 37

Compléter cet article par un alinéa ainsi rédigé :

… . – Lorsque la commission des sanctions prononce l’une des sanctions prévues au présent article, elle prend en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

Objet

L’article 37 prévoit une possibilité d’interdiction pour un dirigeant d’exercer ses fonctions en cas de manquements graves ou répétés.

En raison de moyens humains, financiers et techniques plus limités, les TPE - PME peuvent rencontrer des difficultés pour se conformer rapidement aux obligations imposées. Il est donc essentiel que la gravité des sanctions prenne en compte la nature et la répétition des manquements, la taille de l’entreprise et ses capacités réelles à répondre aux exigences réglementaires.

Le présent amendement vise à encadrer plus strictement cette disposition pour éviter des sanctions disproportionnées ou injustifiées, qui pourraient non seulement pénaliser de manière excessive les dirigeants de PME, mais également menacer la pérennité de ces entreprises. Il concilie l’exigence de sécurité et la nécessaire préservation du tissu économique, tout en protégeant les dirigeants de PME de sanctions qui pourraient s’avérer injustifiées ou disproportionnées.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 118

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Demande de retrait
Retiré

MM. CHAIZE, SAURY et CANÉVET

au nom de la CS Cybersécurité


ARTICLE ADDITIONNEL APRÈS ARTICLE 37


Après l’article 37

Insérer un article additionnel ainsi rédigé :

Pour les entités essentielles mentionnées aux articles 8 et 10, les dispositions du présent chapitre entrent en vigueur trois ans après la promulgation de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité.

Pour les entités importantes mentionnés aux articles 9 et 10, les dispositions du présent chapitre entrent en vigueur quatre ans après la promulgation de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. 

Objet

Cet amendement vise à accorder les délais nécessaires aux entreprises, aux administrations et aux collectivités territoriales pour se mettre en conformité avec les obligations prévues par la directive NIS 2 et le présent projet de loi en assurant la transposition.

Il s’agira en particulier pour les 15 000 entités désormais régulées de se mettre en conformité avec le référentiel prévu à l’article 14 qu’édictera l’Anssi, ce qui nécessitera des investissements importants, le recours à des prestataires spécialisées, l’embauche de personnel qualifié, etc.

Il faudra donc laisser le temps aux entités de s’organiser, d’où l’importance de prévoir des délais nécessaires avant la mise en œuvre de contrôles et a fortiori de sanctions.

Dans un souci de proportionnalité, ce délai est fixé à trois ans pour les entités essentielles et à quatre ans pour les entités importantes, de plus petites tailles et souvent moins bien outillées pour mettre en place leurs nouvelles obligations en matière de cybersécurité.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 15 rect. septies

11 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Rejeté

Mme MORIN-DESAILLY, M. LAUGIER, Mme PATRU, M. DUFFOURG, Mmes BILLON et SAINT-PÉ, MM. HENNO et LAFON, Mme JACQUEMET, M. CHAUVET, Mme GACQUERRE et MM. PILLEFER et Pascal MARTIN


ARTICLE ADDITIONNEL APRÈS ARTICLE 39


Après l’article 39

Insérer un article additionnel ainsi rédigé :

La première phrase du premier alinéa de l’article L. 4121-3 du code du travail est complétée par les mots : « et dans la sécurisation des outils numériques ».

Objet

La transformation organisationnelle qu’appelle NIS 2 pour les entités ne saurait se limiter à un accompagnement circonscrit à des subventions ou des crédits d’impôts. Le présent projet de loi est l’occasion d’impulser un réel changement de paradigme autour des enjeux de cyberprotection et de cybersécurité. Ces risques sont dorénavant des risques du quotidien et doivent être appréhendés comme tels par tous les acteurs concernés. La méthode cybersecurity by design doit donc devenir la norme de tout projet informatique ou de transformation numérique.

L’objectif de passer de 5% des dépenses informatiques des entreprises dédiées à la cyber, à 10% tel que fixé par le Directeur Général de l’ANSSI (et à l’image de nombreux pays à travers le monde) est donc un objectif quantifiable et concret. Il représente moins une dépense additionnelle qu'une allocation différente du budget des organisations et des entreprises concernées.

Pour accompagner ce changement de paradigme, le présent amendement intègre le risque cyber dans le document unique d'évaluation des risques professionnels (DUERP) afin de favoriser l'acclimatation des chefs d’entreprises et des salariés à ceux-ci, ainsi que l’engagement général des entreprises sur ces questions. 



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 44

10 mars 2025


 

AMENDEMENT

présenté par

C Demande de retrait
G Demande de retrait
Rejeté

M. CARDON, Mmes LINKENHELD, BLATRIX CONTAT, CONWAY-MOURET et NARASSIGUIN, MM. Mickaël VALLET, ROS

et les membres du groupe Socialiste, Écologiste et Républicain


ARTICLE ADDITIONNEL APRÈS ARTICLE 39


Après l’article 39

Insérer un article additionnel ainsi rédigé :

La première phrase du premier alinéa de l’article L. 4121-3 du code du travail est complétée par les mots : « et dans la sécurisation des outils numériques ».

Objet

Cet amendement propose d’intégrer le risque cyber dans le document unique d'évaluation des risques professionnels (DUERP) afin de favoriser l'acclimatation des chefs d’entreprises et des salariés à ceux-ci, ainsi que l’engagement général des entreprises sur ces questions. 






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 110

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 41


Alinéa 11

Remplacer les mots :

sans préjudice

par les mots :

sous réserve

Objet

Le rehaussement du quantum des sanctions, prévu par l’article 41 du projet de loi conduit, pour la perturbation d'un service autorisé, à dépasser celui prévu par l'article 78 de la loi relative à la liberté audiovisuelle lorsque l'émetteur et le service perturbé sont des communications audiovisuelles. C’est pourquoi, la rédaction du projet de loi tel qu’issu du Conseil d’Etat prévoyait que les nouvelles sanctions s’appliquaient « sous réserve » de celles de l’article 78 de la loi relative à la liberté audiovisuelle.

En remplaçant les mots "sous réserve" par "sans préjudice", il reviendra à l'Administration de choisir sur quel fondement (code des postes et des communications électroniques ou loi de 1986), elle entend sanctionner un brouillage du fait d'un service de communication audiovisuel alors même que le quantum des peines diffère selon le fondement retenu.

Revenir à la formulation « sous réserve » permettra de sécuriser juridiquement le dispositif.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 72

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE 42


Alinéa 11

Compléter cet alinéa par une phrase ainsi rédigée :

L’ensemble des activités relevant de l’exploitation d’une fréquence, notamment la fourniture de services de communications électroniques qui en découle, est soumis aux mêmes obligations d’immatriculation et de droit.

Objet

Dans son avis sur le projet de loi, le conseil d’Etat précise que cette nouvelle assignation portée par l’article 42 “ne porte que sur l’utilisation de fréquences par un système satellitaire, alors que son emploi ultérieur à des fins de fourniture de services de communications électroniques et la commercialisation de tels services sur le territoire de l’Union européenne ne présentent qu’un caractère hypothétique.”

 Le présent amendement des sénateurs CRCE-K vise à empêcher le recours à des stratégies d’optimisation fiscale des entreprises bénéficiant des services de l’Agence nationale des fréquences.Par exemple Starlink, basé à Dublin.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 123

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 43 A


I. - Alinéa 3

Remplacer les mots :

exerce les fonctions et missions prévues à l’article 19 

par les mots :

veille au respect 

II. - Alinéa 5

1° Remplacer les mots :

exerce les fonctions et missions prévues à l’article 19 

par les mots :

veille au respect

2° Après les mots :

personnes mentionnées

Rédiger ainsi la fin de cet alinéa :

aux I et II de l’article L. 612-2, à l’exception de celles mentionnées au b du 2° du A du I et du 8° du B du I.

Objet

Cet amendement vise à désigner la Banque de France ainsi que l’Autorité de contrôle prudentiel et de résolution comme autorités compétentes au titre de l’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (Texte présentant de l’intérêt pour l’EEE). L’articulation nécessaire à l’application de la directive NIS 2 et du règlement DORA pour ce qui concerne la notification des incidents, permettant de facto d’assurer l’assistance technique dont les entités pourront avoir besoin de la part du CSIRT, est satisfaite par un autre amendement ne nature à expliciter les incidents concernés.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 124

11 mars 2025


 

SOUS-AMENDEMENT

à l'amendement n° 123 du Gouvernement

présenté par

C Favorable
G Défavorable
Adopté

M. CANÉVET


ARTICLE 43 A


Amendement n° 123, alinéas 1 à 5 et 7 à 10

Supprimer ces alinéas.

Objet

Le présent sous-amendement vise à empêcher la neutralisation, par l'amendement 123 du Gouvernement, de l'article 43 A issu des travaux de la commission. Cet article 43 A désignait l'Autorité de contrôle prudentiel et de résolution (ACPR) comme autorité compétente pour exercer les fonctions et missions prévues à l'article 19 du règlement DORA à l'égard de la plupart des personnes soumises à sa supervision. L'amendement 123, lui, prévoit que l'ACPR se contente de veiller au respect du règlement DORA par ces personnes, ce qu'elle doit déjà faire selon le règlement DORA.

Dans le même temps, le sous-amendement conserve la correction d'une erreur de référence comprise dans l'article 43 A, correction permise par l'amendement 123 du Gouvernement.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 107 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE ADDITIONNEL APRÈS ARTICLE 43 A


Après l'article 43 A

Insérer un article additionnel ainsi rédigé :

Après l’article L. 612-24 du code monétaire et financier, il est inséré un article L. 612-24-… ainsi rédigé :

« Art. L. 612-24-…. I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b) du 2° du A du I de l’article L. 612-2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions prévues au titre II de la loi n° X du X relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

Objet

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA). 

Cette désignation permet d’éviter à ces entités d’avoir à adresser deux ou trois déclarations identiques aux différentes autorités financières à la surveillance desquelles elles sont soumises. Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les entités assujetties à NIS2 et, sur base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.



NB :La rectification consiste en un changement de place de l'article additionnel après l'article 52 vers l'article additionnel après l'article 43 A.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 119

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

MM. CANÉVET, CHAIZE et SAURY

au nom de la CS Cybersécurité


ARTICLE ADDITIONNEL APRÈS ARTICLE 45


Après l’article 45

Insérer un article additionnel ainsi rédigé :

Le code monétaire et financier est ainsi modifié : 

1° L’article L. 54-10-7 est complété par un paragraphe ainsi rédigé :

« …. – L’Autorité des marchés financiers exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour les prestataires agréés conformément au I, à l’exception de ceux visés à l’article L. 612-24-1. » ;

2° Après l’article L. 421-11, il est inséré un article L. 421-11-… ainsi rédigé :

« Art. L. 421-11-... – L’Autorité des marchés financiers exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour l’entreprise de marché mentionnée à l’article L. 421-2. »

Objet

L’article 19 du règlement « DORA » prévoit expressément que les États membres désignent, pour les entités financières qui sont soumises à la surveillance de plusieurs autorités nationales compétentes, une seule autorité compétente pour recevoir les déclarations d’incidents majeurs liés aux TIC et les notifications volontaires des cybermenaces importantes.

Le présent amendement a pour objet de répondre à cette exigence prévue par le règlement en désignant l’Autorité des marchés financiers comme seule autorité compétente pour exercer les fonctions et missions prévues par le règlement « DORA » en matière de déclaration des incidents majeurs liés aux technologies de l’information et de la communication (TIC) et de notification volontaire des cybermenaces importantes pour les entreprises de marché et pour les prestataires de services pour crypto-actifs. Il reprend en cela une rédaction similaire à celle introduite en commission par l'article 43 A. 

La désignation d’un « guichet unique » constitue une mesure de simplification qui, sans préjudice des échanges d’informations entre les services administratifs compétents, réduit la charge administrative des entreprises qui constituent par suite un unique dossier de déclaration ou de notification.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 111 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Tombé

Le Gouvernement


ARTICLE ADDITIONNEL APRÈS ARTICLE 45


Après l'article 45

Insérer un article additionnel ainsi rédigé :

L’article L. 54-10-7 du code monétaire et financier est complété par un paragraphe ainsi rédigé :

« VI. En application du deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les prestataires agréés conformément au I, à l’exception de ceux visés au I. de l’article L. 612-24-1 du code monétaire et financier, adressent à l’Autorité des marchés financiers leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication. 

« En application du premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les prestataires agréés conformément au I, à l’exception de ceux visés au I de l’article L. 612-24-1 du code monétaire et financier peuvent adresser à l’Autorité des marchés financiers leurs notifications de cybermenaces. »

Objet

Cet amendement vise à désigner l’Autorité des marchés financiers comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des prestataires de services sur crypto-actifs agréés, autres que ceux déjà tenus de le faire auprès de l’Autorité de contrôle prudentiel et de résolution au titre de leur statut d’entités financières sous contrôle de l’ACPR,  conformément au deuxième alinéa du paragraphe 1 et premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA). 



NB :La rectification consiste en un changement de place de l'article additionnel après l'article 43 A vers l'article additionnel après l'article 45.
La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 112 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Tombé

Le Gouvernement


ARTICLE ADDITIONNEL APRÈS ARTICLE 45


Après l'article 45

Insérer un article additionnel ainsi rédigé :

Après l’article L. 421-11 du code monétaire et financier, il est inséré un article L. 421-11-1 ainsi rédigé :

« Art. L. 421-11-1. – En application du deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, l’entreprise de marché adresse à l’Autorité des marchés financiers ses déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Lorsque l’entreprise de marché est également soumise en tant qu’entité essentielle ou importante aux dispositions prévues au titre II de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, elle transmet également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« En application du premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, l’entreprise de marché peut adresser à l’Autorité des marchés financiers ses notifications de cybermenaces. Dans ce cas, elle transmet également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

Objet

Cet amendement vise à désigner l’Autorité des marchés financiers comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entreprises de marché, conformément au deuxième alinéa du paragraphe 1 et premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA). 

Cette désignation permet d’éviter aux entreprises de marchés d’avoir à adresser des déclarations identiques aux différentes autorités financières à la surveillance desquelles elles sont soumises. L’Autorité de contrôle prudentiel et de résolution, qui participe également à leur supervision, recevra ces informations via l’Autorité des marchés financiers. Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les incidents et sur une base volontaire pour les cybermenaces, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.



NB :La rectification consiste en un changement de place de l'article additionnel après l'article 43 A vers l'article additionnel après l'article 45.
La mention « Tombé » signifie qu'il n'y avait pas lieu de soumettre l'amendement au vote du Sénat dans la mesure où soit l'objectif poursuivi par l'amendement a été atteint par l'adoption d'un autre amendement (ex. : amendement de rédaction globale incluant la modification proposée), soit, au contraire, l'amendement était incompatible avec un amendement précédemment adopté (ex. : l'adoption d'un amendement de suppression fait tomber tous les autres).





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 120

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. CANÉVET, CHAIZE et SAURY

au nom de la CS Cybersécurité


ARTICLE 49


I. – Alinéa 2, seconde phrase

1° Supprimer les mots :

et au c du II

2° Remplacer la référence :

L. 521-10

par la référence :

L. 521-1

II. – Alinéas 3 et 4

Remplacer les mots :

aux a et b du

par le mot :

au

III. – Compléter cet article par deux alinéas ainsi rédigés : 

.... – Il est ajouté un paragraphe ainsi rédigé : 

«.... – La Caisse des dépôts et consignations réalise les déclarations mentionnées au I, dans les conditions prévues par le décret mentionné à l’article L. 518-15-1. » 

Objet

Le présent amendement vise à modifier l'article L. 521-10 du code monétaire et financier pour tenir compte de la situation particulière qui s'appliquera à la Caisse des dépôts et consignations (CDC). Il est en effet prévu d'assujettir la CDC à des obligations de notification d'incidents issues du règlement DORA, par une modification du décret n° 2020-94 du 5 février 2020 relatif au contrôle interne et externe de la Caisse des dépôts et consignations (en cours de réécriture). 

Dans sa version initiale, l'article 49 du projet de loi ne prenait pas en compte ce futur assujettissement de la CDC à certaines obligations de DORA. Dans le texte adopté en commission, l'article 49 a alors été modifié pour préciser que la CDC notifie les incidents dans les conditions prévues par l'article 23 du règlement DORA. Cependant, pour des raisons d'ordonnancement juridique, il apparaît préférable de renvoyer au décret pour l'application du régime des incidents à la CDC, plutôt que de rendre applicables directement des articles de DORA à la CDC. 






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 73

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE ADDITIONNEL APRÈS ARTICLE 54


Après l’article 54

Insérer un article additionnel ainsi rédigé :

Après l’article L. 574-6 du code monétaire et financier, il est inséré un article L. 574-… ainsi rédigé :

« Art. L. 574-….- I. – Les entités mentionnées au sein du titre III de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, et relevant du champ d’application des chapitres II et IV du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Objet

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.  






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 121

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

MM. CANÉVET, CHAIZE et SAURY

au nom de la CS Cybersécurité


ARTICLE 56


Alinéa 11, tableau, première colonne, première ligne

Supprimer les mots :

L. 421-1 à

Objet

Correction d'une erreur de référence. 






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 74 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE ADDITIONNEL APRÈS ARTICLE 57


Après l’article 57

Insérer un article additionnel ainsi rédigé :

Après le troisième alinéa de l’article L. 354-1 du code des assurances sont insérés quatre alinéas ainsi rédigés : 

« 1° Les entreprises d’assurance et de réassurance recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« a) Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« b) Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« 2° À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au 1° , l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Objet

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.  



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 14 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

Mme PAOLI-GAGIN, MM. CHASSEING et CHEVALIER, Mme Laure DARCOS et MM. GRAND, LAMÉNIE, Vincent LOUAULT, Alain MARC et Louis VOGEL


ARTICLE ADDITIONNEL APRÈS ARTICLE 58


Après l’article 58

Insérer un article additionnel ainsi rédigé :

Au second alinéa de l’article L. 121-8 du code des assurances, les mots : « ou de mouvements populaires » sont remplacés par les mots : « , de mouvements populaires ou d’attaques informatiques ».

Objet

En l’état actuel du droit, c’est à l’assuré victime d’une attaque cyber qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère. Or, lorsque l’assuré subit un dommage causé par une cyberattaque, dont l’intensité et la fréquence croît manifestement, il lui est quasiment impossible de prouver la cause de ce dommage, compte tenu de la difficulté voire, souvent, de l’impossibilité d’imputer officiellement une cyberattaque à un acteur en particulier.

Cette disposition nuit au développement de l’assurance cyber en France, et pousse les grands groupes français à souscrire en conséquence des contrats à l’étranger. Ailleurs en Europe, c’est à l’assureur qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère. Afin de remédier à ce défaut d’attractivité de la France, nous proposons d’inverser la charge de la preuve pour les attaques cyber.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 75 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE ADDITIONNEL APRÈS ARTICLE 60


Après l’article 60

Insérer un article additionnel ainsi rédigé :

Après le troisième alinéa de l’article L. 211-12 du code de la mutualité, sont insérés quatre alinéas ainsi rédigés : 

« Les mutuelles et unions mentionnées à l'article L. 211-10 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Objet

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 77 rect. bis

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE ADDITIONNEL APRÈS ARTICLE 61


Après l’article 61

Insérer un article additionnel ainsi rédigé :

Après le troisième alinéa de l’article  L. 931-7 du code de la sécurité sociale sont insérés quatre alinéas ainsi rédigés : 

« Les institutions de prévoyance et unions mentionnées à l'article L. 931-6 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux conditions mentionnées aux 1° et  2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »



Objet

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 81 rect.

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE ADDITIONNEL APRÈS ARTICLE 61


Après l’article 61

Insérer un article additionnel ainsi rédigé :

Afin de garantir un niveau de protection des données à caractère personnel conforme aux exigences du Règlement général sur la protection des données (UE) 2016/679 et de la Charte des droits fondamentaux de l’Union européenne, les entités visées par le titre III de la présente loi doivent assurer l’hébergement et le traitement des données à caractère personnel collectées en France sur des infrastructures situées sur le territoire national.

À cette fin, ces données doivent être stockées soit :

1. Sur un service de cloud qualifié SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;

2. Sur un système d’information interne, physiquement localisé en France et conforme aux exigences de sécurité définies par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Toute externalisation de ces données vers un prestataire non qualifié SecNumCloud ou situé hors du territoire national est interdite, sauf dérogation expressément accordée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les autorités de contrôle compétentes peuvent imposer des sanctions financières en cas de non-respect de cette obligation.



Objet

Cet amendement vise à renforcer la souveraineté numérique de la France et la protection des données personnelles en imposant leur territorialisation sur des infrastructures sécurisées, conformément aux exigences européennes en matière de protection des données.  L’invalidation du Privacy Shield par la CJUE et les risques liés aux législations étrangères, notamment américaines, justifient la nécessité d’un hébergement souverain des données.



NB :La présente rectification porte sur la liste des signataires.





Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 79

10 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

Mme GRÉAUME, M. GAY

et les membres du groupe Communiste Républicain Citoyen et Écologiste - Kanaky


ARTICLE ADDITIONNEL APRÈS ARTICLE 61


Après l'article 61

Insérer un article additionnel ainsi rédigé :

Le Gouvernement remet au Parlement, dans un délai de six mois à compter de la promulgation de la présente loi, un rapport sur le recours aux prestataires de services de technologies de l'information et de la communication par les entités visées au titre III de la présente loi. Ce rapport évalue notamment la part des entreprises extra-communautaires parmi ces prestataires, ainsi que les enjeux en matière de résilience et de souveraineté numérique.

Objet

Cet amendement vise à mieux appréhender la dépendance des entités concernées aux prestataires TIC, en particulier étrangers. L’objectif est de mesurer la part des entreprises extra-communautaires et d’identifier les risques liés à la souveraineté et à la sécurité des infrastructures numériques essentielles.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 109

11 mars 2025


 

AMENDEMENT

présenté par

C Défavorable
G Favorable
Rejeté

Le Gouvernement


ARTICLE 62


Rédiger ainsi cet article :

Le présent titre entre en vigueur le lendemain de la promulgation de la présente loi. Toutefois, les dispositions des articles 46, 47 et 54 sont applicables aux sociétés de financement remplissant les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012 à compter du 17 janvier 2026.

Objet

Le présent amendement vise deux objectifs. En premier lieu, il s’agit de rétablir le principe d’une entrée en application différenciée entre les plus grandes sociétés de financement et les autres entreprises de ce type. Les plus grandes sociétés de financement exercent, pour certaines, des activités critiques pour le secteur financier français et devraient être assujetties dès la promulgation de la présente loi à des standards élevés en matière de résilience et de cybersécurité. Les autres sociétés de financement, de taille modeste, devraient bénéficier d’un report de l’entrée en application de ces exigences dans le cadre d’un calendrier de mise en conformité proportionné.

D’autre part, le présent amendement vise à rétablir une date d’assujettissement des petites sociétés de financement dans des délais plus adaptés, assurant qu’à moyen terme l’ensemble du secteur financier français applique un niveau d’exigences cohérent. Le 1er janvier 2030 apparaît dans cette optique comme un horizon trop lointain et l’ampleur de cette différenciation est inéquitable par rapport à d’autres acteurs du secteur financier distribuant des services comparables aux sociétés de financement. Dans un souci d’égalité de traitement, l’échéance du 17 janvier 2026 du présent amendement offre un an aux petites sociétés de financement pour se préparer aux exigences de DORA, à l’instar des délais qui avaient été offerts par le règlement aux établissements de crédit.

Enfin, une entrée en application différée à un horizon aussi lointain que 2030 apparaît contraire au principe du droit français d’équivalence des exigences prudentielles entre sociétés de financement et établissements de crédit. Cette équivalence est profitable aux sociétés de financement dont les expositions bénéficient à ce titre d’un traitement prudentiel aussi favorable que celui-ci des expositions auprès des banques en application de l’article 119 du règlement « CRR ». Dans le cas où cette équivalence devait être questionnée, les sociétés de financement pourraient perdre le bénéfice de cette dérogation prudentielle.






Logo : Sénat français

Direction de la séance

Projet de loi

Résilience des infrastructures critiques et renforcement de la cybersécurité

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 394 , 393 )

N° 122

11 mars 2025


 

AMENDEMENT

présenté par

C Favorable
G Défavorable
Adopté

MM. CANÉVET, CHAIZE et SAURY

au nom de la CS Cybersécurité


ARTICLE 62


Compléter cet article par un alinéa ainsi rédigé : 

Lorsqu'elles remplissent les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012, les sociétés de financement appliquent les règles énoncées aux chapitres II à IV et à la section 1 du chapitre V du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 conformément au principe de proportionnalité énoncé à l'article 4 du même règlement (UE). 

Objet

Le présent amendement vise à soumettre les sociétés de financement de petite taille et non complexes, comme les sociétés de caution ou de crédit-bail, au règlement DORA selon un principe de proportionnalité, tel que prévu à l'article 4 de ce règlement. L'enjeu est de permettre une distinction entre les sociétés de financement qui tiendrait compte de la taille, de la nature et de la complexité des activités concernées telles que rappelées à l’article 4 du règlement DORA.

L'objectif de cet amendement est de modérer les effets de la surtransposition née de la soumission des sociétés de financement au règlement DORA alors que ces sociétés, de droit français, ne font pas partie du périmètre du règlement, tout en préservant la pleine application dudit règlement pour les sociétés de financement systémiques, pour lesquels les exigences en matière de cybersécurité doivent être les mêmes que pour les établissements de crédit. En effet, peu d’Etats membres envisagent d’étendre DORA aux établissements exerçant des activités de leasing ou d’affacturage sans adaptations. Le présent amendement vise à prévoir une telle adaptation.