Mardi 12 novembre 2024
- Présidence de M. Hugues Saury, président d'âge -
La réunion est ouverte à 15 h 05.
Réunion constitutive
M. Hugues Saury, président. - Mes chers collègues, il me revient, en qualité de président d'âge, d'ouvrir la première réunion de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Pour mémoire, un groupe de travail préfiguratif avait été constitué au mois de juin dernier afin de débuter des travaux préparatoires, avant l'adoption du projet de loi en conseil des ministres qui devait intervenir début juillet. Entre-temps, la dissolution de l'Assemblée nationale puis la constitution du nouveau gouvernement ont retardé le processus. Le projet de loi a finalement été déposé sur le bureau du Sénat en première lecture le 15 octobre.
Selon l'usage, le bureau de la commission spéciale est constitué, à la proportionnelle des groupes, d'un président, de dix vice-présidents et de trois secrétaires.
Pour les fonctions de président, j'ai reçu la candidature de M. Olivier Cadic, du groupe Union Centriste.
La commission spéciale procède à la désignation de son président, M. Olivier Cadic.
- Présidence de M. Olivier Cadic, président -
M. Olivier Cadic, président. - Mes chers collègues, je vous remercie de m'avoir confié la présidence de cette commission spéciale.
Alertés sur l'urgence à transposer certaines directives européennes avant le 17 octobre de cette année, nous avions constitué un groupe de travail préfiguratif avant l'été.
Cette date est déjà dépassée, mais le calendrier qui nous attend n'en est pas moins contraint. L'examen en séance publique pourrait intervenir lors de la semaine gouvernementale du 10 février 2025. Dans cette hypothèse, la réunion de commission pour l'adoption du texte devrait se tenir la dernière semaine de janvier. Compte tenu de l'examen du projet de loi de finances pour 2025, puis de la suspension des travaux parlementaires, c'est demain, ou presque ! Nous devrons donc nécessairement limiter les auditions en réunions plénières. Toutefois, sans préempter le travail des rapporteurs, leurs auditions seront sans doute ouvertes à tous les membres de la commission spéciale.
Je vous propose désormais de passer à la nomination des vice-présidents et des secrétaires. La règle qui s'applique est celle des commissions permanentes. En conséquence, le nombre de vice-présidents est de dix et celui de secrétaires de trois.
La répartition par groupe politique est la suivante : pour le groupe Les Républicains, trois vice-présidents et un secrétaire ; pour le groupe Socialiste, Écologiste et Républicain, deux vice-présidents et un secrétaire ; pour le groupe Union Centriste, un secrétaire - en plus du poste de président qui m'a été confié - ; pour le groupe Rassemblement des démocrates, progressistes et indépendants, un vice-président ; pour le groupe Communiste Républicain Citoyen et Écologiste - Kanaky, un vice-président ; pour le groupe du Rassemblement Démocratique et Social européen, un vice-président ; pour le groupe Les Indépendants - République et Territoires, un vice-président ; pour le groupe Écologiste - Solidarité et Territoires, un vice-président.
Compte tenu des candidatures qui sont parvenues au secrétariat de la commission spéciale, je vous propose la désignation comme vice-présidents : pour le groupe Les Républicains, M. Cédric Perrin, Mme Christine Lavarde et M. André Reichardt ; pour le groupe Socialiste, Écologiste et Républicain, Mmes Hélène Conway-Mouret et Audrey Linkenheld ; pour le groupe Rassemblement des démocrates, progressistes et indépendants, Mme Nadège Havet ; pour le groupe Communiste Républicain Citoyen et Écologiste - Kanaky, Mme Michelle Gréaume ; pour le groupe du Rassemblement Démocratique et Social européen, M. Bernard Fialaire ; pour le groupe Les Indépendants - République et Territoires, Mme Vanina Paoli-Gagin, pour le groupe Écologiste - Solidarité et Territoires, M. Akli Mellouli.
Les vice-présidents sont désignés.
M. Olivier Cadic, président. - Je vous propose, conformément aux propositions formulées par les groupes, la désignation comme secrétaires : pour le groupe Les Républicains, M. Étienne Blanc ; pour le groupe Socialiste, Écologiste et Républicain, M. Rémi Cardon ; pour le groupe Union Centriste, Mme Catherine Morin-Desailly.
Les secrétaires sont désignés.
M. Olivier Cadic, président. - Aux fonctions de rapporteurs, j'ai reçu les candidatures de M. Patrick Chaize et M. Hugues Saury pour le groupe Les Républicains, de M. Michel Canévet pour le groupe Union Centriste.
M. Hugues Saury, M. Patrick Chaize et M. Michel Canévet sont désignés rapporteurs.
M. Olivier Cadic, président. - Nous tiendrons très rapidement une réunion de bureau pour décider de l'organisation de nos travaux.
Je souhaite notamment que nous puissions entendre rapidement Mme Clara Chappaz, secrétaire d'État auprès du ministre de l'enseignement supérieur et de la recherche, chargée de l'intelligence artificielle et du numérique, avec qui j'ai eu un entretien téléphonique la semaine dernière. Je vous proposerai ensuite quelques auditions de services concernés, comme notamment l'Agence nationale de la sécurité des systèmes d'information (Anssi), et quelques tables rondes.
Je souhaiterais également que nous puissions nous rendre à Bruxelles pour entendre la nouvelle Commission européenne. J'ai par ailleurs appris que la Belgique avait d'ores et déjà procédé à la transposition de la directive du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite NIS2 : nous pourrons donc également échanger avec nos homologues belges et le gouvernement fédéral sur leur vision de la cybersécurité.
Enfin, je voudrais signaler plusieurs caractéristiques du texte qui nous occupe.
En premier lieu, celui-ci est passé de 47 articles, dans la version préparatoire qui nous avait été communiquée avant l'été, à 62 articles dans sa version actuelle. Je m'en suis étonné lors de ma conversation avec la secrétaire d'État. Selon elle, il s'agirait de précisions légistiques apportées à la suite de l'avis du Conseil d'État. Il nous faudra toutefois être vigilants pour éviter toute surtransposition et l'insertion de dispositions qui ne relèveraient pas de la transposition des directives, car ce texte pourrait alors s'apparenter à un « Ddadue », c'est-à-dire un texte portant « diverses dispositions d'adaptation au droit de l'Union européenne ».
En second lieu, ce projet de loi vise la transposition de trois directives distinctes : outre la directive NIS 2, la directive du 14 décembre 2022 sur la résilience des entités critiques, dite REC, qui vise à modifier le code de la défense, et la directive du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, dite Dora, cette dernière relevant davantage du domaine de la commission des finances.
Chacun de ces textes se voit consacrer un titre spécifique dans le projet de loi, ce qui assure la lisibilité du partage des compétences entre nos trois rapporteurs, sous réserve d'une répartition plus fine de certaines dispositions du titre II ayant trait à l'Anssi.
M. Hugues Saury, rapporteur. - En tant que rapporteur de la commission des affaires étrangères, de la défense et des forces armées, il me reviendra d'instruire le titre Ier du projet de loi, qui transpose en droit français la directive REC, ainsi que certaines dispositions du titre II concernant l'Anssi.
S'agissant de la transposition, le Gouvernement a fait le choix de ne pas repartir d'une page blanche, mais de procéder à une réécriture du dispositif actuel de sécurité des activités d'importance vitale créé en 2006, qui figure dans le code de la défense et qui est désormais connu et maîtrisé par les opérateurs concernés.
Le projet de loi définit le régime de désignation des « opérateurs d'importance vitale » (OIV).
Il reprend la logique actuelle de protection des opérateurs à leurs frais reposant sur une obligation de résultat, et non de moyens. Les opérateurs détermineront donc eux-mêmes les moyens mis en oeuvre dans des documents renommés « plans de résilience », l'idée étant de passer d'une logique de protection à une logique de résilience.
Le texte vise à mieux prendre en compte et identifier les interdépendances des opérateurs et des vulnérabilités éventuelles de leurs chaînes d'approvisionnement.
Il prévoit également de généraliser le régime de notification des incidents à l'autorité administrative, qui ne concerne à l'heure actuelle que quelques secteurs.
Il définit aussi des entités critiques d'importance européenne, fournissant des services essentiels dans au moins six États membres.
Enfin, il met en place une « commission des sanctions », avec le passage d'un régime de sanctions pénales à un régime de sanctions administratives, diverses dispositions étant par ailleurs prévues afin de garantir l'indépendance de cette commission.
S'agissant d'une transposition d'un texte européen, nos marges de manoeuvre seront sans doute assez minces, d'autant qu'il est dans l'intérêt des opérateurs concernés que les règles soient, dans une large mesure, homogènes sur l'ensemble du territoire de l'Union européenne.
Comme mes collègues rapporteurs, je m'attacherai en particulier à contrôler que les dispositions figurant dans le projet de loi ne vont pas au-delà de ce qui existe actuellement ou de ce qui est strictement requis par la directive.
M. Patrick Chaize, rapporteur. - C'est dans un contexte nouveau, présentant une configuration politique renouvelée, que nous devons mener à bien l'examen de ce projet de loi, initialement prévu en juillet dernier...
Le texte découle directement du droit de l'Union européenne et des initiatives prises par la Commission européenne pour renforcer et harmoniser les règles de cybersécurité applicables aux entités critiques et aux entreprises stratégiques du marché intérieur. Vous l'aurez compris, c'est, une nouvelle fois, un projet de loi « Ddadue » qui ne dit pas son nom !
Rapportant au nom de la commission des affaires économiques, je serai notamment chargé d'examiner le titre II, traitant de la transposition de la directive NIS 2.
Cette directive devait être transposée au plus tard le 17 octobre 2024, mais, je vous rassure, nous ne sommes pas les seuls en retard. Pour l'heure, seuls deux États membres l'ont pleinement transposée en droit interne : la Belgique et l'Italie.
Cette directive est très importante, car elle témoigne d'un changement de paradigme et d'une plus grande prise de conscience des risques pesant sur nos entreprises et nos infrastructures. Alors que la précédente directive NIS 1, qui, datant de 2016, a désormais été abrogée, s'appliquait à 500 opérateurs d'importance vitale et à six secteurs d'activités, la directive NIS 2 s'applique à des milliers d'entités et à dix-huit secteurs d'activité, permettant une mobilisation générale du monde économique.
C'est pourquoi l'Anssi et le secrétariat général de la défense et de la sécurité nationale (SGDSN) ont élaboré ce projet de loi, après plusieurs phases de consultation menées auprès de soixante-dix-neuf fédérations professionnelles et treize associations d'élus, ce que nous pouvons saluer.
Sont par exemple concernées les entreprises de production, de distribution et de gestion des réseaux d'énergie, les infrastructures numériques, les entreprises de transport, les administrations et les collectivités territoriales - le Gouvernement a fait le choix judicieux de les intégrer au périmètre d'application de cette directive.
Dans une moindre mesure, les organismes de recherche, les entreprises de télécommunications, de services postaux, de gestion des déchets, de denrées alimentaires, de produits chimiques, de production automobile ou encore de produits informatiques sont également concernés.
Face à l'ampleur du champ d'application concerné, je serai particulièrement vigilant à la fixation des délais de mise en oeuvre, à l'application des sanctions, à l'identification des responsabilités et à l'élaboration de dispositifs d'accompagnement des entreprises afin de mettre en oeuvre, dans un souci de pragmatisme, la transition nécessaire vers l'application de cette nouvelle réglementation.
M. Michel Canévet, rapporteur. - En qualité de rapporteur de la commission des finances, je serai en charge du titre III du projet de loi, dont l'objet est de transposer la directive Dora.
La gestion des risques informatiques et la protection contre les cyberattaques ont été quasiment absentes des modifications de la réglementation européenne du secteur financier adoptées après la crise financière de 2008. Les États membres ont dès lors mis en place leurs propres réglementations nationales, conduisant à une fragmentation des obligations, alors que le degré élevé d'interconnexion des services financiers rend nécessaire la mise en place d'un cadre commun au niveau de l'Union européenne. C'est la raison pour laquelle a été adopté, en décembre 2022, un règlement sur la résilience opérationnelle du secteur financier, accompagné d'une directive.
Le règlement Dora, applicable à partir du 17 janvier 2025, vise deux objectifs principaux : d'une part, harmoniser le cadre de prévention, de détection et de reporting des incidents numériques, applicable à toutes les entités financières dans l'Union européenne ; d'autre part, créer des règles communes encadrant le recours à des prestataires de services par les entités financières.
La directive Dora est, quant à elle, essentiellement d'ordre technique et vise à insérer des renvois au règlement Dora au sein du corpus législatif européen existant.
Les articles du titre III du projet de loi comportent pour l'essentiel des mesures de coordination prévues par la directive Dora, notamment pour actualiser les références dans plusieurs codes - code monétaire et financier, code de la mutualité, code des assurances et code de la sécurité sociale.
L'existence d'un règlement Dora, d'application directe, et la nature essentiellement technique de la directive Dora limitent nos marges de manoeuvre. Néanmoins, vous le savez, sous couvert de dispositions de coordination, certaines surprises peuvent apparaître... Nous devrons donc veiller à ce que la transposition de la directive Dora n'introduise pas d'obligations qui iraient au-delà de ce qui est requis par le droit européen.
M. Olivier Cadic, président. - Les Suisses ont remporté les Mondiaux des métiers de la cybersécurité. Je me suis renseigné sur le cycle de formation qu'ils mettaient en oeuvre pour atteindre ce niveau : il s'agit, en fait, d'une collaboration entre l'industrie de la finance, qui, comme vous le savez, est très puissante dans ce pays, et l'armée. Ensemble, ils forment les ingénieurs travaillant dans le secteur de la finance, ceux-ci étant mis à disposition de la défense en cas de besoin.
Mme Catherine Morin-Desailly. - Serait-il possible, au démarrage de nos travaux, d'appréhender la question de la cybersécurité de manière systémique, au regard notamment des textes européens déjà votés ?
Je pense au règlement sur les services numériques (DSA ou Digital Services Act), au règlement sur les marchés numériques (DMA ou Digital Markets Act), au règlement sur l'intelligence artificielle (IA Act), au règlement sur les données (Data Act), mais également au règlement établissant des mesures destinées à renforcer la solidarité et les capacités dans l'Union afin de détecter les menaces et incidents de cybersécurité, de s'y préparer et d'y réagir.
Lors de nos travaux sur la loi du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (loi SREN), visant à adapter les différents textes que je viens de mentionner, nous avions pris certaines dispositions pour donner aux organismes d'importance vitale les moyens de leur cybersécurité.
Il me semble important d'appréhender de manière globale l'état des menaces et les réponses qui sont apportées.
Par ailleurs, au-delà de l'Anssi, ne faudrait-il pas auditionner la Commission nationale de l'informatique et des libertés (Cnil), qui est concernée par les questions portant sur l'intelligence artificielle et qui pourrait se voir attribuer le rôle d'autorité chargée de l'application du texte ?
M. Olivier Cadic, président. - J'ai demandé de disposer d'un bilan de l'application de la directive NIS1, ce qui répond partiellement à votre questionnement. Par ailleurs, des dispositions votées dans la loi SREN ne sont toujours pas appliquées, comme le filtre anti-arnaque. Enfin, pour plusieurs sujets, on est en droit de se demander s'il faut passer par la loi ou pas.
Comme je l'ai indiqué, je vous propose en premier lieu d'entendre la secrétaire d'État, puis de rencontrer les représentants de la Commission européenne pour voir si la transposition envisagée par le gouvernement français correspond à leur attente - n'oublions pas que l'on cherche à hausser le niveau de sécurité dans toute l'Union européenne. Votre proposition d'entendre la Cnil me semble tout à fait judicieuse, ne serait-ce qu'au sujet des sanctions ; je la retiens donc. Les rapporteurs, de leur côté, feront aussi des suggestions.
Mme Anne-Catherine Loisier. - Pourrions-nous disposer d'une note qui reprendrait tous les points stratégiques liés à la transposition des directives ?
M. Olivier Cadic, président. - Effectivement, il serait naturel d'avoir un cadrage de départ, notamment sur l'objectif de NIS 2 par rapport à NIS 1, pour nous mettre tous au même niveau d'information.
M. Thomas Dossus. - Avez-vous des éléments de calendrier à nous communiquer ?
M. Olivier Cadic, président. - Le calendrier sera arrêté lors de la réunion de bureau. Je souhaite que les professionnels puissent intervenir sous forme de table ronde, car vous risquez d'être très sollicités.
Mme Anne-Catherine Loisier. - Je me rappelle d'un entretien à ce sujet avec des opérateurs de territoires ultramarins. Ce serait bien de ne pas oublier cette dimension de la question.
M. Olivier Cadic, président. - Ce pourrait être dans le cadre d'une audition que j'aimerais organiser, avec possibilité d'interventions à distance. Nous y gagnerions.
La réunion est close à 15 h 35.