|
|
|
Le chapitre II du titre III du livre III de la première partie du code de la défense est ainsi modifié :
|
|
1° L’intitulé du chapitre est remplacé par l’intitulé suivant : « Résilience des activités d’importance vitale » ;
|
|
2° La section 1 est remplacée par les dispositions suivantes :
|
|
|
|
« Dispositions générales relatives aux activités d’importance vitale
|
|
« Art. L. 1332-1. – Pour l’application du présent chapitre, on entend par :
|
|
« 1° Activités d’importance vitale : les activités indispensables au fonctionnement de l’économie ou de la société ainsi qu’à la défense ou à la sécurité de la Nation ;
|
|
« 2° Infrastructure critique : tout ou partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système nécessaire à l’exercice d’une activité d’importance vitale ou dont une perturbation pourrait mettre gravement en cause la santé de la population ou l’environnement ;
|
|
« Parmi les infrastructures critiques, on distingue notamment :
|
|
« – les points d’importance vitale, c’est-à-dire les installations les plus sensibles, notamment celles qui sont difficilement substituables ;
|
|
« – les systèmes d’information d’importance vitale, c’est-à-dire les systèmes d’information nécessaires à l’exercice d’une activité d’importance vitale ou à la gestion, l’utilisation ou la protection d’une ou plusieurs infrastructures critiques ;
|
|
« Art. L. 1332-2. – I. – Sont désignés opérateurs d’importance vitale par l’autorité administrative :
|
|
« 1° Les opérateurs publics ou privés exerçant, au moyen d’infrastructures critiques situées sur le territoire national, une activité d’importance vitale.
|
|
« L’autorité administrative précise, le cas échéant, dans l’acte de désignation de l’opérateur d’importance vitale, l’activité ou la liste des activités d’importance vitale exercées par l’opérateur qui constituent des services essentiels au fonctionnement du marché intérieur de l’Union européenne définis par le règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels et qui, à ce titre, doivent être regardés comme des entités critiques au sens de cette directive ;
|
|
« 2° Les opérateurs publics ou privés, gestionnaires, propriétaires ou exploitants d’établissements mentionnés à l’article L. 511-1 du code de l’environnement ou comprenant une installation nucléaire de base mentionnée à l’article L. 593-2 du même code, lorsque la destruction ou l’avarie d’une ou plusieurs installations de ces établissements peut présenter un danger d’une particulière gravité pour la population ou l’environnement.
|
|
« II. – Ces opérateurs mettent en œuvre, à leurs frais, les obligations leur incombant prévues au présent chapitre.
|
|
« Lorsqu’un opérateur d’importance vitale exerce une activité d’importance vitale ou gère une infrastructure critique pour le compte d’une personne publique, cette dernière en est informée par l’autorité administrative.
|
|
|
|
« Dispositions applicables aux opérateurs d’importance vitale
|
|
« Art. L. 1332-3. – Les opérateurs d’importance vitale réalisent une analyse des risques de toute nature, y compris à caractère terroriste, qui pourraient perturber l’exercice de leurs activités d’importance vitale ou la sécurité de leurs infrastructures critiques, notamment des points d’importance vitale désignés par l’autorité administrative.
|
|
« Cette analyse est réalisée au plus tard dans un délai de neuf mois à compter de la désignation prévue au I de l’article L. 1332-2 et réévaluée au moins tous les quatre ans.
|
|
« Sur le fondement de cette analyse, les opérateurs d’importance vitale adoptent des mesures de résilience techniques, opérationnelles et organisationnelles, et proportionnées, afin d’assurer la continuité des activités d’importance vitale qu’ils exercent et de sauvegarder leurs infrastructures critiques.
|
|
« L’analyse des risques ainsi que les mesures de résilience sont détaillées dans un document dénommé “plan de résilience opérateur” élaboré par l’opérateur, au plus tard dans un délai de dix mois à compter de la désignation prévue au I de l’article L. 1332-2, et approuvé par l’autorité administrative.
|
|
« Lorsque, en application d’accords internationaux régulièrement ratifiés ou approuvés, de lois ou de règlements, l’opérateur a déjà décrit dans un document particulier tout ou partie des mesures prévues au troisième alinéa, l’autorité administrative peut décider que ce document tient lieu, pour tout ou partie, du “plan de résilience opérateur”.
|
|
« En cas de refus de l’opérateur d’élaborer ce plan, de le modifier afin de le rendre conforme aux exigences prévues au présent article ou de le mettre en œuvre, l’autorité administrative le met en demeure de le réaliser, de le modifier ou de le mettre en œuvre dans un délai qu’elle fixe et qui ne saurait être inférieur à un mois.
|
|
« L’autorité administrative peut assortir cette mise en demeure d’une astreinte d’un montant maximal de 5 000 euros par jour de retard.
|
|
« L’astreinte peut également être prononcée à tout moment, après l’expiration du délai imparti par la mise en demeure, s’il n’y a pas été satisfait, après que l’intéressé a été invité à présenter ses observations.
|
|
« Les opérateurs mentionnés au 2° du I de l’article L. 1332-2 mettent en œuvre ces mesures de résilience sous réserve des dispositions du titre Ier du livre V du code de l’environnement et des dispositions du chapitre III du titre IX du livre V du même code.
|
|
« Un décret en Conseil d’État précise la nature des mesures de résilience pour chaque catégorie d’opérateur d’importance vitale mentionnée au I de l’article L. 1332-2.
|
|
« Art. L. 1332-4. – Les opérateurs d’importance vitale réalisent, au plus tard dans un délai de neuf mois à compter de la désignation prévue au I de l’article L. 1332-2, une analyse de leurs dépendances à l’égard de tiers, y compris ceux situés en dehors du territoire national, pour l’exercice de leurs activités d’importance vitale. Celle-ci comprend notamment une analyse des éventuelles vulnérabilités de leurs chaînes d’approvisionnement. Les mesures de résilience adoptées par les opérateurs d’importance vitale tiennent compte de cette analyse.
|
|
« Les opérateurs d’importance vitale prennent les mesures nécessaires pour garantir l’application des dispositions prévues au présent chapitre.
|
|
« Art. L. 1332-5. – Les opérateurs dont un ou plusieurs points d’importance vitale sont désignés en application du présent chapitre réalisent pour chacun d’eux un document dénommé “plan particulier de résilience” détaillant les mesures de protection et de résilience les concernant.
|
|
« Ces mesures comportent notamment des dispositions efficaces de surveillance, d’alarme, de protection matérielle et de conditions d’accès. Le plan est approuvé par l’autorité administrative.
|
|
« Lorsque, en application d’accords internationaux régulièrement ratifiés ou approuvés, de lois ou de règlements, un point d’importance vitale fait déjà l’objet de mesures de protection suffisantes décrites dans un document particulier, l’autorité administrative peut décider que ce document tient lieu de “plan particulier de résilience”.
|
|
« En cas de refus de l’opérateur d’élaborer ce plan, de le modifier afin de le rendre conforme aux exigences prévues aux alinéas précédents ou de le mettre en œuvre, l’autorité administrative le met en demeure de le réaliser, de le modifier ou de le mettre en œuvre dans un délai qu’elle fixe et qui ne saurait être inférieur à un mois.
|
|
« L’autorité administrative peut assortir cette mise en demeure d’une astreinte d’un montant maximal de 5 000 euros par jour de retard.
|
|
« L’astreinte peut également être prononcée à tout moment, après l’expiration du délai imparti par la mise en demeure, s’il n’y a pas été satisfait, après que l’opérateur concerné a été invité à présenter ses observations.
|
|
« Art. L. 1332-6. – Avant d’accorder une autorisation d’accès physique ou à distance à ses points d’importance vitale et systèmes d’information d’importance vitale, l’opérateur d’importance vitale peut demander l’avis de l’autorité administrative compétente dans les conditions prévues par l’article L. 114-1 du code de la sécurité intérieure, selon des modalités fixées par décret en Conseil d’État, lorsqu’il estime nécessaire de s’assurer que le comportement de la personne devant faire l’objet de l’autorisation d’accès n’est pas de nature à porter atteinte à l’exercice d’une activité d’importance vitale ou à la sécurité d’une infrastructure critique.
|
|
« Il peut également solliciter cet avis avant le recrutement ou l’affectation d’une personne à un poste pour l’exercice duquel il est nécessaire d’avoir accès aux points d’importance vitale ou aux systèmes d’information d’importance vitale ou qui implique l’occupation de fonctions sensibles.
|
|
« Les fonctions sensibles sont celles qui sont indispensables à la réalisation d’une activité d’importance vitale ou dont l’occupation expose l’opérateur à des vulnérabilités. Elles sont énumérées par l’opérateur dans le plan de résilience prévu au quatrième alinéa de l’article L. 1332-3 en tenant compte, le cas échéant, de critères déterminés par l’autorité administrative en fonction du secteur d’activité de l’opérateur.
|
|
« Les cas dans lesquels les accès physiques ou à distance peuvent justifier la demande d’avis sont précisés par l’opérateur dans le plan de résilience prévu au quatrième alinéa de l’article L. 1332-3 et, le cas échéant, dans le plan particulier de résilience prévu à l’article L. 1332-5 en tenant compte des vulnérabilités à des actes de malveillance.
|
|
« La personne concernée est informée de l’enquête administrative dont elle fait l’objet.
|
|
« En cas d’avis défavorable de l’autorité administrative, l’opérateur d’importance vitale est tenu de refuser l’autorisation s’il est une personne morale de droit privé. Un avis défavorable ne peut être émis que s’il ressort de l’enquête administrative que le comportement de la personne ayant fait l’objet de l’enquête est de nature à porter atteinte à l’exercice d’une activité d’importance vitale ou à la sécurité d’une infrastructure critique.
|
|
« Art. L. 1332-7. – Les opérateurs d’importance vitale désignés au titre du 1° du I de l’article L. 1332-2 notifient à l’autorité administrative tout incident susceptible de compromettre la continuité de ses activités d’importance vitale dans un délai prévu par décret en Conseil d’État.
|
|
« L’autorité administrative informe le public de cet incident lorsqu’elle estime qu’il est dans l’intérêt général de le faire.
|
|
|
|
« Dispositions applicables aux entités critiques d’importance européenne particulière
|
|
« Art. L. 1332-8. – Les opérateurs d’importance vitale qui fournissent les mêmes services essentiels ou des services essentiels similaires dans au moins six Etats membres en informent l’autorité administrative au plus tard en même temps que la présentation pour approbation du plan de résilience prévu au quatrième alinéa de l’article L. 1332-3.
|
|
« Ces opérateurs sont identifiés comme entités critiques d’importance européenne particulière de l’opérateur dans les conditions prévues à l’article 17 de la directive (UE) du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil.
|
|
« Les opérateurs qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense, du nucléaire ou de la répression pénale, ou qui fournissent des services exclusivement destinés aux entités de l’administration publique exerçant dans ces domaines, peuvent être exonérés par l’autorité administrative de tout ou partie des obligations mentionnées à la présente sous-section, dans des conditions prévues par décret en Conseil d’État.
|
|
« Art. L. 1332-9. – Lorsque l’opérateur a été désigné par la Commission européenne comme entité critique d’importance européenne particulière il peut, avec l’accord de l’autorité administrative compétente, faire l’objet d’une mission de conseil au titre de laquelle il doit garantir l’accès aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels qui sont nécessaires à l’exécution de cette mission de conseil, dans le respect des secrets protégés par la loi.
|
|
« Sur le fondement des conclusions de la mission de conseil, l’opérateur se voit communiquer par la Commission européenne un avis sur le respect de ses obligations et, le cas échéant, sur les mesures qui pourraient être prises pour améliorer sa résilience. » ;
|
|
3° La section 1 bis devient une sous-section 3 de la section 1 ;
|
|
4° L’article L. 1332-6-1 A devient l’article L. 1332-10, et, dans cet article, les mots : « mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « mentionnés au I de l’article L. 1332-2 » ;
|
|
5° Les sections 2 et 3 sont remplacées par les dispositions suivantes :
|
|
|
|
« Dispositions applicables aux systèmes d’information
|
|
« Art. L. 1332-11. – I. – Pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, les opérateurs d’importance vitale mettent en œuvre les obligations prévues aux articles 14 et 16 et au premier alinéa de l’article 17 de la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
|
|
« II. – Pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d’information, le Premier ministre peut décider des mesures que les opérateurs mentionnés au I de l’article L. 1332-2 doivent mettre en œuvre.
|
|
|
|
« Contrôles et sanctions administratives
|
|
|
|
« Habilitation et contrôles
|
|
« Art. L. 1332-12. – Sont habilités à rechercher et constater les infractions et manquements aux prescriptions du présent chapitre, à l’exception de l’article L. 1332-11, ainsi qu’aux dispositions réglementaires prises pour son application, en vue de la saisine de la commission prévue à l’article L. 1332-15, les agents de l’État spécialement désignés et assermentés à cette fin dans des conditions précisées par décret en Conseil d’État.
|
|
« Art. L. 1332-13. – Les agents mentionnés à l’article L. 1332-12 ont accès, pour l’exercice de leurs missions, aux locaux des opérateurs d’importance vitale. Ils peuvent pénétrer dans les lieux à usage professionnel ou dans les lieux d’exécution d’une prestation de service.
|
|
« Ils peuvent accéder à tout document nécessaire à l’accomplissement de leur mission auprès des administrations publiques, des établissements et organismes placés sous le contrôle de l’État et des collectivités territoriales ainsi que dans les entreprises ou services concédés par l’État, les régions, les départements et les communes.
|
|
« Ils peuvent recueillir, sur place ou sur convocation, tout renseignement, toute justification ou tout document nécessaire aux contrôles. A ce titre, ils peuvent exiger la communication de documents de toute nature propres à faciliter l’accomplissement de leur mission. Ils peuvent les obtenir ou en prendre copie, par tout moyen et sur tout support, ou procéder à la saisie de ces documents en quelques mains qu’ils se trouvent.
|
|
« Ils peuvent procéder, sur convocation ou sur place, aux auditions de toute personne susceptible d’apporter des éléments utiles à leurs constatations. Ils en dressent procès-verbal. Les personnes entendues procèdent elles-mêmes à sa lecture, peuvent y faire consigner leurs observations et y apposent leur signature. En cas de refus de signer le procès-verbal, mention en est faite sur celui-ci.
|
|
« Ils sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, dans les conditions prévues à l’article 226-13 du code pénal. Le secret professionnel ne peut leur être opposé.
|
|
« Les infractions et les manquements sont constatés par des procès-verbaux, qui font foi jusqu’à preuve contraire. Il est dressé procès-verbal des vérifications et visites menées en application du présent article.
|
|
« Art. L. 1332-14. – Il est interdit de faire obstacle à l’exercice des fonctions des agents habilités. L’opérateur contrôlé est tenu de coopérer avec l’autorité administrative. Les agents mentionnés à l’article L. 1332-12 peuvent constater toute action de l’opérateur d’importance vitale de nature à faire obstacle au contrôle.
|
|
« Le fait pour quiconque de faire obstacle aux demandes de l’autorité compétente nécessaires à la recherche des manquements et à la mise en œuvre de ses pouvoirs de contrôle prévus par la présente sous-section, notamment en fournissant des renseignements incomplets ou inexacts, ou en communiquant des pièces incomplètes ou dénaturées, est puni d’une amende administrative prononcée par la commission des sanctions mentionnée à l’article L. 1332-15 dont le montant, proportionné à la gravité du manquement, ne peut excéder dix millions d’euros ou, lorsqu’il s’agit d’une entreprise, 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu.
|
|
« Ces dispositions ne s’appliquent pas à l’État et à ses établissements publics administratifs qui font l’objet d’un contrôle.
|
|
|
|
|
|
« Art. L. 1332-15. – Tout manquement aux dispositions du présent chapitre peut donner lieu aux sanctions prévues à l’article L. 1332-17, prononcées par une commission des sanctions instituée à cet effet auprès du Premier ministre.
|
|
« Cette commission est saisie par l’autorité administrative des manquements constatés lors des contrôles effectués en application de l’article L. 1332-13. Cette autorité notifie à l’opérateur concerné les griefs susceptibles d’être retenus à son encontre.
|
|
« La commission des sanctions reçoit les rapports et procès-verbaux des contrôles.
|
|
« Art. L. 1332-16. – La commission des sanctions mentionnée à l’article L. 1332-15 est composée :
|
|
« 1° D’un membre du Conseil d’État, président, désigné par le vice-président du Conseil d’État, d’un membre de la Cour de cassation désigné par le premier président de la Cour de cassation, d’un membre de la Cour des comptes désigné par le premier président de la Cour des comptes ;
|
|
« 2° Et de trois personnalités qualifiées nommées par le Premier ministre en raison de leurs compétences dans le domaine de la sécurité des activités d’importance vitale.
|
|
« Un suppléant est désigné dans les mêmes conditions pour les membres mentionnés au 1°.
|
|
« Les membres de la commission des sanctions exercent leurs fonctions en toute impartialité. Dans l’exercice de leurs attributions, ils ne reçoivent ni ne sollicitent d’instruction d’aucune autorité.
|
|
« Le président de la commission désigne un rapporteur parmi ses membres. Celui-ci ne peut recevoir aucune instruction.
|
|
« La commission des sanctions statue par décision motivée. Aucune sanction ne peut être prononcée sans que l’opérateur concerné ou son représentant ait été entendu ou, à défaut, dûment convoqué. La commission peut auditionner toute personne qu’elle juge utile.
|
|
« La commission statue à la majorité des membres présents. En cas de partage égal des voix, celle du président est prépondérante.
|
|
« Le président et les membres de la commission ainsi que leurs suppléants respectifs sont nommés par décret pour un mandat de cinq ans, renouvelable une fois. Ils sont tenus au secret professionnel.
|
|
« Art. L. 1332-17. – I. – En cas de manquement aux obligations découlant de l’application des dispositions du présent chapitre, la commission des sanctions peut prononcer à l’encontre des opérateurs d’importance vitale, à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder dix millions d’euros ou, lorsqu’il s’agit d’une entreprise, 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu.
|
|
« Lorsque la commission des sanctions envisage également de prononcer la sanction prévue au deuxième alinéa de l’article L. 1332-14, le montant cumulé ne peut excéder le montant maximum prévu à l’alinéa précédent.
|
|
« II. – En cas de manquement constaté aux obligations découlant de l’application des dispositions mentionnées aux 1° à 5° de l’article 26 de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, la commission des sanctions, dans la composition prévue à l’article 36 de cette loi, peut prononcer les sanctions prévues à l’article 28 et à l’article 37 de la même loi.
|
|
« Art. L. 1332-18. – La commission des sanctions peut ordonner la publication, la diffusion ou l’affichage de la sanction pécuniaire ou d’un extrait de celle-ci, selon les modalités qu’elle précise. Les frais sont supportés par la personne sanctionnée.
|
|
« Les sanctions pécuniaires sont versées au Trésor public et recouvrées comme créances de l’État étrangères à l’impôt et au domaine.
|
|
« Les recours formés contre les décisions de la commission des sanctions sont des recours de pleine juridiction.
|
|
« Art. L. 1332-19. – Les conditions d’application de la présente sous-section, notamment les règles de fonctionnement de la commission et les modalités de récusation de ses membres, sont définies par décret en Conseil d’État.
|
|
|
|
« Marchés publics et contrats de concession relatifs à la sécurité des activités d’importance vitale
|
|
« Art. L. 1332-20. – Les marchés publics des opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 sont soumis aux règles définies au titre II du livre V de la deuxième partie du code de la commande publique lorsque :
|
|
« – ces marchés publics concernent la conception, la qualification, la fabrication, la modification, la maintenance ou le retrait des structures, équipements, systèmes, matériels, composants ou logiciels nécessaires à la protection des infrastructures critiques de l’opérateur ou dont le détournement de l’usage porterait atteinte aux intérêts essentiels de l’État ;
|
|
« – et que cette protection ou la prévention de ce détournement d’usage ne peuvent être garanties par d’autres moyens.
|
|
« Art. L. 1332-21. – Les contrats de concession conclus par les opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 sont soumis aux règles définies au titre II du livre II de la troisième partie du code de la commande publique lorsque :
|
|
« – ces contrats de concession concernent la conception, la qualification, la fabrication, la modification, la maintenance ou le retrait des structures, équipements, systèmes, matériels, composants ou logiciels nécessaires à la protection des infrastructures critiques de l’opérateur ou dont le détournement de l’usage porterait atteinte aux intérêts essentiels de l’État ;
|
|
« – et que cette protection ou la prévention de ce détournement d’usage ne peuvent être garanties par d’autres moyens.
|
|
« Art. L. 1332-22. – Les opérateurs d’importance vitale qui passent un marché ou un contrat de concession en application des dispositions des articles L. 1332-20 et L. 1332-21 en informent l’autorité administrative dans les conditions et les délais précisés par décret. »
|
|
Chapitre II
Dispositions diverses
|