- L'ESSENTIEL
- LA FRANCE TRANSPOSE 3 DIRECTIVES EUROPÉENNES
POUR RENFORCER LA RÉSILIENCE ET LA CYBERSÉCURITÉ
- EXAMEN DES ARTICLES
- TITRE IER
RÉSILIENCE DES ACTIVITÉS D'IMPORTANCE VITALE
- CHAPITRE IER
DISPOSITIONS GÉNÉRALES
- Article 1er
Transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC)
- A. UNE RÉVISION DU DISPOSITIF NATIONAL
RENDUE NÉCESSAIRE PAR LA DIRECTIVE (UE) 2022/2557 DU PARLEMENT
EUROPÉEN ET DU CONSEIL DU 14 DÉCEMBRE 2022 SUR LA
RÉSILIENCE DES ENTITÉS CRITIQUES (REC)
- B. ARTICLES L. 1332-1 ET L. 1332-2 MODIFIÉS
- DÉFINITIONS
- C. ARTICLES L. 1332-3 À L. 1332-5
MODIFIÉS - OBLIGATIONS DES OIV DESTINÉES À ACCROÎTRE
LEUR RÉSILIENCE
- D. ARTICLE L. 1332-6 MODIFIÉ -
ENQUÊTES ADMINISTRATIVES DE SÉCURITÉ
- E. ARTICLE L. 1332-7 NOUVEAU - OBLIGATION DE
NOTIFICATION DES INCIDENTS
- F. ARTICLES L. 1332-8 ET L. 1332-9 NOUVEAUX -
DISPOSITIONS APPLICABLES AUX ENTITÉS CRITIQUES D'IMPORTANCE
EUROPÉENNE PARTICULIÈRE
- G. ARTICLE L. 1332-10 NOUVEAU - DISPOSITIFS
TECHNIQUES CONCOURANT À LA PROTECTION DES INSTALLATIONS D'IMPORTANCE
VITALE
- H. ARTICLE L. 1332-11 NOUVEAU - SYSTÈMES
D'INFORMATION D'IMPORTANCE VITALE
- I. ARTICLES L. 1332-12 ET L. 1332-13 NOUVEAUX -
HABILITATIONS ET CONTRÔLES
- J. ARTICLE L. 1332-14 À L. 1332-19 NOUVEAUX
- SANCTIONS ET MISE EN PLACE D'UNE COMMISSION DES SANCTIONS
- K. ARTICLES L. 1332-20 À L. 1332-22
NOUVEAUX - MARCHÉS PUBLICS ET CONTRATS DE CONCESSIONS RELATIVES À
LA SÉCURITÉ DES ACTIVITÉS D'IMPORTANCE VITALE
- CHAPITRE II
DISPOSITIONS DIVERSES
- Article 2
Actualisation de références législatives
- Article 3
Dispositions relatives à l'outre-mer
- CHAPITRE III
DISPOSITIONS TRANSITOIRES
- Article 4
Dispositions transitoires
- TITRE II
CYBERSÉCURITÉ
-
CHAPITRE IER
DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION
- Article 5
Missions et compétences de l'autorité nationale
- Article 5 bis (nouveau)
Stratégie nationale de cybersécurité
- CHAPITRE II
DE LA CYBER RÉSILIENCE
- Article 6
Définitions
- Article 7
Liste des secteurs d'activité « hautement critiques » et « critiques » du point de vue de la cybersécurité
- Article 8
Définition des entités « essentielles » du point de vue de la sécurité des systèmes d'information
- Article 9
Définition des entités « importantes » du point de vue de la sécurité des systèmes d'information
- Article 10
Autres entités susceptibles d'être désignées comme entités « essentielles » ou « importantes » du point de vue de la sécurité des systèmes d'information par arrêté du Premier ministre
- Article 11
Compétence et territorialité des dispositions du titre II sur la sécurité des systèmes d'information
- Article 12
Enregistrement des entités « essentielles » et « importantes » auprès de l'autorité nationale de sécurité des systèmes d'information
- Article 13
Absence d'application des dispositions du projet de loi aux entités soumises à des exigences équivalentes en application d'un acte juridique de l'Union européenne
- Article 14
Mise en place de mesures de cybersécurité par les entités « essentielles » et « importantes »
- Article 15
Opposabilité à l'ANSSI en cas de contrôle de la mise en oeuvre du référentiel qu'elle prescrit en matière de gestion des risques cyber
- Article 16
Exigences de protection cyber supplémentaires pour les OIV et pour les administrations
- Article 17
Obligation de notification à l'Anssi par les entités régulées des incidents importants en matière de cybersécurité, notification aux destinataires des services et information du public
- Article 18
Détermination des critères territoriaux pour l'application aux offices et aux bureaux d'enregistrement des noms de domaine
- Article 19
Obligation pour les offices et les bureaux d'enregistrement des noms de domaine de mettre en place une base de données
- Article 20
Durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines
- Article 21
Obligation de publication des données d'enregistrement d'un nom de domaine
- Article 22
Obligation de communiquer les données collectées par les offices et bureaux d'enregistrement à l'autorité judiciaire et à l'Anssi pour les besoins des procédures pénales ou de la sécurité des systèmes d'information
- Article 23
Dérogation aux secrets protégés par la loi pour la communication d'informations en matière de cybersécurité entre l'Anssi et plusieurs de ses interlocuteurs
- Article 24
Agrément par l'Anssi d'organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents cyber
- CHAPITRE III
DE LA SUPERVISION
- Article 25
Prescription par l'Anssi de mesures nécessaires en cas de menace pour la sécurité des systèmes d'information de plusieurs types d'entités
- Article 26
Habilitation des agents de plusieurs organismes à rechercher et constater les manquements et infractions en matière de cybersécurité
- Article 27
Droits et obligations des agents chargés d'un contrôle de l'Anssi
et de la personne contrôlée
- Article 28
Devoir de coopération de la personne contrôlée et amende administrative
en cas d'obstacle à un contrôle
- Article 29
Forme et prise en charge financière des contrôles
- Article 30
Modalités d'application des dispositions relatives aux prérogatives de l'Anssi en matière de recherche et de constatation des manquements
- Article 31
Ouverture d'une procédure à l'encontre de la personne contrôlée
- Article 32
Mesures d'exécution
- Article 33
Saisine de la commission des sanctions
- Article 34
Modalités d'application des dispositions relatives à la procédure pouvant être engagée par l'Anssi à l'encontre de la personne contrôlée
- Article 35
Compétence de la commission des sanctions
- Article 36
Composition de la commission des sanctions
- Article 37
Sanctions en cas de manquements aux obligations en matière de cybersécurité
- CHAPITRE IV
DISPOSITIONS DIVERSES D'APPLICATION
- Article 38
Alléger le contrôle des biens de cryptologie
- Article 39
Abrogation de la transposition de la directive NIS 1 et simplification du cadre réglementaire
- Article 40
Mesures applicables à l'outre-mer pour les territoires sous spécialité législative
- CHAPITRE V
DISPOSITIONS RELATIVES AUX COMMUNICATIONS ÉLECTRONIQUES
- Article 41
Renforcement des sanctions pénales pour améliorer la lutte contre les brouillages
- Article 42
Renforcement des conditions d'accès à une assignation de fréquences déposée par la France auprès de l'Union internationale des télécommunications
- TITRE II
CYBERSÉCURITÉ
-
CHAPITRE IER
DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION
- Article 43 A
Désignation de la Banque de France et de l'Autorité de contrôle prudentiel et de résolution comme autorités compétentes dans le cas où une entité financière est assujettie à plusieurs autorités de supervision
- Article 43
Modification de la définition des prestataires de services techniques
- Article 44
Maintien de la résilience opérationnelle des gestionnaires de plateformes de négociation
- Article 45
Gestion du risque lié aux technologies de l'information et de la communication par les entreprises de marché
- Article 46
Références aux risques liés aux technologies de l'information et de la communication au sein des dispositifs de gestion des risques des établissements de crédit et des sociétés de financement
- Article 47
Références aux réseaux et systèmes d'information au sein des exigences de contrôle interne des établissements de crédit et des sociétés de financement
- Article 48
Obligations des prestataires de services de paiement en matière de gestion du risque lié aux technologies de l'information et de la communication
- Article 49 A
Extension de l'application du règlement DORA aux succursales d'entreprises d'investissement de pays tiers
- Article 49
Modifications de la liste des prestataires de services de paiement soumis à une obligation de notification des incidents opérationnels
- Article 50
Référence aux réseaux et systèmes d'information au sein des exigences de contrôle et de sauvegarde des prestataires de service d'investissement
- Article 51
Systèmes de technologies de l'information et de la communication (TIC) et dispositifs de contrôle des prestataires de services d'investissement
- Article 52
Systèmes de contrôle des risques mis en oeuvre par les prestataires de services d'investissement autres que les sociétés de gestion de portefeuille qui ont recours à la négociation algorithmique
- Article 53
Références aux prestataires informatiques critiques au sein des tiers auxquels l'Autorité de contrôle prudentiel et de résolution peut demander toute information
- Article 54
Référence à la résilience opérationnelle numérique au sein des plans préventifs de résolution des établissements de crédit et des sociétés de financement
- Article 55
Extension de la liste des autorités habilitées à s'échanger des informations
- Article 56
Adaptations pour rendre applicables en outre-mer les modifications du code monétaire et financier prévues par le présent projet de loi
- CHAPITRE II
DISPOSITIONS MODIFIANT LE CODE DES ASSURANCES
- Article 57
Nouvelles obligations pour les entreprises d'assurance et de réassurance en matière de gouvernance des risques liés à l'utilisation des systèmes d'information
- Article 58
Extension aux groupes d'assurance des nouvelles obligations de gouvernance des risques liés à l'utilisation des systèmes d'information
- CHAPITRE III
DISPOSITIONS MODIFIANT LE CODE DE LA MUTUALITÉ
- Article 59
Nouvelles obligations pour les unions et mutuelles du code de la mutualité en matière de gouvernance des risques liés à l'utilisation des systèmes d'information
- Article 60
Suppression des dispositions redondantes dans le code de la mutualité
- CHAPITRE IV
DISPOSITIONS MODIFIANT LE CODE DE LA SÉCURITÉ SOCIALE
- Article 61
Nouvelles obligations pour les institutions de prévoyance et unions du code de la sécurité sociale en matière de gouvernance des risques liés à l'utilisation des systèmes d'information
- CHAPITRE V
DISPOSITIONS FINALES
- Article 62 A
Absence de double assujettissement à « DORA » et « NIS 2 »
- Article 62
Dates d'application des dispositions du titre III sur la résilience opérationnelle numérique du secteur financier
- CHAPITRE II
- TITRE IER
- TRAVAUX EN COMMISSION
- RÈGLES RELATIVES À L'APPLICATION DE
L'ARTICLE 45 DE LA CONSTITUTION ET DE L'ARTICLE 44 BIS DU RÈGLEMENT DU
SÉNAT
- LISTE DES PERSONNES ENTENDUES
- LISTE DES CONTRIBUTIONS ÉCRITES
- LISTE DES DÉPLACEMENTS
- LA LOI EN CONSTRUCTION
Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Rapports législatifs
Rapport n° 393 (2024-2025), déposé le