N° 393
SÉNAT
SESSION ORDINAIRE DE 2024-2025
Enregistré à la Présidence du Sénat le 4 mars 2025
RAPPORT
FAIT
au nom de la commission spéciale (1) sur le
projet de loi relatif
à la
résilience des
infrastructures critiques
et au renforcement de la
cybersécurité (procédure
accélérée),
Par MM. Michel CANÉVET, Patrick CHAIZE et Hugues SAURY,
Sénateurs
(1) Cette commission est composée de : M.
Olivier Cadic, président ; Mme Hélène
Conway-Mouret, M. Bernard Fialaire, Mmes Michelle
Gréaume, Nadège Havet, Christine Lavarde, Audrey Linkenheld, M.
Akli Mellouli,
Mme Vanina Paoli-Gagin, MM. Cédric Perrin,
André Reichardt, vice-présidents ; MM. Étienne
Blanc, Rémi Cardon, Mme Catherine Morin-Desailly,
secrétaires ; Mmes Florence Blatrix Contat, Sophie Briante
Guillemont, MM. Laurent Burgoa,
Michel Canévet, Patrick Chaize, Mme
Patricia Demas, MM. Thomas Dossus, Fabien Gay, Mme Sylvie Goy-Chavent,
MM.
Ludovic Haye, Loïc Hervé, Stéphane Le Rudulier, Mme
Anne-Catherine Loisier, MM. Claude Malhuret, Damien Michallet, Mmes Laurence
Muller-Bronn, Corinne Narassiguin, MM. Cyril Pellevat, Rémy Pointereau,
Mme Olivia Richard, MM. David Ros, Hugues Saury, Mickaël Vallet.
Voir les numéros :
|
Sénat : |
33 et 394 (2024-2025) |
L'ESSENTIEL
LA FRANCE TRANSPOSE 3 DIRECTIVES EUROPÉENNES POUR RENFORCER LA RÉSILIENCE ET LA CYBERSÉCURITÉ
Les attaques par rançongiciel ont augmenté de 30 % entre 2022 et 2023. La cybermenace n'épargne plus aucun secteur de la vie économique et sociale : 34 % de ces attaques visaient des TPE/PME, 24 % des collectivités territoriales, 10 % des entreprises stratégique, 10 % des établissements de santé et 9 % des établissements d'enseignement supérieur.
Ce phénomène a conduit l'Union européenne à adopter, en 2022, trois directives, pour lesquelles le projet de loi relatif à résilience des infrastructures critiques et au renforcement de la cybersécurité prévoit la transposition :
- la directive sur la résilience des entités critiques (REC) actualise le dispositif français de sécurité des activités d'importance vitale, augmentera de 2 à 6 les secteurs concernés et multipliera par 5 le nombre des opérateurs concernés de 300 à environ 1 500 ;
- la directive Network and Information Security (NIS 2), visant à assurer un niveau élevé de cybersécurité dans l'ensemble de l'Union, va porter les 6 secteurs essentiels actuels à 18 secteur critiques et élargir le périmètre de régulation à 15 000 entités essentielles et importantes et près de 1 500 collectivités territoriales ;
- la directive Digital Operational Resilence Act (DORA) relative à la résilience opérationnelle numérique du secteur financier, bancaire et assurantiel.
***
La commission spéciale, présidée par Olivier Cadic, a adopté, le 4 mars 2024, le projet de loi relatif à résilience des infrastructures critiques et au renforcement de la cybersécurité. Le texte issu des débats de commission est enrichi de 61 amendements dont 53 de ses rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury.
La montée de la cybermenace illustrée par les attaques de rançongiciels
 Source : ANSSI - Panorama de la cybermenace 2023 |
 |
I. TROIS DIRECTIVES EUROPÉENNES POUR RENFORCER LA RÉSILIENCE DES ENTITÉS CRITIQUES ET LA CYBERSÉCURITÉ
A. REC : LE PASSAGE D'UNE LOGIQUE DE PROTECTION À UNE APPROCHE DE RÉSILIENCE
Le titre I du projet de loi vise à transposer la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC », en modifiant le code de la défense.
La directive REC, qui a été négociée sous présidence française de l'Union européenne, s'inspire en grande partie du dispositif français existant. Sa transposition en droit national consiste donc essentiellement en une actualisation du dispositif de sécurité des activités d'importance vitale (SAIV) en place depuis 2006.
Ce texte a pour ambition de fournir à l'ensemble des opérateurs du marché intérieur des standards de sécurité équivalents tout en offrant des règles de concurrence plus équitables.
Le Gouvernement a ainsi fait le choix de s'appuyer sur ce dispositif, en reprenant par exemple la terminologie existante, plutôt que de créer un dispositif ex nihilo. Cette décision semble opportune, le dispositif de SAIV étant désormais bien connu et maîtrisé par les opérateurs concernés. Par ailleurs, le nombre d'opérateurs d'importance vitale (OIV), qui est d'environ 300, ainsi que le nombre de points d'importance vitale, de l'ordre de 1 500, ne devraient pas évoluer de manière significative.
Toutefois, cette transposition marque un changement important de philosophie : elle acte le passage d'une logique de protection des infrastructures d'importance vitale à une approche axée sur la résilience.
Les obligations inscrites dans le projet de loi sont conformes à la directive
? Le champ d'application de la directive comprend 11 secteurs, contre 2 seulement antérieurement - énergie et transport - dans la directive de 2008. Concrètement, pour la France, la transposition de la directive REC se traduira par un élargissement du champ d'application du dispositif national actuel à plusieurs sous-secteurs, notamment les réseaux de chaleur et de froid, l'hydrogène et l'assainissement ;
? Le texte prévoit la réalisation d'un « plan de résilience opérateur », qui reprendra en partie le contenu des documents existants.
? Il impose également une obligation de notification des incidents et prévoit que les opérateurs désignés comme entités critiques d'importance européenne particulière, c'est-à-dire exerçant la même activité ou une activité similaire dans au moins six États membres, pourront faire l'objet d'une mission de conseil organisée par la Commission européenne ;
? Un mécanisme de sanction administrative pouvant être prononcée par une commission des sanctions créée à cet effet est prévu en cas de manquement. Ce dernier point posant la question des plafonds de sanction - 2 % du chiffre d'affaires ou 10 millions d'euros - inscrits qui, dans le projet de loi, sont plus élevés que dans d'autres États membres.