III. LES APPORTS DE LA COMMISSION SPÉCIALE
La commission spéciale a adopté 61 amendements dont 53 de ses rapporteurs pour préciser les modalités de transposition des 3 directives. En outre, les rapporteurs ont décidé de réserver pour la discussion en séance publique le dépôt de plusieurs amendements nécessitant des éclaircissements et des engagements du Gouvernement.
A. DES MODALITÉS DE TRANSPOSITION À PRÉCISER
18 amendements du rapporteur Hugues Saury, dont 6 amendements rédactionnels, complètent et encadrent les définitions et délais d'application (REC et NIS 2)
· Transposer la définition des notions d'incident et de résilience (article 1er), d'incident et de vulnérabilité (article 6) conformément à la lettre de la directive ;
· Modifier la composition de la commission des sanctions pour en renforcer les garanties d'indépendance (article 1er) ;
· Étendre le champ de l'analyse des dépendances devant être réalisée par les opérateurs d'importance vitale aux sous-traitants (article 1er) ;
· Différer l'entrée en vigueur du titre Ier pour éviter que certains opérateurs ne soient soumis à des délais raccourcis pour satisfaire à leurs obligations (article 4).
27 amendements du rapporteur Patrick Chaize, dont 10 amendements rédactionnels, visent à clarifier les obligations pesant sur les entités assujetties (NIS 2)
· Inscrire dans la loi l'élaboration par le Gouvernement d'une stratégie nationale de cybersécurité et les modalités de contrôle parlementaire de son application (article 5 bis) ;
· Inscrire dans la loi la liste des secteurs hautement critiques et critiques (article 7) et les modalités de sa mise à jour (article 12) ;
· Élever la supervision de la cybersécurité au niveau des organes de direction des entités et veiller à l'exigence de proportionnalité des obligations qui leur sont imposées (article 14) ;
· Préciser les modalités de notification des incidents à l'ANSSI, notamment en supprimant la notion d'« incident critique », qui, dans le projet de loi, vient s'ajouter à celui d'« incident important », ce qui est source de complexité inutile (article 17) ;
· Encadrer le coût des contrôles restant à la charge des entités contrôlées en le limitant aux seuls cas où des manquements sont constatés (article 29) ;
· Préciser les règles de nomination des personnalités qualifiées au sein de la commission de sanction (article 36).
8 amendements du rapporteur Michel Canévet, dont 2 amendements rédactionnels, visent trois objectifs (DORA)
· Éviter des différences de traitement injustifiées entre les entreprises par l'application du règlement DORA aux succursales d'entreprises d'investissement de pays tiers (article 49) ;
· Simplifier la vie des entreprises, en créant un guichet unique de notification des cyber-incidents (article 43 A), en fusionnant des dispositifs de déclarations d'incidents (article 49) et en évitant le double assujettissement à la directive NIS 2 et au paquet DORA (article 62 A) ;
· Modérer les effets des surtranspositions en supprimant l'article 53, qui introduisait une précision superfétatoire et sans doute contreproductive concernant les pouvoirs du secrétaire général de l'Autorité de contrôle prudentiel et de résolution, et en reportant l'entrée en vigueur du titre III de la loi au 1er janvier 2030 pour les sociétés de financement (article 62), auquel le règlement DORA ne fait pas référence.
En outre, 8 amendements déposés respectivement par Mmes Audrey Linkenheld (1), Catherine Morin-Desailly (2), Vanina Paoli-Gagin (1) et M. Mickaël Vallet (4) ont apporté des précisions sur les notions d'activité d'importance vitale, sur la nature des risques à évaluer (article 1er), sur l'accompagnement par l'ANSSI des entités assujetties (article 5), sur la demande d'avis de la CNIL sur le décret définissant les informations à transmettre (article 12) et leur limitation au seul domaine cyber (article 23).