EXAMEN DES ARTICLES
TITRE IER
RÉSILIENCE DES ACTIVITÉS
D'IMPORTANCE VITALE
CHAPITRE IER
DISPOSITIONS GÉNÉRALES
Article 1er
Transposition de la directive (UE)
2022/2557 du Parlement européen et du Conseil du 14 décembre 2022
sur la résilience des entités critiques (REC)
Cet article vise à transposer en droit français la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, dite directive « REC ». Il renforce le dispositif actuel de sécurité des activités d'importance vitale (SAIV) instauré en 2006 en procédant à une actualisation du code de la défense.
La commission spéciale a adopté l'article premier modifié par 14 amendements des rapporteurs visant à :
- apporter des améliorations rédactionnelles et corriger une erreur matérielle ;
- définir les notions de « résilience » et d' « incident » ;
- clarifier la date à partir de laquelle une astreinte journalière pourra être appliquée ;
- inclure dans l'analyse des dépendances, qui devra être réalisée par les opérateurs d'importance vitale, l'analyse des vulnérabilités de leur chaîne de sous-traitance ;
- prévoir d'une part, que la notification d'incident doit intervenir au plus tard 24 heures après que l'opérateur en a pris connaissance, et d'autre part que le décret en Conseil d'État mentionné à l'alinéa 44 déterminera l'ensemble des conditions de mise en oeuvre de cette obligation de notification ;
- étendre l'applicabilité du moyen de démontrer la conformité aux règles de sécurité, prévue à l'article 15 du présent projet de loi, aux opérateurs d'importance vitale qui ne sont ni soumis à la directive « NIS 2 » en tant qu'entité essentielle ou importante, ni soumis à la directive « REC » ;
- modifier la composition de la commission des sanctions afin d'en renforcer les garanties d'indépendance.
Elle a par ailleurs adopté 4 amendements tendant à préciser la notion d'activité d'importance vitale (COM-31), la nature des risques devant être évalués par les opérateurs d'importance vitale (COM-35), les critères de définition des entités critiques d'importance européenne particulière (COM-42) et les conditions de mise en oeuvre d'une mission de conseil par la Commission européenne (COM-43).
La commission a adopté cet article ainsi modifié.
I. LE DROIT EXISTANT - DEPUIS 2006, LA FRANCE EST DOTÉE D'UN DISPOSITIF DESTINÉ À ASSURER LA SÉCURITÉ DES ACTIVITÉS D'IMPORTANCE VITALE
Mis en place en 2006, et inscrit dans le code de la défense aux articles L. 1332-1 à L. 1332-7 du code de la défense, le dispositif de sécurité des activités d'importance vitale (SAIV) a pour objectif de protéger certains opérateurs, qu'ils soient publics ou privés, considérés comme essentiels pour garantir la continuité des activités ayant trait, de manière difficilement substituable ou remplaçable, à la production et la distribution de biens ou de services indispensables, ou qui, dans certains cas, pourraient représenter un danger significatif pour la population.
Ces biens ou services doivent être indispensables :
- à la satisfaction des besoins essentiels pour la vie des populations ;
- ou à l'exercice de l'autorité de l'État ;
- ou au fonctionnement de l'économie ;
- ou au maintien du potentiel de défense ;
- ou à la sécurité de la Nation.
Un arrêté du Premier ministre du 2 juin 20062(*), modifié par un arrêté du 3 juillet 20083(*), fixe la liste des 12 secteurs d'activités d'importance vitale couverts par ce dispositif, qui concerne actuellement plus de 300 opérateurs d'importance vitale (OIV). Ces derniers sont définis à l'article L. 1332-1 du même code comme « les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Les OIV exercent leurs activités sur environ 1 500 points d'importance vitale (PIV), dont la protection est garantie par le secret de la défense nationale. Ils sont tenus, à leurs frais, d'assurer la sécurité de leurs sites et de leurs systèmes d'information les plus sensibles contre toute menace ou risque, notamment ceux à caractère terroriste.
Les modalités de mise en oeuvre du dispositif de SAIV sont fixées par l'instruction générale interministérielle relative à la sécurité des activités d'importance vitale n°6600/SGDSN/PSE/PSN du 7 janvier 2014 (IGI 6600) de laquelle sont issus les développements qui suivent.
A. LES ACTEURS DE LA SÉCURITÉ DES ACTIVITÉS D'IMPORTANCE VITALE
1. Au niveau national
Le Premier ministre est chargé de la mise en place du cadre général du dispositif de SAIV en fixant la liste des secteurs, en désignant les ministres coordonnateurs desdits secteurs, en déterminant la méthode d'analyse et de gestion du risque ainsi que la méthode à suivre pour déterminer, par secteur d'activités d'importance vitale, les scénarios de menace et leur hiérarchisation selon le type ou le niveau de menace envisagé, et en élaborant les plans-type des plans de sécurité opérateur (PSO), des plans particuliers de protection (PPP) et des plans de protection externe (PPE) (cf. infra).
Il supervise la mise en place du dispositif et oriente la stratégie de sécurité des activités d'importance vitale.
Le SGDSN coordonne le dispositif de SAIV. Il assure la présidence et le secrétariat de la commission interministérielle de défense et de sécurité (CIDS). Il est l'entité de synthèse nationale en ce qui concerne la progression de la réalisation des PSO et des PPP.
La CIDS a un rôle consultatif. Son avis est notamment sollicité sur :
- la désignation des OIV, sur proposition des ministères coordonnateurs (cf. infra) ;
- les directives nationales de sécurité (DNS), à l'exception de celles relevant du ministre chargé la défense ;
- les PSO, à l'exception de ceux relevant du ministre chargé de la défense, dont le périmètre dépasse celui d'une zone de défense ;
- la liste des PIV annexée aux PSO, avec la possibilité de proposer des ajouts et des suppressions.
Chacun des 12 secteurs d'activité couverts par le dispositif de SAIV est en outre suivi par un ministère coordonnateur.
|
Secteur |
Ministre coordonnateur |
|
1 - Activités civiles de l'État (ACE) |
Ministre de l'intérieur |
|
2 - Activités judiciaires |
Ministre de la justice |
|
3 - Activités militaires de l'État (AME) |
Ministre de la défense |
|
4 - Alimentation |
Ministre chargé de l'agriculture |
|
5 - Communications électroniques, audiovisuel et information |
Ministre chargé des communications électroniques |
|
6 - Energie |
Ministre chargé de l'énergie |
|
7 - Espace et recherche |
Ministre chargé de la recherche |
|
8 - Finances |
Ministre chargé de l'économie et des finances |
|
9 - Gestion de l'eau |
Ministre chargé de l'écologie |
|
10 - Industrie |
Ministre chargé de l'industrie |
|
11 - Santé |
Ministre chargé de la santé |
|
12 - Transports |
Ministre chargé des transports |
Les ministres coordonnateurs veillent à l'application du dispositif de SAIV dans les secteurs d'activités dont ils ont la charge et au sein desquels ils :
- élaborent la ou les DNS correspondantes ;
- sélectionnent et prennent les décisions de désignation des OIV après avis de la CIDS ;
- instruisent les PSO de ses OIV ;
- transmettent les PSO à la CIDS ou à la CZDS suivant le cas de figure (à l'exception du ministre chargé de la défense) ;
- prennent les décisions de désignation des PIV.
En raison de la nécessité de protection du secret de la défense, le ministre chargé de la défense, ministre coordonnateur du secteur des activités militaires de l'État (AME), bénéficie de dispositions dérogatoires au schéma général de mise en oeuvre du dispositif de SAIV.
Par ailleurs, outre son rôle de ministre coordonnateur du secteur d'activités « activités civiles de l'État », et sans préjudice des compétences nationales, générales et interministérielles dévolues au SGDSN et des compétences de coordination nationale des ministres dans le secteur d'activité dont ils sont coordonnateurs, l'animation de la mise en oeuvre territoriale est assurée par le ministère de l'intérieur, via les services du haut fonctionnaire de défense (SHFD).
2. À l'échelle territoriale
Le préfet de zone de défense et de sécurité est chargé de la coordination du dispositif de SAIV. Il préside la commission zonale de défense et de sécurité (CZDS).
La CZDS est chargée d'une mission générale de coordination, d'assistance, et de contrôle de la mise en oeuvre des PPP (à l'exception de ceux dépendant d'OIV relevant du ministre chargé de la défense). La commission, qui dispose d'un rôle consultatif, est sollicitée sur :
- les PSO des OIV dont le périmètre d'activité ne dépasse pas le ressort de la zone défense. Les PSO sont transmis à la CZDS par l'autorité administrative ayant désigné l'opérateur ;
- la liste des PIV annexée au PSO des OIV de son périmètre avec la capacité de proposer des ajouts ou suppressions ;
- la désignation et le périmètre exact d'une zone d'importance vitale ainsi que sur le PPP de zone d'importance vitale qui lui est transmis par le préfet de département ayant créé ladite zone ;
- la désignation, par un préfet de département, d'un OIV qui gère exclusivement un établissement mentionné à l'article L. 511-1 du code de l'environnement4(*) ou comprenant une installation nucléaire de base, quand la destruction ou l'avarie de certaines installations de cet établissement peut présenter un danger grave pour la population, et la désignation du PIV correspondant.
Sur demande de son président ou du préfet de département concerné, la commission peut également donner un avis sur les plans de protection externe.
Enfin, le préfet de département est chargé de la mise en oeuvre du dispositif de SAIV en application de la compétence générale qui lui est attribuée de conduite interministérielle des actions de l'État.
Cette responsabilité s'exerce notamment pour la protection externe des PIV, via le PPE. Il veille à la réalisation effective des mesures de sécurité prévues dans les PPP. Il peut saisir la CZDS de toute question qu'il juge utile. Sur convocation du préfet de zone, il participe à la CZDS.
Ses responsabilités particulières sont les suivantes :
- approbation du PPP des PIV des opérateurs ne relevant pas du ministre chargé de la défense, et du PPP des zones d'importance vitale ;
- décision d'équivalence entre un plan de protection réalisé au titre d'une autre réglementation, et le PPP ;
- élaboration du PPE de chaque PIV ou ZIV, en liaison avec le DDS de ce point ou de cette zone ;
- désignation des zones d'importance vitale (ZIV) après avis de l'officier général de la zone de défense et de sécurité lorsque celle-ci inclut un PIV relevant du ministère chargé de la défense ;
- désignation des OIV qui gèrent exclusivement un établissement mentionné à l'article L. 511-1 du code de l'environnement ou comprenant une installation nucléaire de base, quand la destruction ou l'avarie de certaines installations de cet établissement peut présenter un danger grave pour la population, et désignation du PIV correspondant ;
- mise en demeure de l'opérateur d'établir un PPP ;
- mise en demeure de l'opérateur d'exécuter une mesure de son PPP ;
- injonction à l'opérateur de modifier son PPP.
B. PROCESSUS DE DÉSIGNATION D'UN OIV ET D'UN PIV
Processus de désignation d'un opérateur d'importance vitale (OIV) initié par un ministre coordonnateur et par un préfet de département
ICPE : installations classées pour la protection de l'environnement
INB : installations nucléaires de base
Source : étude d'impact
Processus de désignation d'un point d'importance vitale
C. LE PROCESSUS DE PLANIFICATION
Le processus de planification, c'est-à-dire d'élaboration des documents présentant les mesures de protection et de continuité d'activité des opérateurs, auquel les OIV doivent se soumettre, découle d'une évaluation des risques et des menaces retracées au sein des directives nationales de sécurité (DNS).
La DNS s'applique à tout ou partie d'un secteur d'activités d'importance vitale. Elle décrit le périmètre du secteur ou du sous-secteur, elle en identifie les responsables, les processus et les enjeux et en définit le besoin de sécurité des fonctions essentielles. À la suite d'une analyse de risque dans laquelle sont énoncés et hiérarchisés les scénarios de menace, elle précise les objectifs et les politiques de sécurité du secteur ou du sous-secteur concerné. À cette fin, la DNS peut notamment définir la nature des opérateurs et des infrastructures susceptibles d'être désignés d'importance vitale au titre dudit secteur et préciser les critères de leur désignation.
Les DNS sont approuvées par arrêté du Premier ministre, après avis de la CIDS, puis transmises par le SGDSN aux ministres concernés, qui les relaient aux préfectures et aux services déconcentrés.
Sur la base des prescriptions de la ou des DNS qui leur ont été communiquées, les opérateurs sont tenus d'établir des documents de planification spécifiques (plan de sécurité opérateur ou PSO et plan particulier de protection ou PPP), qui comportent :
- l'identification des points d'importance vitale (PIV) ;
- l'analyse des risques et menaces susceptibles de les affecter (catastrophes naturelles, risques technologiques, pandémies, malveillance, cyberattaques, terrorisme, etc.) ;
- l'intégration des mesures Vigipirate propres à leur secteur d'activité ;
- l'établissement de plans de continuité ou de reprise d'activité (PCA/PRA) ;
- la désignation d'un délégué à la défense et à la sécurité (DDS), habilité au secret de la défense nationale et chargé de dialoguer avec le ministère coordonnateur. Un délégué local peut également être nommé pour chaque PIV ;
- la mise en oeuvre de mesures garantissant la protection des informations classifiées, comme le statut d'OIV ou la liste des PIV.
Les documents de planification prévus dans le dispositif actuel de sécurité des activités d'importance vitale
Le plan de sécurité opérateur (PSO), prévu aux articles R. 1332-19 à R. 1332-22 du code de la défense, est destiné à définir la politique et l'organisation de la sécurité pour les opérateurs d'importance vitale (OIV). Il repose sur une analyse des risques et prend en compte les directives nationales de sécurité (DNS). Ce document précise les mesures organisationnelles, préventives et protectrices à mettre en oeuvre pour chaque point d'importance vitale (PIV). Il est obligatoire uniquement si l'opérateur gère plusieurs PIV.
Le plan particulier de protection (PPP) de chaque point d'importance vitale est établi à partir du plan de sécurité d'opérateur d'importance vitale qui lui est annexé. Il comporte des mesures permanentes de protection et des mesures temporaires et graduées. Il prévoit aussi les délais de réalisation de ces mesures (article R. 1323-24 du code de la défense).
Le plan de protection externe (PPE) est un document classifié, élaboré par le préfet de département pour les PIV, en complément du PPP. Il précise les modalités d'intervention des forces de sécurité en cas d'agression sur le PIV, et décrit les moyens humains et matériels nécessaires. Sa rédaction implique les acteurs clés comme la gendarmerie ou la sécurité publique, et il doit être testé et actualisé régulièrement. Le PPE peut aussi inclure des mesures de contrôle des zones périphériques et organiser les échanges d'informations avec l'opérateur du PIV. Le PPE doit être communiqué aux services compétents, tout en préservant le secret de la défense nationale (article R. 1332-32 du code de la défense).
Aux termes du 3° de l'article R. 1332-18 du code de la défense, les plans types des plans de sécurité d'opérateurs d'importance vitale, des plans particuliers de protection et des plans de protection externe sont fixés par arrêtés du Premier ministre, après avis de la CIDS.
Enfin, le plan de continuité d'activité (PCA) a pour objet de décliner la stratégie et l'ensemble des dispositions qui sont prévues pour garantir à une organisation la reprise et la continuité de ses activités à la suite d'un sinistre ou d'un événement perturbant gravement son fonctionnement normal (article L. 2151-4 du code de la défense).
Schéma du processus d'élaboration du plan de sécurité opérateur pour les opérateurs ne relevant pas du ministère chargé de la défense
Source : étude d'impact
II. LE DISPOSITIF PROPOSÉ - LA MODIFICATION DU DISPOSITIF DE SAIV AU SEIN DU CODE DE LA DÉFENSE
A. UNE RÉVISION DU DISPOSITIF NATIONAL RENDUE NÉCESSAIRE PAR LA DIRECTIVE (UE) 2022/2557 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 14 DÉCEMBRE 2022 SUR LA RÉSILIENCE DES ENTITÉS CRITIQUES (REC)
Le 8 décembre 2008, l'Union européenne a adopté une directive5(*) visant à identifier et désigner les infrastructures critiques européennes et à évaluer les besoins en matière de protection renforcée. Ce texte, qui se limitait aux secteurs des transports et de l'énergie, a introduit la notion d'« infrastructures critiques » et en a proposé une définition harmonisée à l'échelle européenne. Ces infrastructures sont ainsi constituées par « un point, système ou partie de celui-ci, situé dans les États membres, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l'arrêt ou la destruction aurait un impact significatif dans un État membre du fait de la défaillance de ces fonctions. ».
La directive rappelle que la protection des infrastructures critiques relève principalement des États membres, ainsi que des propriétaires ou exploitants de ces infrastructures. Elle les incite à identifier celles ayant une dimension européenne, à les notifier aux autres États membres, et à mettre en place des points de contact et des plans de sécurité spécifiques pour leur protection. La Commission européenne peut, pour sa part, soutenir ces efforts en partageant des bonnes pratiques ou en proposant des formations.
Une évaluation menée par la Commission européenne en 2019 a mis en lumière la nécessité d'une mise à jour du dispositif. Celle-ci s'imposait face à l'émergence de nouvelles menaces, telles que l'aggravation du dérèglement climatique, l'usage accru des drones ou encore le développement de l'intelligence artificielle. L'évaluation a également souligné le besoin de passer d'une approche centrée sur des infrastructures isolées à une logique de protection des « entités », comprenant non seulement des infrastructures, mais aussi des réseaux (eau, énergie, communication) et des services essentiels.
Face à ces enjeux, l'Union européenne a adopté, le 14 décembre 2022, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (dite directive REC).
Négociée pour l'essentiel sous présidence française du Conseil de l'Union européenne (PFUE), cette directive établit un cadre minimal à l'échelle européenne afin d'assurer la « résilience » de tous les opérateurs d'entités critiques dans les États membres, élargissant ainsi le champ d'action au-delà des seules infrastructures critiques européennes.
Selon cette directive, les « entités critiques » incluent toute entité publique ou privée désignée par un État membre dans des secteurs stratégiques (articles 2 et 6). Elle s'inscrit dans un cadre législatif cohérent, en complément de la directive (UE) 2022/2555 sur la sécurité des réseaux face aux cyberattaques (SRI 2) et de la directive (UE) 2022/2556 relative à la résilience numérique dans le secteur financier (DORA).
Définitions issues de l'article 2 de la directive REC
1) « entité critique », une entité publique ou privée qui a été désignée par un État membre conformément à l'article 6 comme appartenant à l'une des catégories qui figurent dans la troisième colonne du tableau de l'annexe ;
2) « résilience », la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter et à s'en rétablir ;
3) « incident », un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d'un service essentiel, y compris lorsqu'il affecte les systèmes nationaux qui préservent l'état de droit ;
4) « infrastructure critique », un bien, une installation, un équipement, un réseau ou un système, ou une partie d'un bien, d'une installation, d'un équipement, d'un réseau ou d'un système, qui est nécessaire à la fourniture d'un service essentiel ;
5) « service essentiel », un service qui est crucial pour le maintien de fonctions sociétales ou d'activités économiques vitales, de la santé publique et de la sûreté publique, ou de l'environnement ;
6) « risque », le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l'ampleur de cette perte ou de cette perturbation et la probabilité que l'incident se produise ;
7) « évaluation des risques », l'ensemble du processus permettant de déterminer la nature et l'étendue d'un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d'un service essentiel causée par cet incident ;
8) « norme », une norme au sens de l'article 2, point 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil ;
9) « spécification technique », une spécification technique au sens de l'article 2, point 4), du règlement (UE) n° 1025/2012 ;
10) « entité de l'administration publique », une entité reconnue comme telle dans un État membre conformément au droit national, à l'exclusion de l'organisation judiciaire, des parlements et des banques centrales, qui satisfait aux critères suivants :
a) elle a été créée pour satisfaire des besoins d'intérêt général et n'a pas de caractère industriel ou commercial ;
b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d'une autre entité dotée de la personnalité juridique ;
c) elle est financée majoritairement par les autorités de l'État ou d'autres organismes de droit public de niveau central, ou sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d'administration, de direction ou de surveillance est composé, pour plus de la moitié, de membres désignés par les autorités de l'État ou d'autres organismes de droit public de niveau central ;
d) elle a le pouvoir d'adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux.
La directive (UE) 2022/2557 impose 3 principales obligations aux États membres : i) développer une stratégie nationale, ii) évaluer les risques auxquels les entités critiques sont exposées, et iii) identifier ces entités. Les États membres doivent également désigner des autorités compétentes pour garantir l'application de ces dispositions et établir un point de contact unique pour les échanges transfrontaliers concernant la résilience des entités critiques.
De leur côté, les entités critiques doivent évaluer leurs propres risques et mettre en oeuvre des mesures techniques, de sécurité et organisationnelles adaptées pour garantir leur résilience. Ces mesures peuvent figurer dans un plan spécifique et doivent inclure des mécanismes de notification rapide des incidents aux autorités compétentes, ainsi que des vérifications des antécédents des employés occupant des fonctions sensibles ou ayant accès aux systèmes stratégiques.
Enfin, la directive reconnaît une « importance européenne particulière » à toute entité critique désignée par un État membre et opérant des services similaires dans au moins 6 États membres.
Si la directive constitue un socle commun minimal, elle laisse aux États membres la liberté d'adopter des mesures nationales plus strictes. Elle prévoit en outre des clauses de sauvegarde, permettant aux États de ne pas appliquer ses dispositions à certaines entités liées à la défense ou à la sécurité nationale.
Le règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil identifie 11 secteurs couverts par la directive REC : i) énergie, ii) transports, iii) bancaire, iv) infrastructures des marchés financiers, v) santé, vi) eau potable, vii) eaux résiduaires, viii) infrastructures numériques, ix) administration publique, x) espace, xi) production, transformation et distribution de denrées alimentaires, chaque secteur comprenant plusieurs sous-secteurs.
La transposition de la directive REC se traduira par conséquent par un élargissement du champ d'application du dispositif national actuel à plusieurs sous-secteurs dont les réseaux de chaleur et de froid, l'hydrogène ou encore l'assainissement.
* 2 Arrêté du 2 juin 2006 fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs.
* 3 Arrêté du 3 juillet 2008 portant modification de l'arrêté du 2 juin 2006 fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs.
* 4 Les usines, ateliers, dépôts, chantiers et, d'une manière générale, les installations exploitées ou détenues par toute personne physique ou morale, publique ou privée, qui peuvent présenter des dangers ou des inconvénients soit pour la commodité du voisinage, soit pour la santé, la sécurité, la salubrité publiques, soit pour l'agriculture, soit pour la protection de la nature, de l'environnement et des paysages, soit pour l'utilisation économe des sols naturels, agricoles ou forestiers, soit pour l'utilisation rationnelle de l'énergie, soit pour la conservation des sites et des monuments ainsi que des éléments du patrimoine archéologique.
* 5 Directive 2008/114/CE du 8 décembre 2008