Mme Cécile Cukierman. Très bien !
Mme Michelle Gréaume. En effet, les entités devront s’identifier elles-mêmes et se mettre en conformité. Comme le soulignent de nombreux avis, assumer cette charge constituera un défi pour nombre d’entre elles, en termes financiers, mais aussi en ce qui concerne les compétences qu’elles devront acquérir ou développer.
Au-delà des coûts, c’est la possibilité même de trouver des personnels suffisamment qualifiés pour mettre en œuvre ces dispositions qui suscite des interrogations dans certaines régions où les ressources humaines sont rares et où, nous le savons, le recours aux prestataires de cybersécurité se traduira par des hausses de prix, dont les conséquences financières sont mal anticipées par le Gouvernement.
J’y insiste, cette interrogation sur les compétences est l’aboutissement de choix politiques d’externalisation des compétences et de plateformisation de l’action publique.
Ce texte, malheureusement, ne permettra pas d’enrayer la concentration des ressources et des services critiques entre les mains de grandes entreprises transnationales, majoritairement extraeuropéennes – IBM, Intel, Google, Microsoft, Amazon, etc. Or cela conditionne directement l’autonomie stratégique des États et leur capacité à définir les futurs modèles de production et d’innovation industrielles.
Tous ces points sont absents de ce projet de loi.
Enfin, au-delà du fond, nous émettons les réserves les plus vives quant à la méthode du Gouvernement, car ce texte renvoie à quarante reprises à des décrets d’application ou à des mesures réglementaires ultérieures.
M. le président. Il faut conclure, ma chère collègue.
Mme Michelle Gréaume. Pour les parlementaires du groupe Communiste Républicain Citoyen et Écologiste – Kanaky (CRCE-K), l’enjeu, au-delà de la seule logique de résilience, est celui de l’émancipation technologique et économique face aux grandes plateformes numériques et aux multinationales. (Applaudissements sur les travées du groupe CRCE - K.)
Mme Cécile Cukierman. Très bien !
M. le président. La parole est à M. Akli Mellouli. (Applaudissements sur les travées du groupe GEST.)
M. Akli Mellouli. Monsieur le président, madame la ministre, mes chers collègues, dans un contexte marqué par l’apparition de nouvelles tensions géopolitiques et d’une guerre hybride, nous devons nous mobiliser contre les nouveaux risques liés à la cybermenace, qui s’est accrue sur notre territoire.
C’est dans ce contexte que nous devons adapter notre droit et nous prononcer sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, lequel transpose trois directives européennes : Dora, REC et NIS 2. Celles-ci nous permettront de protéger nos collectivités, nos infrastructures critiques et nos entreprises face à la cybercriminalité.
Si la transposition de ces trois directives est indispensable en raison de l’accroissement de la cybercriminalité, nous devons nous interroger sur les moyens et l’accompagnement des acteurs appelés à les mettre en œuvre.
La directive REC a été négociée et adoptée sous la présidence française du Conseil de l’Union européenne. Elle correspond à la stratégie française de la protection des activités. Il s’agit de se rapprocher de l’objectif de résilience de nos infrastructures d’importance vitale. Ce projet de loi permettra, s’il est adopté, de compléter notre stratégie actuelle, en l’étendant à de nombreux secteurs, notamment à la santé publique et à l’environnement.
Par ailleurs, la définition des infrastructures critiques retenue dans le projet de loi permet d’aller plus loin que ce qui est prévu dans la directive, laquelle ne mentionne que les infrastructures nécessaires « à la fourniture d’un service essentiel » : la définition du projet de loi inclut, quant à elle, les sites industriels ou les installations publiques dont les dysfonctionnements sont susceptibles d’avoir des conséquences graves pour la population et son environnement. Nous saluons cette évolution.
Néanmoins, les efforts demandés à ces entités critiques sont importants : les difficultés financières, humaines et matérielles, susceptibles d’être occasionnées par l’application de ce texte, ne peuvent être occultées.
Les inquiétudes dont nous ont fait part les plus petites structures soumises à ces obligations sont légitimes. Pour les collectivités, les nouvelles mesures risquent de se traduire par des charges supplémentaires, dans un contexte où elles sont invitées par l’État – quand elles n’y sont pas contraintes – à réduire leurs dépenses.
J’en viens maintenant à la transposition de la directive Dora sur la résilience opérationnelle numérique des acteurs financiers. Il est indispensable que ces acteurs se dotent de moyens pour résister aux menaces auxquelles ils font face, car leur vulnérabilité est particulièrement forte dans un secteur interconnecté et complexe.
Le projet de loi transpose ainsi de manière efficace cette directive. Il permettra de réglementer avec rigueur un secteur largement exposé aux cybermenaces.
Enfin, NIS 2, qui a pour objectif d’assurer un niveau de cybersécurité élevé, est une directive ambitieuse. Nous devons toutefois nous interroger sur les modalités de sa mise en œuvre.
Nous faisons face à un accroissement général de la cybermenace. Nos infrastructures critiques sont déjà concernées par ces enjeux. Désormais, nos collectivités sont aussi vulnérables face à ce risque. Les récentes attaques contre nos mairies ou nos hôpitaux nous rappellent qu’il est nécessaire d’anticiper la menace. Les cyberattaques représentent un coût important pour l’ensemble des acteurs de la sphère publique.
C’est pourquoi le projet de loi, qui procède à la transposition de la directive NIS 2 dans notre droit, prévoit d’inclure, dans le périmètre de la régulation, près de 1 500 collectivités territoriales, ainsi que quelque 15 000 entités essentielles.
Si le groupe écologiste salue cette volonté de mettre en œuvre une véritable protection et d’assurer la résilience de nos infrastructures critiques et de nos collectivités, il émet néanmoins quelques réserves sur les moyens dont disposent l’ensemble des acteurs concernés tant dans la mise en œuvre des dispositions de NIS 2 que dans leur contrôle.
Le passage à l’échelle induit par la directive NIS 2 constitue un défi majeur, puisque le nombre d’entités régulées sera porté de 500 à 15 000 et que le nombre de secteurs concernés passera de six à dix-huit. Cette mise en conformité représente un coût estimé à 2 milliards d’euros, dont 690 millions d’euros par an pour les collectivités, alors même que nombre d’entre elles manquent de ressources humaines et techniques en cybersécurité.
Nous regrettons ainsi l’absence d’un véritable plan d’accompagnement des acteurs, qui aurait permis de conforter l’approche visant à renforcer la résilience.
Par ailleurs, nous déplorons l’instauration de sanctions financières importantes, dans un contexte où les collectivités, leurs groupements et leurs établissements publics administratifs souffrent d’ores et déjà de fortes contraintes budgétaires.
Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes.
Aussi, le groupe écologiste proposera par voie d’amendement une exonération des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d’information, afin d’éviter des contraintes supplémentaires.
Nous aurions aimé qu’une approche alternative aux sanctions financières soit mise en place autour d’un véritable plan national d’accompagnement. Cela aurait permis de clarifier le rôle des centres de réponse aux incidents cyber, les Csirt (Computer Security Incident Response Team), en précisant leur financement ainsi que les modalités de l’accompagnement de ces entités nouvellement soumises à la directive NIS2 et de la mutualisation des moyens de nos collectivités.
Mes chers collègues, nous le savons, ce projet de loi est nécessaire. Il permet des avancées en apportant des réponses aux enjeux vitaux de la cybersécurité et en amorçant la réflexion sur la construction d’une cybersécurité territoriale.
Néanmoins, les circonstances budgétaires ne permettent pas aux acteurs concernés d’avancer dans cette voie sereinement. Une approche solidaire d’accompagnement par l’État est essentielle pour éviter que les petites collectivités ne soient laissées seules face aux cybermenaces. Celles-ci sont en progression sur notre sol et ne peuvent nous laisser sans réaction.
C’est pourquoi le groupe Écologiste – Solidarité et Territoires votera pour ce projet de loi, même si nous aurions souhaité aller plus loin dans l’élaboration d’une stratégie européenne de nature à nous assurer autonomie et souveraineté en la matière. (Applaudissements sur les travées du groupe GEST.)
M. le président. La parole est à Mme Audrey Linkenheld. (Applaudissements sur les travées du groupe SER.)
Mme Audrey Linkenheld. Monsieur le président, madame la ministre, mes chers collègues, du 1er au 3 avril 2025, Lille accueillera, comme chaque année, le Forum international de la cybersécurité (FIC), qui réunit les principaux acteurs du secteur. C’est dire si l’enjeu cyber est bien identifié dans cette ville. Et pourtant, en mars 2023, elle a subi une intrusion dans son système informatique dont le coût a été évalué à près de 2 millions d’euros. Certes, les assurances couvriront une partie des frais et aucune donnée n’a été perdue, mais le fonctionnement habituel de la collectivité a été fortement perturbé.
Lille a été victime d’une attaque malgré l’écosystème cyber qui l’entoure. Une collectivité sur dix déclare l’avoir été dans les douze derniers mois, d’après le baromètre de la maturité cyber des collectivités publié à l’occasion du dernier salon des maires. On voit bien là à quel point la menace cyber a évolué depuis une dizaine d’années : elle est devenue systémique.
Une législation européenne en construction permanente tente de faire face à ces évolutions technologiques rapides et de contrer les attaques d’ampleur par une meilleure prévention et une plus grande coordination entre les États membres.
Comme nous l’avions signalé dans la proposition de résolution européenne présentée avec Catherine Morin-Desailly et Cyril Pellevat, il faut prendre garde à ce que cet enchaînement de textes européens ne complexifie pas l’ensemble du paysage en matière de cybersécurité. Nous devons aussi veiller au financement de tous les investissements induits.
Cette question financière est l’une de celles qui se posent dans le cadre du projet de loi que nous examinons et qui a pour objet de transposer – enfin, oserai-je dire – la directive sur la résilience des entités critiques, la directive NIS 2, qui étend le dispositif actuel de prévention et de protection à un plus large tissu économique et social ainsi qu’au secteur public, et le règlement Dora, applicable aux entités financières.
Avec ces textes, c’est un changement d’échelle qui s’opère en ce qui concerne tant les exigences de sécurisation des systèmes d’information et de résilience que les catégories d’entités visées. Environ 15 000 entreprises nouvelles sont concernées et 1 500 collectivités, à savoir les régions, les départements, les métropoles, les communautés urbaines, les communautés d’agglomération et les communes de plus de 30 000 habitants, deviennent des entités essentielles. Et c’est sans compter les collectivités qui sont désormais considérées comme des entités importantes.
Le défi pour ces structures publiques et privées est de taille : il importe de mieux se protéger, comme le montre mon exemple lillois. Cependant, le retard collectif d’investissement dans le domaine de la cybersécurité ne sera pas aisé à rattraper.
Les fortes tensions sur la filière des métiers cyber nous semblent être un point d’alerte majeur, tout comme les coûts en matière d’infrastructures, de formation et de mise en conformité, qui peuvent être lourds à supporter pour toutes les entités. Il est possible que les entreprises en ressentent les effets sur leur rentabilité, et que l’on constate une répercussion sur les prix des services payés par les utilisateurs finaux, avec un risque accru d’exclusion numérique pour certains d’entre eux.
La plupart des amendements du groupe Socialiste, Écologiste et Républicain visent donc à assurer une montée en puissance réellement progressive et faisant l’objet d’une concertation régulière de la future loi, avec un accompagnement opérationnel et financier qui tienne mieux compte des capacités de chacun.
C’est pour nous la condition de l’acceptabilité du projet de loi. Celui-ci ne prévoit pas de date d’application, mais il comporte des contrôles et des sanctions. Or l’enjeu cyber ne peut pas être vécu comme punitif. Rançongiciel, hameçonnage, déni de service : oui, la menace est réelle ; oui, nous avons besoin d’une meilleure cyberprotection, mais rien ne serait pire que des blocages dans les esprits et sur le terrain, parce qu’on oblige et on sanctionne au lieu d’expliquer et d’aider.
Le rôle de l’Anssi est à cet égard précieux, mais elle ne pourra pas tout faire, tout de suite et toute seule.
Aussi, dans le droit fil des travaux de la commission spéciale et des ajouts qui ont déjà été actés, nous souhaitons vivement que la stratégie nationale cyber suggérée par le rapporteur Patrick Chaize soit complétée par des éléments concrets et territoriaux, comme un plan d’accompagnement local ou un sous-préfet chargé de ces questions.
Une clarification du rôle et du financement des Csirt est également attendue, de même que la sollicitation de l’avis de la Commission nationale de l’informatique et des libertés (Cnil).
Nous proposons enfin de réfléchir à un soutien financier des structures publiques et privées. Nous reprenons par exemple l’idée d’un crédit d’impôt, déjà défendue en 2021 par nos collègues Rémi Cardon et Sébastien Meurant dans leur rapport sur la cybersécurité des entreprises.
Face aux cybermenaces croissantes issues de groupes criminels privés ou associées à des ingérences étrangères, l’adoption de mesures permettant d’améliorer notre cyber-résilience et notre cybersécurité est indispensable. Nous avons largement contribué aux travaux de la commission spéciale à cet égard.
Aussi, le groupe Socialiste, Écologiste et républicain votera les principales dispositions transposées dans ce texte. Nous resterons néanmoins vigilants sur les conditions effectives de leur mise en œuvre et l’attribution de moyens financiers et opérationnels dédiés à l’adaptation des entreprises et des administrations. (Applaudissements sur les travées du groupe SER.)
M. le président. La parole est à Mme Marta de Cidrac. (Applaudissements sur les travées du groupe Les Républicains.)
Mme Marta de Cidrac. Monsieur le président, madame la ministre, mes chers collègues, pour commencer, permettez-moi de féliciter nos trois rapporteurs pour le travail qu’ils ont mené sur ce sujet crucial qu’est le renforcement de la résilience et de la cybersécurité de nos infrastructures et pour leurs apports au projet de loi.
Ce texte de loi transcrit en droit français trois directives européennes essentielles pour adapter notre cadre juridique à cette menace croissante.
La première est la directive REC, qui modernise notre approche en passant d’une logique de protection à une véritable stratégie de résilience des infrastructures critiques.
Le deuxième est la directive NIS 2, qui élargit considérablement le périmètre des entités soumises aux obligations de cybersécurité, dont le nombre passe de 500 à près de 15 000.
Le troisième est la directive Dora, qui vise à protéger le secteur financier contre les risques cyber, un enjeu crucial pour la stabilité économique du pays.
Ce projet de loi est essentiel au regard de la montée en puissance des cyberattaques, et notamment des rançongiciels. C’est une menace qui touche toutes nos infrastructures vitales. Établissements stratégiques, hôpitaux, collectivités locales, et même petites et moyennes entreprises : personne n’est à l’abri ! Comme le rappellent Patrick Chaize, Hugues Saury et Michel Canévet dans leur rapport, en un an, les attaques ont bondi de 30 %, avec des conséquences économiques et sociales considérables.
Les exemples ne manquent pas, madame la ministre. Je vous rappelle notamment l’attaque dont a été victime l’hôpital André-Mignot, dans les Yvelines, où vous vous êtes rendue à la fin du mois de février. Cet établissement a été paralysé durant des mois, ce qui a nui à l’offre et à l’organisation des soins dans le département. Ces événements ne sont malheureusement pas que des incidents techniques : il s’agit bel et bien de tentatives d’atteinte à notre souveraineté nationale et à notre résilience.
Je remercie la commission spéciale, présidée par Olivier Cadic, de s’être saisie de ce sujet et d’avoir fait preuve de vigilance face au risque de surtransposition, ce qui aurait pu ouvrir la porte à une inflation normative au-delà du cadre européen.
Je forme donc le vœu que l’examen en séance publique suive une dynamique similaire.
Pour autant, aussi nécessaire soit-il, ce texte soulève encore des questions et appelle des engagements clairs du Gouvernement. J’espère que le débat de ce soir permettra d’apporter des réponses.
La mise en œuvre des obligations ainsi transposées risque de peser sur les collectivités territoriales et les entreprises, en particulier sur les plus petites d’entre elles. Au niveau réglementaire, un cadre clair et réaliste doit être défini pour éviter toute surtransposition excessive.
Un accompagnement financier et technique sera indispensable pour que les entités concernées puissent réellement se conformer aux exigences de cybersécurité. Je n’oublie pas la question de la coordination et du contrôle, à laquelle il faudra apporter des réponses réalistes et pragmatiques.
Les responsabilités de l’Anssi seront considérablement élargies. L’Agence sera-t-elle prête, en termes de moyens et de personnel, à assurer ce rôle élargi de supervision ?
Par ailleurs, quelle sera la place laissée à l’harmonisation européenne afin d’éviter des doublons et des contraintes disproportionnées pour nos entreprises ?
Enfin, l’examen du texte devra permettre de clarifier et de renforcer certains points essentiels, comme les seuils de classification des entités essentielles et importantes ou encore l’accompagnement des acteurs privés et publics, lequel doit être renforcé pour garantir une application efficace et proportionnée des obligations de cybersécurité.
Nous devons légiférer vite, car le temps nous est compté et la transposition de certaines dispositions est déjà en retard. C’est le cas notamment de NIS 2. Pour autant, ne confondons pas vitesse et précipitation. Ce texte est un premier pas indispensable, mais sa réussite dépendra des mesures concrètes d’accompagnement et de mise en œuvre que le Gouvernement devra impérativement détailler. À une transposition légale et minimaliste du Parlement ne doit pas succéder une surtransposition réglementaire.
Mes chers collègues, en plus d’être des obligations légales, la protection de nos infrastructures critiques et le renforcement de la cybersécurité sont des impératifs pour la souveraineté de notre pays. (Applaudissements sur les travées du groupe Les Républicains.)
M. le président. La parole est à M. Mickaël Vallet. (Applaudissements sur les travées du groupe SER.)
M. Mickaël Vallet. Monsieur le président, madame la ministre, mes chers collègues, il est sept heures du matin, quelque part en France, lorsqu’un dysfonctionnement touche une station de traitement d’eau potable desservant une métropole de plusieurs centaines de milliers d’habitants. Du fait du manque d’anticipation, le service n’est pas rétabli aussitôt, et ce qui est d’abord un incident isolé devient une panne qui s’aggrave en quelques heures : les réservoirs se vident et le réseau de distribution cesse de fonctionner. Dans les hôpitaux, dans les industries, on rationne la consommation ; la population panique et les autorités peinent à coordonner la réponse d’urgence. Et le pire, c’est que ce n’est ni une attaque ni une catastrophe naturelle qui est la cause de tout cela, mais une simple défaillance technique aggravée par un manque de planification, d’anticipation et de résilience. Cette situation est techniquement parfaitement vraisemblable.
Il est des textes qui surgissent dans nos débats parlementaires comme une évidence au vu du contexte que nous traversons. Le projet de loi que nous examinons aujourd’hui appartient à cette catégorie.
Regardons au-delà de la France, comme l’ont fait quelques-uns des orateurs précédents. Le tragique de l’Histoire, imposé à l’Ukraine depuis trois ans, a mis en évidence la vulnérabilité des infrastructures critiques déjà soumises aux risques naturels et aux attaques physiques et cyber, qui se sont intensifiées ces dernières années.
À cet égard, la transposition de la directive REC dans le titre Ier du présent projet de loi, sur lequel je concentrerai mon intervention, ne fait que tirer les conséquences d’une réalité incontestable : la vulnérabilité croissante de nos infrastructures essentielles dans un monde où les crises deviennent la norme.
Nous avons ainsi vécu une crise sanitaire qui a révélé les fragilités de nos chaînes logistiques. Nous avons vu ces dernières années des collectivités tétanisées par des cyberattaques, des entreprises stratégiques paralysées par des rançongiciels, des États étrangers déployer leur influence par la manipulation de l’information et le sabotage économique.
Nos infrastructures critiques sont non plus simplement des rouages invisibles de notre quotidien, mais des cibles, des vulnérabilités, des enjeux de puissance. Les yeux des gouvernants se dessillent enfin face aux menaces des impérialismes russes et chinois, mais aussi américains.
J’insisterai sur quelques points du titre Ier.
Il ne crée pas un nouveau dispositif national de sécurité des activités d’importance vitale définies dans le code de la défense, l’actuel ayant prouvé son efficacité, mais il utilise la transposition pour réviser cette politique publique essentielle.
Il acte une évolution conceptuelle importante : nous sommes non plus dans une logique de protection statique des infrastructures, mais dans une approche dynamique de résilience. Cette réforme normative constitue ainsi l’opportunité de moderniser notre organisation nationale : rationalisation de la classification du dispositif, simplification des documents de planification requis ou encore renforcement des modalités de supervision.
À cet égard, la multiplication par cinq du nombre d’opérateurs d’importance vitale, qui passera de 300 à près de 1 500, est révélatrice de la nécessité d’une vigilance accrue, dans un monde où les risques sont de plus en plus systémiques et interdépendants.
Dans une démarche constructive en commission spéciale, les sénateurs socialistes ont permis, de l’avis général, d’améliorer la précision du texte, avec le dépôt et l’adoption de plusieurs amendements. C’est de nouveau dans cet esprit de responsabilité que nous procéderons à l’examen en séance publique de ce projet de loi. (Applaudissements sur les travées du groupe SER.)
M. le président. La parole est à Mme Catherine Belrhiti. (Applaudissements sur les travées du groupe Les Républicains.)
Mme Catherine Belrhiti. Monsieur le président, madame la ministre, mes chers collègues, le projet de loi que nous étudions aujourd’hui revêt une importance capitale : la protection et la résilience de nos infrastructures critiques face au renforcement des cyberattaques.
Dans un monde où les menaces numériques se multiplient et où nos infrastructures essentielles interconnectées sont de plus en plus exposées au risque cyber, nous avons le devoir de doter notre pays des outils nécessaires pour protéger ses intérêts fondamentaux.
Ce texte, qui transpose notamment les directives européennes NIS 2 et REC, constitue une avancée majeure dans ce domaine, mais il exige de notre part une vigilance accrue et un engagement sans faille.
Il ne se passe plus une semaine sans que des cyberattaques viennent nous rappeler la vulnérabilité de nos infrastructures numériques. Rappelons que les attaquants se saisissent de toutes les faiblesses techniques de nos systèmes d’information. Des hôpitaux ont été paralysés, des collectivités territoriales prises en otage par des rançongiciels et des entreprises clés de notre économie et de notre base industrielle et technologique de défense (BITD) ciblées par des actes de cyberespionnage.
La liste est longue et les conséquences sont désastreuses. La France subit une pression constante et omniprésente dans le cyberespace. En 2024, les événements de sécurité portés à la connaissance de l’Anssi ont connu une augmentation de 15 % par rapport à 2023. Dans ce contexte, la France n’a d’autre choix que de renforcer la sécurité de ses infrastructures vitales.
En ce sens, je tiens à saluer l’avis rendu par le Conseil d’État le 6 juin 2024, dans l’ensemble positif, qui a permis de nous éclairer sur le contenu du projet de loi, son champ d’application et les compétences des acteurs désignés, mais également de souligner ses diverses faiblesses, lesquelles ont depuis été corrigées.
Ainsi, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à répondre à ces défis en transposant plusieurs directives européennes qui s’articuleront correctement avec notre législation nationale. Il prévoit notamment une meilleure identification des entités essentielles et importantes, une responsabilisation accrue des dirigeants en matière de cybersécurité et des sanctions plus dissuasives en cas de manquement pour les opérateurs négligents.
S’il constitue une avancée significative, sa mise en œuvre nécessitera des moyens adaptés et une coordination efficace entre l’État, les entreprises et les collectivités territoriales. Ce texte va plus loin que la transposition, puisqu’il élargit, dans son article 62, le champ d’application de la résilience opérationnelle numérique au secteur financier. Ce choix cohérent se justifie au regard de l’objectif de protection de notre économie et de nos concitoyens.
Outre l’élargissement du champ d’application, le projet de loi prévoit un renforcement des pouvoirs de l’Anssi, qui joue un rôle central dans notre dispositif de protection. Cependant, il sera impératif de lui donner les moyens nécessaires à la réalisation de ses missions.
Si nous pouvons nous en réjouir, nous devons cependant nous assurer que les obligations imposées par ce texte ne deviennent pas un fardeau insurmontable pour nos entreprises et nos administrations. La cybersécurité doit être perçue non pas comme une contrainte, mais comme un investissement stratégique pour garantir la pérennité de notre économie et la sécurité de nos concitoyens.
Il nous faudra donc veiller à accompagner les acteurs concernés, notamment les petites et moyennes entreprises, qui sont les plus fragiles face à ce danger, dans la mise en conformité avec ces nouvelles exigences.
L’État doit jouer son rôle en assurant une coordination efficace et en mettant à disposition les ressources nécessaires, mais les entreprises et les collectivités locales ont également un rôle essentiel à jouer.
Ce projet de loi représente une avancée majeure, mais il ne doit être qu’une étape. C’est avec cette ambition que je vous invite, mes chers collègues, à le soutenir et à poursuivre ensemble notre engagement en faveur d’une France plus résiliente face au défi du numérique. (Applaudissements sur les travées du groupe Les Républicains.)
M. le président. La discussion générale est close.
