M. le président. Je mets aux voix l’amendement n° 35.
(L’amendement n’est pas adopté.)
Chapitre II
De la cyber résilience
Section 1
Définitions
Article 6
Au sens du présent titre, on entend par :
1° Bureau d’enregistrement : une entité fournissant des services d’enregistrement de noms de domaine ;
2° Office d’enregistrement : une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration de ce domaine, y compris de l’enregistrement des noms de domaine en relevant et de son fonctionnement technique, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution de ses fichiers de zone sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage ;
2° bis (nouveau) Incident : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles ;
3° Prestataire de services de confiance : un prestataire de services de confiance au sens du paragraphe 19 de l’article 3 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
4° Prestataire de services de confiance qualifié : un prestataire de services de confiance au sens du paragraphe 20 de l’article 3 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 précité ;
5° Représentant : une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services de système de nom de domaine, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un centre de veille, d’alerte et de réponse aux attaques informatiques (CERT) à la place de l’entité elle-même concernant les obligations incombant à ladite entité en application de la présente loi ;
6° Service de centre de données : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental ;
7° Système d’information : l’ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique des données ;
8° (nouveau) Vulnérabilité : une faiblesse, susceptibilité ou faille de produits ou services des technologies de l’information et de la communication, ou d’origine humaine, qui peut être exploitée par une cybermenace.
M. le président. L’amendement n° 97, présenté par le Gouvernement, est ainsi libellé :
Alinéa 10
Remplacer les mots :
d’origine humaine
par les mots :
d’un utilisateur de ces derniers
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Cet amendement vise à préciser qu’une vulnérabilité peut avoir pour origine un facteur humain.
M. le président. Quel est l’avis de la commission spéciale ?
M. Hugues Saury, rapporteur. Cet amendement de précision nous semble à la fois cohérent et utile. Avis favorable.
M. le président. Je mets aux voix l’article 6, modifié.
(L’article 6 est adopté.)
Section 2
Des exigences de sécurité des systèmes d’information
Article 7
I. – Sont considérés au titre de la présente section comme des secteurs hautement critiques pour le fonctionnement de l’économie et de la société les secteurs :
1° De l’énergie ;
2° Des transports ;
3° Des banques ;
4° Des infrastructures des marchés financiers ;
5° De la santé ;
6° De l’eau potable ;
7° Des eaux usées ;
8° De l’infrastructure numérique ;
9° De la gestion des services des technologies de l’information et de la communication ;
10° De l’espace.
II. – Sont considérés au titre de la présente section comme des secteurs critiques pour le fonctionnement de l’économie et de la société les secteurs :
1° Des services postaux et d’expédition ;
2° De la gestion des déchets ;
3° De la fabrication, de la production et de la distribution de produits chimiques ;
4° De la production, de la transformation et de la distribution des denrées alimentaires ;
5° De la fabrication de certains biens, équipements et produits ;
6° Des fournisseurs de certains services numériques ;
7° De la recherche.
III. – Un décret en Conseil d’État précise les modalités d’application du présent article. Il détermine les sous-secteurs et les types d’entités relevant des secteurs mentionnés aux I et II – (Adopté.)
M. le président. Mes chers collègues, nous avons examiné vingt amendements au cours de la soirée ; il en reste quatre-vingt-quatre à examiner sur ce texte.
La suite de la discussion est renvoyée à la prochaine séance.
7
Ordre du jour
M. le président. Voici quel sera l’ordre du jour de la prochaine séance publique, précédemment fixée à aujourd’hui, mercredi 12 mars 2025 :
À quinze heures :
Questions d’actualité du Gouvernement.
À seize heures trente et le soir :
Trois conventions internationales examinées selon la procédure d’examen simplifié :
Projet de loi autorisant l’approbation de la résolution n° 259 portant modification de l’article 1er de l’accord portant création de la Banque européenne pour la reconstruction et le développement afin de permettre l’élargissement limité et progressif du champ d’action géographique de la Banque à l’Afrique subsaharienne et à l’Irak (procédure accélérée ; texte de la commission n° 406, 2024-2025) ;
Projet de loi autorisant l’approbation de l’accord entre le Gouvernement de la République française et l’Observatoire du réseau d’antennes d’un kilomètre carré (SKAO) relatif à l’adhésion de la France à l’Observatoire (procédure accélérée ; texte de la commission n° 408, 2024-2025) ;
Projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, autorisant la ratification du traité sur la coopération dans le domaine de la défense entre la République française et le Royaume d’Espagne (texte de la commission n° 404, 2024-2025) ;
Explications de vote, puis vote sur la proposition de loi, adoptée par l’Assemblée nationale après engagement de la procédure accélérée, visant à proroger le dispositif d’expérimentation favorisant l’égalité des chances pour l’accès à certaines écoles de service public (texte de la commission n° 397, 2024-2025) ;
Suite du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (procédure accélérée ; texte de la commission n° 394, 2024-2025) ;
Proposition de loi visant à instaurer une trajectoire de réduction de l’artificialisation concertée avec les élus locaux, présentée par MM. Guislain Cambier, Jean-Baptiste Blanc et plusieurs de leurs collègues (procédure accélérée ; texte de la commission n° 373, 2024-2025).
Personne ne demande la parole ?…
La séance est levée.
(La séance est levée le mercredi 12 mars 2025, à zéro heure trente-cinq.)
Pour le Directeur des comptes rendus du Sénat,
le Chef de publication
FRANÇOIS WICKER