M. Thomas Dossus. Défendu.
Mme la présidente. La parole est à M. Pierre Ouzoulias, pour présenter l’amendement n° 68.
M. Pierre Ouzoulias. Je retire mon amendement, au profit de l’amendement n° 115 de la commission, madame la présidente.
Mme la présidente. L’amendement n° 68 est retiré.
Quel est l’avis de la commission spéciale sur l’amendement n° 51 rectifié ?
M. Patrick Chaize, rapporteur. La commission spéciale émet un avis défavorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement sur les amendements nos 115 et 51 rectifié ?
Mme Clara Chappaz, ministre déléguée. Par souci de cohérence avec le débat que nous avons eu sur l’article 8, le Gouvernement s’en remet à la sagesse du Sénat.
Mme la présidente. En conséquence, l’amendement n° 51 rectifié n’a plus d’objet.
Je mets aux voix l’article 9, modifié.
(L’article 9 est adopté.)
Article 10
Outre les entités mentionnées aux articles 8 et 9, le Premier ministre peut désigner par arrêté comme entité essentielle ou comme entité importante une entité exerçant une activité relevant d’un secteur d’activité hautement critique ou critique, quelle que soit sa taille, sous réserve de justifier cette désignation au regard de l’un des critères suivants :
1° L’entité est le seul prestataire sur le territoire national d’un service qui est essentiel au maintien du fonctionnement de la société et d’activités économiques critiques ;
2° Une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;
3° Une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;
4° L’entité est critique en raison de son importance spécifique au niveau national ou local pour le secteur ou le type de service concerné, ou pour d’autres secteurs interdépendants sur le territoire national – (Adopté.)
Après l’article 10
Mme la présidente. L’amendement n° 56 rectifié n’est pas soutenu.
Article 11
I. – Les entités essentielles et les entités importantes sont régies par les dispositions du présent titre lorsque, selon le cas :
1° Elles sont établies sur le territoire national ;
2° S’agissant des opérateurs de communications électroniques, ils fournissent leurs services sur le territoire national ;
3° S’agissant des fournisseurs de services de système de noms de domaine, des offices d’enregistrement, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux :
a) Ils ont leur établissement principal sur le territoire national ;
b) Ou, s’ils sont établis hors de l’Union européenne mais offrent leurs services sur le territoire national, ils ont désigné un représentant établi sur le territoire national.
Toutefois, les conditions d’établissement sur le territoire national ne s’appliquent pas aux administrations et établissements publics.
II. – Les obligations du présent titre applicables aux bureaux d’enregistrement et agents agissant pour le compte de ces derniers concernent :
1° Ceux qui ont leur établissement principal sur le territoire national ;
2° Ou ceux qui ont désigné un représentant établi sur le territoire national, s’ils sont établis hors de l’Union européenne mais offrent leurs services sur le territoire national.
III. – Pour l’application des I et II, l’établissement principal s’entend du lieu où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité ou, à défaut, le lieu où les opérations de cybersécurité sont effectuées ou, à défaut, l’établissement comptant le plus grand nombre de salariés dans l’Union européenne – (Adopté.)
Article 12
L’autorité nationale de sécurité des systèmes d’information établit et met à jour au moins tous les deux ans la liste des entités essentielles, des entités importantes et des bureaux d’enregistrement sur la base des informations que ces entités et bureaux d’enregistrement lui communiquent.
Les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises sont définis par décret en Conseil d’État pris après avis de la commission nationale de l’informatique et des libertés.
Mme la présidente. L’amendement n° 22 rectifié septies, présenté par Mme Morin-Desailly, MM. Duffourg et Laugier, Mmes Billon, Patru et Saint-Pé, MM. Lafon et Henno, Mme Jacquemet, M. Chauvet, Mme Gacquerre et MM. Pillefer et P. Martin, est ainsi libellé :
I. – Alinéa 1
Compléter cet alinéa par une phrase ainsi rédigée :
Dans les trois années qui suivent l’entrée en application de la présente loi, l’ensemble des entités concernées sont informées et sensibilisées par les ministères concernés.
II. – Alinéa 2
Rédiger ainsi cet alinéa :
Dans le respect des modalités de chiffrement de bout en bout ainsi que de protection des données recueillies des lois extraterritoriales, les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises sont définis par décret en Conseil d’État.
La parole est à Mme Catherine Morin-Desailly.
Mme Catherine Morin-Desailly. Cet amendement a une double visée.
Premièrement, les entités concernées devront d’abord être informées et sensibilisées par les ministères concernés dans les trois ans qui suivent l’entrée en application de la loi.
En effet, certaines entreprises seront soumises pour la première fois à des obligations en matière de cybersécurité. Il est à craindre qu’un certain nombre d’entre elles, nouvellement concernées par ces exigences, tardent à identifier les nouvelles mesures à mettre en place. Un travail d’identification croisé doit être effectué par les ministères concernés pour identifier et présensibiliser les entreprises destinataires de nouvelles obligations pour les informer et les accompagner au mieux.
Deuxièmement, cet amendement vise à sécuriser les échanges d’informations et de données sensibles entre les entités concernées et l’Anssi. Il est primordial que ce partage se fasse au travers de mécanismes de protection des informations divulguées afin de garantir la confidentialité des données, potentiellement sensibles, et de les préserver d’un risque d’extraterritorialisation, conformément à l’article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.
Cette proposition figurait dans le rapport de la Commission supérieure du numérique et des postes.
Mme la présidente. Le sous-amendement n° 125, présenté par le Gouvernement, est ainsi libellé :
Amendement n° 22 rectifié septies, alinéas 1 à 3
Supprimer ces alinéas.
La parole est à Mme la ministre déléguée, pour présenter ce sous-amendement et donner l’avis du Gouvernement sur l’amendement n° 22 rectifié septies.
Mme Clara Chappaz, ministre déléguée. Le sous-amendement n° 125 vise à supprimer le I de l’amendement n° 22 rectifié septies, qui ne relève pas du niveau législatif.
Sur le fond, le Gouvernement a pleinement conscience que la communication et la sensibilisation des futures entités régulées seront des facteurs clés de réussite pour la bonne mise en œuvre du texte.
La stratégie de l’Anssi passe par exemple par la mise à disposition du portail numérique MonEspaceNIS2, qui permet aux entités de s’informer et de tester leur éligibilité. Elle s’appuie également sur des acteurs relais – les associations, la gendarmerie et les syndicats professionnels – pour décupler son action d’information et d’accompagnement. Des kits de communication seront par ailleurs proposés aux associations d’élus et aux associations professionnelles afin qu’elles puissent informer leurs adhérents, les inciter à tester leur éligibilité et à réaliser les premières actions de mise en conformité à la directive NIS 2.
Le Gouvernement est favorable au II de l’amendement n° 22 rectifié septies, qui constitue une garantie utile, dont l’Anssi a déjà à cœur d’assurer la pleine effectivité. Il est donc favorable à l’amendement n° 22 rectifié septies, sous réserve de l’adoption du sous-amendement n° 125.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. La commission spéciale est elle aussi favorable à l’amendement n° 22 rectifié septies, sous réserve de l’adoption du sous-amendement n° 125.
Mme la présidente. La parole est à Mme Catherine Morin-Desailly, pour explication de vote.
Mme Catherine Morin-Desailly. La disposition la plus importante de mon amendement est bien sûr contenue dans son II.
Je suis donc prête à soutenir le sous-amendement, pour autant que vous preniez l’engagement de bien accompagner nos entreprises – mais ce débat fera foi. Nous espérons que l’ensemble de la réglementation découlant de ce projet de loi et les moyens mis en œuvre pour son application permettront cet accompagnement.
Mme la présidente. Je mets aux voix l’amendement n° 22 rectifié septies, modifié.
(L’amendement est adopté.)
Mme la présidente. L’amendement n° 59 rectifié, présenté par MM. Cadic et Canévet, est ainsi libellé :
Compléter cet article par un alinéa ainsi rédigé :
Les ministères coordonnateurs des secteurs d’activité visés à l’article 7 sont destinataires pour avis de la liste des entités essentielles et des entités importantes qui relèvent de leur compétence. Les ministères coordonnateurs peuvent, en lien avec l’autorité nationale de sécurité des systèmes d’information, amender la liste qui leur a été communiquée.
La parole est à M. Olivier Cadic.
M. Olivier Cadic. Les opérateurs d’importance vitale (OIV) sont désignés par les ministères coordonnateurs du secteur auxquels ils appartiennent.
En cohérence, cet amendement vise à mettre l’expertise des ministères coordonnateurs des secteurs d’activité visés par l’article 7 du projet de loi au service de l’Autorité nationale de sécurité des systèmes d’information, afin que les listes d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.
Ainsi, certaines entités ne correspondant pas aux critères prédéfinis d’entités importantes ou essentielles pourraient être intégrées à la liste des entités concernées pour des critères stratégiques, économiques, technologiques ou sociaux relevant de l’analyse des ministères coordonnateurs.
Les ministères concernés ont en effet exprimé leur souhait d’être associés à l’élaboration de cette liste.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. L’article 12 prévoit qu’il appartient aux entreprises et aux collectivités qui satisfont aux critères d’une entité essentielle, définis à l’article 8, ou d’une entité importante, en vertu de l’article 9, de se déclarer auprès de l’Anssi. Ce ne sont pas les ministères qui les désignent.
Il paraît clair que les ministères seront associés au recensement des entités qui pourraient être désignées par le Premier ministre sur le fondement de l’article 10. Cet amendement ne me paraît donc pas nécessaire.
J’écouterai avec intérêt l’avis du Gouvernement sur cet amendement. Néanmoins, j’en demande le retrait ; à défaut, j’émettrai un avis défavorable.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Les opérateurs d’importance vitale sont désignés par les ministères coordonnateurs après avis de la commission interministérielle. Mais dans le cas de NIS 2, cet assujettissement des entités se fait selon des critères bien précis, établis dans la loi, qui permettent de définir s’il s’agit d’une entité essentielle ou importante.
Par ailleurs, il est d’ores et déjà prévu que la faculté du Premier ministre d’assujettir une entité s’exerce après avis des ministres.
Je partage donc l’avis de la commission spéciale et, comme elle, je demande le retrait de cet amendement.
Mme la présidente. Monsieur Cadic, l’amendement n° 59 rectifié est-il maintenu ?
M. Olivier Cadic. Cet amendement visait essentiellement à obtenir des précisions de la part du Gouvernement sur l’application de ces mesures, à la demande des ministères. Je vous remercie de votre réponse, madame la ministre, et je retire mon amendement.
Mme la présidente. L’amendement n° 59 rectifié est retiré.
Je mets aux voix l’article 12, modifié.
(L’article 12 est adopté.)
Article 13
Les dispositions de la présente loi, y compris celles relatives à la supervision, ne sont pas applicables aux entités essentielles et importantes qui sont soumises, en application d’un acte juridique de l’Union européenne, à des exigences sectorielles de sécurité et de notification d’incidents ayant un effet au moins équivalent aux obligations résultant des articles 14 et 17. Pour être équivalentes, les exigences de notification des incidents doivent également prévoir un accès immédiat aux notifications d’incidents par l’autorité nationale de sécurité des systèmes d’information.
Mme la présidente. L’amendement n° 16 rectifié septies, présenté par Mme Morin-Desailly, M. Laugier, Mmes Patru et Billon, M. Duffourg, Mme Saint-Pé, MM. Lafon et Henno, Mme Jacquemet, M. Chauvet, Mme Gacquerre et MM. Pillefer et P. Martin, est ainsi libellé :
Compléter cet article par une phrase ainsi rédigée :
À intervalle régulier, l’Agence nationale de la sécurité des systèmes d’information informe les entités du degré d’exigence qui pèse sur elles.
La parole est à Mme Catherine Morin-Desailly.
Mme Catherine Morin-Desailly. De nombreuses réglementations numériques, sectorielles et non sectorielles, viennent s’imposer aux entreprises, qui devront se conformer aux textes les plus contraignants.
Aussi, afin d’éviter toute interprétation individuelle et de s’assurer que la réglementation la plus exigeante sera appliquée, l’Anssi devra informer régulièrement les entités du degré d’exigence qui pèse sur elles.
Tel est l’objet de cet amendement.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. L’article 13 assure la conciliation entre la transposition de la directive NIS 2, qui s’applique à tous les secteurs de l’économie, et le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique, dit Dora (Digital Operational Resilience Act), et la directive (UE) 2022/2556, qui constituent une spécificité propre aux secteurs bancaire et financier.
Il ne paraît donc pas nécessaire – ce serait lourd pour l’Anssi – de prévoir une information régulière des 15 000 entités régulées par la directive NIS 2. Ces entreprises sauront rapidement quelles règles elles devront respecter, seules les banques, les assurances ou les entreprises du secteur financier étant concernées par le paquet Dora.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. J’entends l’objectif des auteurs de cet amendement. Nous avons d’ailleurs déjà évoqué l’importance de l’accompagnement pour la bonne application de ce texte.
Cependant, il nous semble que cet objectif est déjà satisfait par la rédaction actuelle du texte. C’est bien l’Union européenne qui reconnaît le texte comme un acte juridique sectoriel de l’Union, au sens de l’article 4 de la directive NIS 2, comme cela a été le cas pour le règlement Dora.
Dès lors, les entités sont les plus à même de savoir si elles sont soumises à un acte sectoriel, qui peut d’ailleurs très bien prévoir une autorité nationale compétente, différente de l’Anssi. C’est par exemple le cas de Dora qui prévoit trois autorités financières compétentes.
Dans les faits, l’Anssi a fait de la sensibilisation un enjeu majeur de la réussite de la transposition de la directive NIS 2. C’est pourquoi le Gouvernement demande le retrait de cet amendement, même s’il partage l’objectif de sensibilisation.
Mme la présidente. La parole est à Mme Catherine Morin-Desailly, pour explication de vote.
Mme Catherine Morin-Desailly. J’ai écouté attentivement les arguments de M. le rapporteur et de Mme la ministre, auxquels je souscris volontiers.
L’essentiel est que nous ayons eu ce débat. Chacun est désormais sensibilisé aux règles qu’il faudra respecter.
Je retire donc mon amendement.
Mme la présidente. L’amendement n° 16 rectifié septies est retiré.
Je mets aux voix l’article 13.
(L’article 13 est adopté.)
Article 14
Les entités essentielles, les entités importantes, les administrations de l’État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale ainsi que de la répression pénale, les missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d’information, le Commissariat à l’énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ainsi que les juridictions administratives et judiciaires prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services. Ces mesures garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné au risque existant. Elles visent à :
1° Prévoir que les organes de direction approuvent et supervisent les mesures de pilotage de la sécurité des réseaux et systèmes d’information, leurs membres ainsi que les personnes exposées aux risques devant être formés à la cybersécurité ;
2° Assurer la protection des réseaux et systèmes d’information, y compris en cas de recours à la sous-traitance ;
3° Mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d’information et gérer les incidents ;
4° Garantir la résilience des activités.
Un décret en Conseil d’État fixe les objectifs auxquels doivent se conformer les personnes mentionnées au premier alinéa afin que les mesures adoptées pour la gestion des risques satisfassent aux 1° à 4°. Ce décret détermine également les conditions d’élaboration, de modification et de publication d’un référentiel d’exigences techniques et organisationnelles qui sont adaptées aux différentes personnes mentionnées au premier alinéa, en fonction de leur degré d’exposition aux risques, de leur taille, de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences économiques et sociales.
Ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013.
Par dérogation aux sixième et septième alinéas du présent article, les fournisseurs de services de systèmes de noms de domaine, les offices d’enregistrement, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance mettent en œuvre les exigences techniques et méthodologiques qui leur sont propres.
Ces mesures techniques, opérationnelles et organisationnelles sont mises en œuvre aux frais des personnes concernées.
Mme la présidente. L’amendement n° 47, présenté par Mmes Linkenheld, Conway-Mouret et Blatrix Contat, M. Cardon, Mme Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :
Alinéa 1, après la deuxième phrase
Insérer une phrase ainsi rédigée :
Pour l’évaluation de la proportionnalité de ces mesures, il est tenu compte du degré d’exposition de l’entité aux risques, de sa taille et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.
La parole est à Mme Audrey Linkenheld.
Mme Audrey Linkenheld. L’article 14 prévoit les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées que devront prendre les entités pour gérer les risques menaçant la sécurité des réseaux et des systèmes d’information et réduire les conséquences d’éventuels incidents.
Cet amendement, selon les termes de l’article 21 de la directive NIS 2, tend à préciser les critères d’évaluation de la proportionnalité des mesures en ajoutant qu’il sera tenu compte du degré d’exposition de l’entité aux risques, de sa taille et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociales et économiques.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Cet amendement est pleinement satisfait par la rédaction adoptée par la commission spéciale à l’alinéa 6.
La commission en demande donc le retrait.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Le choix a été fait de transposer l’exigence en faisant peser sur l’Anssi l’évaluation de la proportionnalité des mesures. Cette position a le mérite de ne pas rendre l’entité seule responsable de l’évaluation de son risque, ce qui pourrait la placer en difficulté, en particulier lorsqu’il s’agit de petites entités.
Nous considérons que le texte actuel permet de répondre à votre demande, madame la sénatrice. Le Gouvernement demande donc le retrait de cet amendement.
Mme la présidente. L’amendement n° 85 rectifié quater, présenté par MM. Bleunven, J.M. Arnaud, Cambier et Henno, Mme Jacquemet et MM. Lafon, Parigi et Pillefer, est ainsi libellé :
Alinéa 3
Compléter cet alinéa par les mots et une phrase ainsi rédigée :
lorsque celle-ci a une implication directe sur la sécurité des réseaux et systèmes d’information. Les rôles et les responsabilités de chacun sont précisés autant que de possible au préalable ;
La parole est à M. Paul Toussaint Parigi.
M. Paul Toussaint Parigi. Il est défendu.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. La question de la sous-traitance est déterminante, car le recours à un sous-traitant qui serait mal protégé contre les menaces cyber peut constituer une vulnérabilité grave pour une entité.
Il était donc important de faire figurer cette notion à l’article 14 du projet de loi.
Je considère en revanche que les modalités précises de prise en compte de la sous-traitance, notamment les rôles et responsabilités de chacun, devront être détaillées dans le décret d’application de l’article 14 du projet de loi, ainsi que dans le référentiel préparé par l’Anssi.
La commission demande donc le retrait de cet amendement ; à défaut, elle émettra un avis défavorable.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. La sécurisation de la chaîne des sous-traitants est une priorité de la directive NIS 2. Je le rappelle, un nombre croissant d’attaques passe par ce vecteur.
La proposition de limiter la prise en compte des seuls sous-traitants ayant une implication directe sur la sécurité des réseaux et des systèmes d’information pourrait néanmoins conduire les entités à négliger un pan de leur chaîne de sous-traitance, ce qui augmenterait le risque de compromission par un acteur malveillant et de dégradation, voire d’interruption, de ses activités.
En sus, en l’absence de définition plus précise, la notion d’« implication directe » risquerait de complexifier la démarche de mise en conformité des entités et la mission de contrôle de l’Autorité.
Par ailleurs, l’adoption de cet amendement pourrait entraîner une mauvaise transposition de la directive. En effet, si son article 21 prévoit bien la prise en compte de cette chaîne de sous-traitance, elle ne restreint pas cette prise en compte aux seuls fournisseurs ayant une implication directe sur la sécurité des réseaux et des systèmes d’informatique.
Néanmoins, les entreprises de services numériques sont pour une grande partie soumises à la directive NIS 2. Ils devront donc de facto augmenter leur sécurité.
Le Gouvernement demande donc le retrait de cet amendement ; à défaut, il émettra un avis défavorable.
Mme la présidente. Je mets aux voix l’amendement n° 85 rectifié quater.
(L’amendement n’est pas adopté.)
Mme la présidente. Je suis saisie de deux amendements identiques.
L’amendement n° 24 rectifié est présenté par Mme M. Carrère, MM. Bilhac, Fialaire, Gold et Grosvalet, Mmes Guillotin et Jouve, MM. Masset et Laouedj, Mme Pantel et M. Ruel.
L’amendement n° 69 est présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky.
Ces deux amendements sont ainsi libellés :
Après l’alinéa 5
Insérer un alinéa ainsi rédigé :
Les communes, les établissements publics de coopération intercommunale à fiscalité propre et leurs établissements publics administratifs visés aux articles 8 et 9 disposent d’un délai maximum de 5 ans pour se mettre en conformité avec le présent titre II.
La parole est à M. Bernard Fialaire, pour présenter l’amendement n° 24 rectifié.
M. Bernard Fialaire. Nous partageons pleinement l’objectif de la directive européenne NIS 2 de renforcer la sécurité de nos systèmes d’information. Cependant, nous restons vigilants pour éviter toute forme de surtransposition, en particulier pour nos collectivités.
Nous le constatons tous ici : les plus petites collectivités manquent souvent de ressources techniques, humaines et financières pour transposer une directive aussi importante que complexe.
C’est pourquoi nous vous proposons, par cet amendement, d’étendre le délai d’application de mise en conformité à cinq ans. Ce temps permettra la mise en place de formations adaptées pour les élus, la structuration d’une filière cyber territorialisée et la mise en œuvre d’un accompagnement efficace de l’État.
Accorder ce temps d’adaptation, c’est préserver l’efficacité de la directive et favoriser la montée en compétences des collectivités sur ces sujets d’avenir.