Mardi 4 mars 2025
- Présidence de M. Olivier Cadic, président -
La réunion est ouverte à 14 h 30.
Projet de loi de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité - Examen du rapport et du texte de la commission
M. Olivier Cadic, président. - Mes chers collègues, l'ordre du jour appelle l'examen du rapport de MM. Michel Canévet, Patrick Chaize et Hugues Saury sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Avant d'ouvrir la discussion, je voudrais vous remercier pour votre participation aux travaux de cette commission spéciale, qui aura surmonté une dissolution de l'Assemblée nationale et une censure gouvernementale, entre l'annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, et l'audition de la ministre, Mme Clara Chappaz, le 27 janvier dernier.
Au total, la commission spéciale aura organisé sept réunions publiques entre le 17 décembre 2024 et le 11 février 2025 : deux auditions de responsables publics - M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), et Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique ; et cinq tables rondes, avec les organisations professionnelles - Mouvement des entreprises de France (Medef), Confédération des petites et moyennes entreprises (CPME) -, des représentants des entreprises cyber - ACN, CyberCercle, CyberTaskForce, Clusif -, les associations d'élus - Association des maires de France et des présidents d'intercommunalité, Départements de France, Régions de France, Intercommunalités de France, métropole du Grand Paris -, les autorités de régulation financière - Autorité des marchés financiers (AMF) et Autorité de contrôle prudentiel et de résolution (ACPR) - et trois grands acteurs de la cyberdéfense - Airbus, Orange et Thales.
Ces auditions ont toutes été diffusées sur le site du Sénat et ont donné lieu à plus de 8 000 vues. En outre, elles ont fait l'objet de nombreuses reprises par les professionnels du secteur sur leurs réseaux sociaux. Cette séquence aura été notre contribution à une meilleure sensibilisation et à une meilleure information du public sur l'effort de résilience et de lutte contre les attaques cyber.
Je remercie également la commission des affaires européennes, présidée par notre collègue Jean-François Rapin, pour la communication qu'il a faite le 13 février dernier sur les dispositions de transposition et d'adaptation prévues par ce projet de loi - signe que ce texte mobilise le Sénat dans son ensemble. Ces observations ont été communiquées à l'ensemble des membres de notre commission spéciale.
Les rapporteurs ont également procédé à de nombreuses auditions. Avant de leur céder la parole pour vous présenter leurs principaux constats et les orientations qu'ils préconisent sur le texte, j'ai deux précisions à vous apporter pour le bon déroulement de la réunion.
Je voudrais tout d'abord excuser notre collègue Patrick Chaize, qui a été retenu en Guyane et m'a demandé de bien vouloir lire son intervention et présenter ses amendements de concert avec les autres rapporteurs.
Ensuite, je vous rappelle qu'aura lieu, en séance, à seize heures trente, la déclaration du Gouvernement, suivie d'un débat, en application de l'article 50-1 de la Constitution, portant sur la situation en Ukraine et la sécurité en Europe. Aussi, je vous propose de nous fixer comme objectif de terminer d'ici là notre débat et l'examen des 124 amendements déposés sur ce texte, dont 53 émanent de nos rapporteurs.
M. Hugues Saury, rapporteur. - Je concentrerai mon intervention sur le titre Ier de ce projet de loi ainsi que sur les articles 5 et 6 du titre II, sur lesquels vous m'avez désigné rapporteur.
Le titre Ier vise à transposer en droit français la directive sur la résilience des entités critiques, dite « REC », qui fait suite à une première directive de 2008. Ce texte a pour ambition de fournir à l'ensemble des opérateurs du marché intérieur des standards de sécurité équivalents tout en offrant des règles de concurrence plus équitables.
La directive REC, qui a été négociée sous présidence française de l'Union européenne, s'inspire en grande partie du dispositif français existant. Sa transposition en droit national consiste donc essentiellement en une actualisation du dispositif de sécurité des activités d'importance vitale (SAIV) en place depuis 2006.
Le Gouvernement a ainsi fait le choix de s'appuyer sur ce dispositif, en reprenant par exemple la terminologie existante, plutôt que de créer un dispositif ex nihilo. Cette décision me semble opportune, le dispositif de SAIV étant désormais bien connu et maîtrisé par les opérateurs concernés. Par ailleurs, le nombre d'opérateurs d'importance vitale (OIV), qui est d'environ 300, ainsi que le nombre de points d'importance vitale, de l'ordre de 1 500, ne devraient pas évoluer de manière significative.
Toutefois, cette transposition marque un changement important de philosophie : elle acte le passage d'une logique de protection des infrastructures d'importance vitale à une approche axée sur la résilience.
Cette orientation me semble pertinente, car il est évident que l'on ne pourra jamais se protéger contre toutes les menaces. L'enjeu est donc bien d'identifier les moyens d'assurer la continuité des activités essentielles. Lors des auditions que j'ai menées, cette approche n'a d'ailleurs pas été remise en cause.
Par ailleurs, la directive REC vise désormais les « entités critiques » nationales, c'est-à-dire les opérateurs, et non plus seulement les infrastructures critiques européennes.
Pour ce qui concerne la transposition proprement dite, plusieurs différences doivent être signalées entre le texte qui nous est présenté et la directive. Les opérateurs « régaliens », c'est-à-dire exerçant dans le domaine de la défense ou de la sécurité nationale, qui étaient déjà soumis au dispositif de SAIV, sont ainsi intégrés dans le champ de la transposition, alors que cela n'était pas prévu par la directive.
Par ailleurs, la réalisation d'une analyse des dépendances à l'égard des tiers est prévue, alors que cette obligation ne figure pas dans la directive REC.
Enfin, les opérateurs d'importance vitale devront réaliser un plan de protection et de résilience pour chacun de leurs points d'importance vitale, comme cela est le cas dans le dispositif actuel, alors que la directive ne prévoit des plans qu'à l'échelle de l'opérateur lui-même.
Ces écarts à la directive REC me semblent cependant justifiés au regard de l'objectif poursuivi par le projet de loi, et je considère qu'il n'aurait pas été logique que des opérateurs régaliens restent soumis à un dispositif moins contraignant alors qu'ils exercent des activités par nature essentielles.
Les autres obligations inscrites dans le projet de loi sont conformes à la directive.
Tout d'abord, le champ d'application de la directive comprend 11 secteurs, contre 2 seulement - énergie et transport - dans la directive de 2008. Concrètement, pour la France, la transposition de la directive REC se traduira par un élargissement du champ d'application du dispositif national actuel à plusieurs sous-secteurs, notamment les réseaux de chaleur et de froid, l'hydrogène et l'assainissement.
Ensuite, le texte prévoit la réalisation d'un « plan de résilience opérateur », qui reprendra en partie le contenu des documents existants.
Il impose également une obligation de notification des incidents et prévoit que les opérateurs désignés comme entités critiques d'importance européenne particulière, c'est-à-dire exerçant la même activité ou une activité similaire dans au moins six États membres, pourront faire l'objet d'une mission de conseil organisée par la Commission européenne.
Enfin, un mécanisme de sanction administrative pouvant être prononcée par une commission des sanctions mise en place à cet effet est prévu en cas de manquement.
Sur ce dernier point, je me suis interrogé sur les plafonds de sanction inscrits dans le projet de loi, ces derniers étant élevés - 2 % du chiffre d'affaires ou 10 millions d'euros - et sensiblement plus importants que dans d'autres États membres.
Les directives REC et NIS 2 formant un ensemble cohérent et visant des objectifs convergents, il m'est cependant apparu justifié de prévoir des niveaux de sanctions identiques. Il importe, en outre, que le régime de sanction soit dissuasif, même si la logique qui devra continuer de prévaloir doit être celle d'une collaboration étroite entre les opérateurs et l'administration.
Pour ce qui concerne l'article 1er, qui transpose la directive REC, j'ai déposé 14 amendements tendant notamment à apporter des modifications rédactionnelles, de précision ou de clarification ; à définir la notion d'« incident », laquelle emporte notamment l'obligation de notification que j'ai mentionnée tout à l'heure ; à définir la notion de « résilience », ce qui répond à une recommandation du Conseil d'État ; à préciser la date à partir de laquelle une astreinte prononcée dans le cadre d'une mise en demeure de réaliser, de modifier ou de mettre en oeuvre un plan commence à s'appliquer ; à compléter l'analyse des dépendances à l'égard des tiers, en ne se limitant pas à la chaîne d'approvisionnement en matières premières, mais en intégrant également la chaîne de sous-traitance afin de réduire les « trous dans la raquette » ; à fixer à vingt-quatre heures le délai dans lequel l'opérateur doit signaler un incident à l'autorité administrative et à prévoir que le décret en Conseil d'État mentionné à l'alinéa 44 détermine l'ensemble des modalités de mise en oeuvre de cette obligation, notamment pour la protection du secteur de la défense - ce décret pourra également préciser la nature des incidents devant être signalés à l'autorité administrative ; et à renforcer les garanties d'indépendance de la commission des sanctions, en prévoyant que les trois personnalités qualifiées qui y siégeront seront nommées non plus exclusivement par le Premier ministre, mais respectivement par le Premier ministre, le président de l'Assemblée nationale et le président du Sénat.
La rédaction actuelle de l'article 4 me semble présenter une ambiguïté. Il existe un risque que les opérateurs d'importance vitale actuels voient leurs délais de mise en conformité réduits, car ils seront considérés comme OIV dès l'entrée en vigueur de la loi. Or il est évident que des textes d'application devront être pris ou à tout le moins actualisés, réduisant d'autant les délais fixés par le projet de loi. C'est pourquoi j'ai déposé un amendement visant à différer l'entrée en vigueur du titre Ier de manière à laisser le temps au Gouvernement de prendre l'ensemble des actes d'application nécessaire.
Sur le titre II, mes amendements visent à compléter la liste des définitions figurant à l'article 6, en particulier celles des notions d'« incident » et de « vulnérabilité », qui ne sont pas présentes dans le projet de loi alors qu'elles figurent dans la directive NIS 2.
M. Olivier Cadic, président, rapporteur, en remplacement de M. Patrick Chaize. - Permettez-moi de lire l'intervention de notre collègue rapporteur Patrick Chaize, qui vous prie de bien vouloir excuser son absence.
En sa qualité de rapporteur chargé de l'examen du titre II de ce projet de loi, et plus précisément de ses articles 7 à 42, son intervention sera centrée sur la transposition de la directive NIS 2.
Comme nos auditions nous l'ont clairement montré, au-delà de la hausse du nombre de secteurs et d'entités régulées, c'est un changement majeur de paradigme qui est à l'oeuvre. Il s'agit non plus seulement, comme avec la directive NIS 1, de sécuriser des infrastructures critiques, mais aussi d'assurer la résilience de quelque 15 000 entités « essentielles » ou « importantes », en tant qu'organisations, et de l'ensemble de leurs systèmes d'information.
Bien évidemment, nous sommes, au Sénat, tout particulièrement sensibles à la situation des près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle - dont l'ensemble des régions et des départements, près de 1 000 communautés de communes et de 300 communes de plus de 30 000 habitants - qui sont directement concernés par le présent projet de loi.
Pour en venir aux amendements qu'il vous propose d'adopter aujourd'hui, beaucoup d'entre eux visent à répondre au constat, largement partagé par les acteurs que nous avons entendus, d'une « sous-transposition » de la directive et d'un projet de loi de transposition « moins-disant », qui laisse une place trop importante aux dispositions de nature réglementaire.
Après l'article 5, il vous propose un amendement portant article additionnel prévoyant les grandes lignes de la stratégie nationale en matière de cybersécurité que devra élaborer le Premier ministre dans le nouveau contexte créé par NIS 2.
À l'article 7, qui renvoie intégralement à un décret en Conseil d'État la liste des secteurs « hautement critiques » et « critiques » concernés par le projet de loi, il vous propose un amendement visant à inscrire directement dans la loi les secteurs énumérés dans les annexes de la directive NIS 2. Afin de prévoir une certaine souplesse dans un domaine qui peut évoluer rapidement, un décret en Conseil d'État déterminera les sous-secteurs et les types d'entités relevant des secteurs.
À l'article 14, qui prévoit les obligations en matière de cybersécurité qui s'imposeront aux entités « essentielles » et « importantes », il vous propose un amendement, directement inspiré par la directive NIS 2, insistant sur la nécessaire proportionnalité de ces mesures : il convient de tenir compte systématiquement de la taille de l'entité, du degré de son exposition aux risques cyber, de la probabilité de survenance d'incidents et de leur gravité, afin de ne pas imposer des obligations excessives et trop coûteuses.
Au même article, un second amendement vient préciser, comme le fait la directive, que les décisions stratégiques en matière de cybersécurité doivent être prises par les organes de direction des entreprises ou des administrations publiques et que leurs dirigeants comme leurs personnels exposés aux risques cyber doivent être formés aux grands enjeux en matière de cybersécurité.
À l'article 17, qui concerne la procédure de notification des incidents, il vous propose plusieurs modifications destinées à mieux mettre en conformité le texte du projet de loi avec celui de la directive. Il s'agit notamment de reprendre la définition d'« incident important » déclenchant une notification à l'Anssi, la définition proposée par la directive étant très claire ; de prévoir, conformément à la lettre de la directive NIS 2, une transmission, « sans retard injustifié », d'une « alerte précoce » dans un délai de « vingt-quatre heures » puis la transmission d'une « notification d'incident » dans un délai de « soixante-douze heures », puis la remise d'un rapport intermédiaire et d'un rapport final ; de prévoir que « l'autorité nationale de sécurité des systèmes d'information fournit, sans retard injustifié et si possible dans les vingt-quatre heures suivant la réception de la première notification reçue, une réponse à l'entité émettrice de la notification », puisque, de multiples obligations étant mises à la charge des entreprises et des administrations publiques, il est bon que, par symétrie, cette obligation mise par la directive à la charge de l'Anssi soit, elle aussi, prévue dans la loi ; de supprimer la notion d'« incident critique », qui, dans le projet de loi, vient s'ajouter à celui d'« incident important », ce qui est source de complexité inutile.
À l'article 29, il vous propose un amendement qui prévoit explicitement que l'entité faisant l'objet d'un contrôle de l'Anssi ne soit pas tenue de prendre en charge le coût du contrôle lorsque celui-ci ne révèle aucun manquement aux obligations qui s'imposent à elle. Il s'agit de préciser le cadre de l'exonération prévue par le texte déposé par le Gouvernement, qui accorde à l'Anssi un pouvoir discrétionnaire.
À l'article 35, il vous propose un amendement prévoyant que les personnalités qualifiées en matière de cybersécurité qui siégeront à la commission des sanctions devront ne pas avoir travaillé à l'Anssi depuis au moins cinq ans et seront nommées respectivement par le Premier ministre, le président de l'Assemblée nationale et le président du Sénat, et non toutes par le Premier ministre.
À l'article 37, qui porte sur les sanctions applicables aux entités qui ne respecteraient pas les obligations prévues par le titre II transposant NIS 2, il vous propose de prévoir que la faculté, pour la commission des sanctions, d'interdire à une personne physique exerçant les fonctions de dirigeant dans une entité essentielle qui n'aurait pas accompli toutes ses obligations en matière de cybersécurité d'exercer des responsabilités dirigeantes dans cette entité est possible uniquement en dernier recours, si et seulement si le manquement persiste alors que l'entité essentielle s'est déjà vu imposer une amende administrative. Il s'agit de réserver cette sanction à des cas graves et exceptionnels qui verraient un dirigeant persister à refuser de résoudre un manquement alors même que son entreprise aurait déjà été sanctionnée.
Dans la perspective de la séance publique, il envisage de déposer des amendements aux articles 8 et 9 afin de faire passer les communautés d'agglomération qui ne comptent aucune ville de 30 000 habitants de la catégorie des entités essentielles vers la catégorie des entités importantes. Cette demande de l'Association des maires de France et des présidents d'intercommunalité me paraît raisonnable, mais il ne prévoit pas, en revanche, de retirer les communautés de communes du périmètre des entités régulées par le projet de loi.
Il avait également réfléchi à un mécanisme de crédit d'impôt destiné à aider les entreprises à financer leur mise au niveau de cybersécurité requis par NIS 2, mais le contexte de nos finances publiques lui apparaît beaucoup trop dégradé pour aller dans cette direction. Le Gouvernement travaille à une labellisation NIS 2 pour permettre aux entreprises de valoriser, vis-à-vis de leurs banques, de leurs assurances ou bien encore de leurs clients, leurs efforts en matière de cybersécurité. Il souhaiterait que nous puissions, en séance, sécuriser une accroche législative pour ce dispositif, afin de rassurer les entreprises sur ce point.
Enfin, il n'a pas, à ce stade, déposé d'amendement sur les délais d'application des mesures du titre II, malgré une demande très forte en ce sens des personnes que nous avons auditionnées, car la directive NIS 2 ne prévoit pas de tels délais. De ce fait, nous ne respecterions donc pas ses dispositions en les inscrivant dans la loi. Néanmoins, il déposera de tels amendements en séance, afin que le Gouvernement s'engage solennellement à ne pas appliquer les dispositions en matière de contrôle et de sanctions pendant au moins trois ans, voire davantage pour certaines entités.
Il faudra également, en séance, insister sur les efforts de communication et d'accompagnement que l'Anssi devra déployer pour que NIS 2 devienne une réalité concrète pour les 15 000 entités régulées.
M. Michel Canévet, rapporteur. - Il me revient d'aborder le titre III du projet de loi, qui transpose la directive DORA (Digital Operational Resilience Act) du 14 décembre 2022 et dont je suis le rapporteur. Cette directive modifie les directives sectorielles encadrant les secteurs bancaire, assurantiel et financier - à savoir la directive concernant les marchés d'instruments financiers (MIF 2), la directive sur les fonds propres réglementaires (CRD - Capital Requirements Directive), la directive Solvabilité II et la directive révisée sur les services de paiement (DSP 2) - pour prévoir que leur politique de gestion des risques liés aux technologies de l'information et de la communication (TIC) est conforme au règlement DORA du 14 décembre 2022.
S'agissant des entités financières identifiées en tant qu'entités essentielles ou importantes conformément aux dispositions nationales transposant l'article 3 de la directive NIS 2, le règlement DORA est considéré comme un acte juridique sectoriel de l'Union. Le paquet DORA constitue ainsi ce qu'on appelle la lex specialis de la directive NIS 2, c'est-à-dire sa déclinaison applicable au secteur financier.
Le secteur financier est, en effet, une cible de choix pour les cyberattaques : on peut, par exemple, rappeler que la filiale américaine de la banque chinoise ICBC a dû être recapitalisée à hauteur de plusieurs milliards de dollars en 2024 à la suite d'une attaque par un rançongiciel. Le comité européen du risque systémique estime ainsi que le niveau élevé d'interconnexion dans le secteur financier est susceptible de constituer une vulnérabilité systémique du fait d'une propagation possible d'un cyberincident de l'une des 22 000 entités financières à l'ensemble du système. Les menaces cyber, en forte augmentation depuis plusieurs années, représentent ainsi, selon la Banque de France, un risque très élevé, supérieur au risque de marché et au risque climatique. Les cyberattaques peuvent ainsi être source de déstabilisation pour le système financier, exposé à une large gamme de risques TIC. En particulier, il faut noter que le recours fréquent à des prestations externes de services TIC étend la surface d'attaque des entités du secteur financier.
Une réglementation plus rigoureuse, permettant de sécuriser le système financier, mais aussi d'internaliser le coût de l'externalité négative que représente, du fait des interconnexions prévalant dans ce secteur, la défaillance d'une entité financière, était donc nécessaire, et c'est le sens du paquet DORA.
Le présent projet de loi précise les obligations qui s'imposent aux infrastructures de marché : les gestionnaires de plateformes de négociation doivent assurer et maintenir leur résilience opérationnelle conformément au règlement DORA - c'est l'objet de l'article 44 -, tandis que les entreprises de marché doivent gérer les risques liés aux TIC conformément aux exigences de ce règlement - c'est l'article 45. Il renforce également les obligations des établissements de crédit et des sociétés de financement, tant en termes de gouvernance qu'au regard des politiques d'urgence et de poursuite d'activité, mais aussi des plans de réponse et de rétablissement - articles 46 et 47 -, obligations auxquelles doivent également s'astreindre les prestataires de services d'investissement - articles 51 et 52. Les prestataires de services de paiement sont également ciblés - articles 48 et 49 -, de même que les entreprises d'assurance et de réassurance et les fonds de retraite professionnelle supplémentaire - article 57 -, les groupes d'assurance - article 58 -, les mutuelles et unions - article 59 - ainsi que les instituts de prévoyance et unions - article 61.
Il détermine également le rôle et les pouvoirs des autorités de supervision : l'article 53 s'attache à préciser que le secrétaire général de l'ACPR peut demander des renseignements à des prestataires tiers informatiques de personnes assujetties, tandis que l'article 54 complète le contenu des plans préventifs de résolution établis par le collège de résolution de l'ACPR de façon qu'ils puissent renforcer la résilience opérationnelle numérique de l'établissement supervisé.
Plusieurs sujets de préoccupation demeurent toutefois, dont seuls quelques-uns peuvent faire l'objet d'une modification législative au sein de ce projet de loi.
Je vous propose ainsi d'adopter, outre deux amendements rédactionnels, plusieurs amendements ayant pour principal objet de simplifier la vie des entreprises et d'éviter les différences de traitement entre elles.
Avant l'article 62, je vous proposerai d'adopter un amendement portant article additionnel destiné à éviter un double assujettissement à DORA et à NIS 2, dans la mesure où le respect des obligations que prévoit DORA est réputé valoir respect des obligations prévues par NIS 2.
Pour simplifier les démarches de « reporting », je vous propose deux amendements, l'un de rédaction globale de l'article 49, visant à fusionner les dispositifs de déclaration d'incidents opérationnels ou de sécurité liés au paiement prévus par la directive sur les services de paiement et le dispositif de déclaration d'incidents liés aux TIC prévu par le règlement DORA, et un article additionnel avant l'article 43, tendant à créer une sorte de « guichet unique », en désignant les autorités compétentes dans le cas d'une multiplicité d'autorités de supervision.
Je vous proposerai également un amendement portant article additionnel destiné à éviter des différences de traitement entre les entreprises d'investissement en prévoyant que le règlement DORA s'applique aux succursales d'entreprises d'investissement de pays tiers, conformément à l'approche traditionnellement retenue d'étendre les dispositions prudentielles pertinentes à ces succursales.
Enfin, je vous propose deux amendements destinés à éviter les surtranspositions ou, du moins, à en modérer les effets, en prévoyant, d'une part, à l'article 62, le report à 2030 de l'application du titre III à l'ensemble des sociétés de financement, puisque ces sociétés, de droit français, ne sont pas visées par le paquet DORA, et, d'autre part, la suppression de l'article 53, qui ajoute une précision superfétatoire et potentiellement contre-productive dans le code monétaire et financier, selon laquelle les prestataires tiers de services fondés sur les TIC figurent dans le périmètre du droit de communication dont dispose le secrétaire général de l'ACPR.
Au-delà de ce qu'il est possible de faire au sein du présent texte, il conviendra que l'ACPR et l'AMF prennent les dispositions nécessaires pour s'adapter à la nouvelle donne induite par DORA. Surtout, les normes techniques européennes de niveau 2 - normes techniques réglementaires (RTS - Regulatory Technical Standards) et normes techniques d'exécution (ITS - Implementing Technical Standards) - nécessaires à la pleine application des dispositions du paquet DORA n'ont pas toutes été prises : il y a là une urgence qu'il convient de souligner, car il importe que les acteurs puissent avoir connaissance de ces dispositions le plus vite possible afin de se mettre en conformité.
M. Olivier Cadic, président. - Mes chers collègues, il me revient à présent, en application du vade mecum sur l'application des irrecevabilités au titre de l'article 45 de la Constitution, adopté par la Conférence des présidents, de vous présenter le périmètre retenu pour juger de la recevabilité des amendements susceptibles de présenter un lien, même indirect, avec le texte déposé.
Ce périmètre comprend les dispositions relatives aux obligations qui s'imposent aux opérateurs désignés comme opérateurs d'importance vitale en matière de résilience de leurs activités d'importance vitale ; les dispositions relatives aux obligations qui s'imposent aux opérateurs désignés comme entités critiques d'importance européenne particulière en matière d'information de l'autorité administrative et, le cas échéant, d'accès aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels dans le cadre d'une mission de conseil menée par la Commission européenne ; les dispositions relatives aux cas d'accès aux points d'importance vitale et systèmes d'information d'importance vitale et aux fonctions pouvant faire l'objet d'enquêtes administratives de sécurité à la demande des opérateurs ; les dispositions relatives au rôle et aux pouvoirs de l'autorité publique en matière de contrôle et de sanction des manquements aux obligations s'imposant aux opérateurs d'importance vitale ; les dispositions ayant trait aux marchés publics et contrats de concession relatifs à la sécurité des activités d'importance vitale ; les dispositions relatives aux missions de l'autorité nationale de sécurité des systèmes d'information ou des organismes qui jouent un rôle équivalent dans le domaine de la défense ; les dispositions qui s'imposent aux entreprises, aux établissements publics à caractère industriel et commercial, aux opérateurs de communications électroniques, aux prestataires de service de confiance, aux offices d'enregistrement, aux fournisseurs de services de systèmes de noms de domaine, aux administrations, aux collectivités territoriales et à leurs établissements publics et aux établissements d'enseignement menant des activités de recherche en matière de sécurité des systèmes d'information, de supervision de ces obligations par l'autorité nationale de sécurité des systèmes d'information et, le cas échéant, de sanction de leur méconnaissance ; les dispositions relatives au contrôle des moyens et prestations de cryptologie ; les dispositions relatives aux sanctions des activités prohibées susceptibles de brouiller les émissions hertziennes ; les dispositions relatives aux conditions d'accès à une assignation de fréquences déposée par la France auprès de l'Union internationale des télécommunications ; les dispositions relatives aux obligations qui s'imposent aux infrastructures de marché, aux établissements de crédit, aux sociétés de financement, aux prestataires de services d'investissement et de services de paiement, aux entreprises d'assurance et de réassurance, aux fonds de retraite professionnelle supplémentaire, aux groupes d'assurance, aux mutuelles, instituts de prévoyance et unions ainsi qu'à leurs prestataires tiers, en matière de gestion des risques liés aux technologies de l'information et de la communication ; les dispositions relatives au rôle et aux pouvoirs des autorités de supervision des secteurs bancaire, assurantiel et financier en matière de gestion des risques liés aux technologies de l'information et de la communication.
Mme Catherine Morin-Desailly. - Je souscris aux analyses des rapporteurs. Il est essentiel de faire de la directive transposée une réussite opérationnelle et de veiller à harmoniser notre réglementation avec celle des autres pays européens. Nous devons travailler ensemble pour nous défendre, pour organiser la cybersécurité et pour construire une filière industrielle dans ce domaine.
Comme l'a dit l'un des rapporteurs, il faudra insister lors de l'examen du texte en séance sur l'effort de pédagogie que devra fournir l'Anssi auprès des entreprises et des collectivités territoriales. En effet, nous sommes nombreux à constater que nos collectivités sont encore loin d'être sensibilisées à ce sujet. Cela nécessite la mobilisation de moyens humains et financiers. Nous devons monter en compétence numérique et le Gouvernement devra se positionner clairement pour définir une stratégie globale.
En outre, malgré tous les règlements que nous pourrons faire, sans politique industrielle dédiée, nous ne pourrons pas assurer la cybersécurité. Il faut que ce texte contribue à ce que l'effet de ruissellement de cette filière industrielle soit correctement accompagné par la France et l'Europe.
Enfin, puisque j'ai l'honneur de représenter le Sénat à la Commission nationale de l'informatique et des libertés (Cnil), je précise que celle-ci se félicite de ce texte. La transposition de la directive incitera à étendre encore davantage le champ de la coopération entre la Cnil et l'Anssi pour créer un cadre cohérent. Certains points méritent d'être approfondis avant l'examen du texte en séance, pour éviter notamment les doublons en matière de sanctions.
Mme Audrey Linkenheld. - Les élus du groupe socialiste souscrivent largement aux constats qui viennent d'être dressés au sujet de la transposition de cette directive et aux améliorations que les rapporteurs proposeront au travers de leurs amendements.
Je vous avais parlé de la cyberattaque dont a été victime la ville de Lille et je vous avais exposé les enseignements que nous en avions tirés, notamment sur la nécessité d'accompagner les collectivités territoriales en amont aussi bien qu'en aval d'une éventuelle attaque.
Or deux ans à peine après cette attaque qui a eu des conséquences importantes, la chambre régionale des comptes a jugé pertinent de venir contrôler la ville de Lille, de sorte qu'un magistrat est venu commenter les mesures que nous avons prises et nous faire des recommandations. Il ne s'agit pas de contester le diagnostic d'ailleurs assez juste qu'il a fait, mais de vous faire part d'un certain étonnement face à cette démarche. En effet, comment peut-on demander aux collectivités de prendre des mesures et de définir des stratégies en matière de cyberprotection et de cyberrésilience, alors même que nous n'avons pas fini d'examiner ce texte au Sénat et qu'aucune stratégie n'a été définie à l'échelle nationale ?
Cela signifie que le texte issu de nos travaux sera examiné avec attention par ceux qui contrôlent les collectivités locales, et pas seulement par l'Anssi. Nous devrons donc nous montrer très vigilants.
EXAMEN DES ARTICLES
M. Hugues Saury, rapporteur. - Demande de retrait ou avis défavorable à l'amendement COM-10 qui vise à définir la notion d'incident. En effet, mieux vaut utiliser la terminologie nationale en utilisant les termes d'« activité d'importance vitale » plutôt que ceux de « service essentiel » comme le propose l'amendement des rapporteurs COM-82.
L'amendement COM-10 n'est pas adopté.
M. Hugues Saury, rapporteur. - Même avis sur l'amendement COM-11 qui vise à définir la notion de résilience. Demande de retrait au profit de l'amendement des rapporteurs COM-83.
L'amendement COM-11 n'est pas adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-31 vise à préciser la notion d'activité d'importance vitale en intégrant une référence à la santé publique et à l'environnement. Dans la mesure où ces éléments figurent dans la définition du service essentiel inscrite à l'article 2 de la directive REC, l'avis est favorable.
L'amendement COM-31 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-78 tend à définir les activités d'importance vitale numériques. Il n'est pas opportun de créer une telle catégorie spécifique, déjà incluse dans la notion générique d'activité d'importance vitale. Demande de retrait ou avis défavorable.
Mme Patricia Demas. - Je le retire.
L'amendement COM-78 est retiré.
M. Hugues Saury, rapporteur. - Notre amendement COM-81 est rédactionnel.
L'amendement COM-81 est adopté.
M. Hugues Saury, rapporteur. - Notre amendement COM-82 vise à définir l'incident comme « un événement qui perturbe ou est susceptible de perturber de manière importante l'exercice d'une activité d'importance vitale ». Nous voulons ainsi transposer l'article 2 de la directive européenne REC, en l'adaptant et en reprenant la terminologie nationale.
L'amendement COM-82 est adopté.
M. Hugues Saury, rapporteur. - Dans notre amendement COM-83, nous reprenons, en l'adaptant, la définition du terme « résilience » figurant à l'article 2 de la directive européenne. La résilience est ainsi définie comme « la capacité d'un opérateur à prévenir et à se protéger contre tout incident, ainsi qu'à assurer la continuité de l'activité d'importance vitale qu'il exerce ».
L'amendement COM-83 est adopté.
M. Hugues Saury, rapporteur. - Avis défavorable à l'amendement COM-32 qui vise à instaurer une obligation de concertation préalable entre l'autorité administrative et l'opérateur concerné avant de le désigner opérateur d'importance vitale.
Si je partage l'intention des auteurs de cet amendement, le dispositif de résilience des activités d'importance vitale doit reposer sur un impératif d'efficacité qui implique une certaine rapidité. La procédure actuelle, qui devrait être reprise dans les textes d'application à venir, prévoit uniquement la possibilité pour l'opérateur de produire des observations. Il ne me semble pas opportun d'aller au-delà.
L'amendement COM-32 n'est pas adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-33 a pour objet de préciser le périmètre des entités pouvant être désignées comme opérateurs d'importance vitale. Il est satisfait par la rédaction actuelle de l'alinéa 13, qui dispose que sont désignés OIV « les opérateurs publics ou privés exerçant, au moyen d'infrastructures critiques situées sur le territoire national, une activité d'importance vitale ». Cette activité n'est donc pas exclusive de l'exercice d'une autre activité. Demande de retrait ou avis défavorable.
M. Mickaël Vallet. - Notre amendement vise surtout la question de la proportionnalité.
Mme Audrey Linkenheld. - Les obligations de l'OIV s'imposent-elles à une seule activité ou bien à toutes les activités ?
M. Hugues Saury, rapporteur. - Elles s'imposent à l'opérateur au titre de l'exercice d'une activité, le cas échéant, parmi d'autres.
M. Mickaël Vallet. - Il s'agit de trouver la meilleure rédaction possible. Nous pourrons en discuter en séance.
L'amendement COM-33 n'est pas adopté.
L'amendement de précision COM-84 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-34 vise à préciser les secteurs couverts par la directive REC. Il est satisfait par la rédaction actuelle de l'alinéa 14, qui dispose que l'autorité administrative peut mentionner « l'activité ou la liste des activités d'importance vitale exercées par l'opérateur qui constituent des services essentiels au fonctionnement du marché intérieur de l'Union européenne définis par le règlement délégué de la Commission européenne ». Or ce règlement délégué fixe déjà une liste de secteurs et même de sous-secteurs devant être regardés comme des services essentiels. Demande de retrait ou avis défavorable.
L'amendement COM-34 n'est pas adopté.
L'amendement rédactionnel COM-85 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-35 tend à préciser la nature des risques devant être évalués par les OIV. Il est satisfait par la rédaction actuelle de l'alinéa 20, qui prévoit que les OIV réalisent une analyse des risques « de toute nature, y compris à caractère terroriste », ce qui inclut donc ceux que mentionne l'amendement. Demande de retrait ou avis défavorable.
M. Mickaël Vallet. - Pourquoi préciser « y compris à caractère terroriste » s'il s'agit des risques « de toute nature » ?
M. Hugues Saury, rapporteur. - Parce qu'il s'agit d'un risque bien spécifique, qui nécessite des coordinations particulières, par exemple avec le plan Vigipirate.
M. Mickaël Vallet. - L'amendement est surtout rédactionnel, bien évidemment...
Mme Audrey Linkenheld. - Il ne vise qu'à transposer la directive.
L'amendement COM-35 est adopté.
L'amendement rédactionnel COM-86 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-36 qui a pour objet d'intégrer la notion de résilience dans les mesures prises par les OIV est satisfait par notre amendement COM-83, qui définit la résilience en y intégrant notamment la notion de prévention des incidents. Demande de retrait ou avis défavorable.
L'amendement COM-36 n'est pas adopté.
M. Hugues Saury, rapporteur. - Notre amendement COM-87 vise à clarifier la date à partir de laquelle une astreinte pécuniaire peut être imposée à l'opérateur mis en demeure de réaliser ou de modifier son plan de résilience opérateur.
L'amendement COM-87 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-37 vise à distinguer les éléments classifiés au sein du plan de résilience opérateur (PRO). Mais que signifie le terme de « distinguer » en droit ? Demande de retrait ou avis défavorable.
L'amendement COM-37 n'est pas adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-38 vise à renforcer l'identification des dépendances et interdépendances des opérateurs d'importance vitale. J'en demande le retrait au profit de mon amendement COM-88, dont la rédaction me semble plus claire.
L'amendement COM-38 n'est pas adopté.
M. Hugues Saury, rapporteur. - Notre amendement COM-88 vise à préciser que l'analyse des dépendances à l'égard de tiers ne se limite pas à leur chaîne d'approvisionnement, mais inclut également les sous-traitants qui peuvent constituer des points de vulnérabilité.
L'amendement COM-88 est adopté.
M. Hugues Saury, rapporteur. - Avis défavorable à l'amendement COM-39, car il est satisfait par la rédaction actuelle de l'alinéa 32, qui prévoit que les plans particuliers de résilience détaillent les mesures de protection et de résilience mises en oeuvre.
M. Mickaël Vallet. - Je le retire.
L'amendement COM-39 est retiré.
M. Hugues Saury, rapporteur. - Notre amendement COM-89 a pour objet de clarifier la date à partir de laquelle une astreinte pécuniaire peut être imposée à un opérateur faisant l'objet d'une mise en demeure.
L'amendement COM-89 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-40 prévoit un avis préalable de la Cnil sur le décret en Conseil d'État fixant les modalités de mise en oeuvre des enquêtes administratives de sécurité.
Je demande le retrait de cet amendement. Dans le cadre du dispositif de SAIV actuel, les enquêtes administratives de sécurité peuvent déjà donner lieu à la consultation du bulletin n° 2 du casier judiciaire ainsi que des traitements automatisés de données à caractère personnel.
Mme Audrey Linkenheld. - L'avis de la Cnil porte sur le décret, pas sur les enquêtes.
Mme Catherine Morin-Desailly. - L'avis de la Cnil a-t-il été sollicité sur ce sujet particulier ?
M. Hugues Saury, rapporteur. - J'invite les auteurs de cet amendement à le redéposer en séance afin d'entendre l'avis du Gouvernement, notamment sur cette dernière question. Demande de retrait ou avis défavorable.
M. Mickaël Vallet. - Nous le retirons.
L'amendement COM-40 est retiré.
M. Hugues Saury, rapporteur. - Notre amendement COM-90 rectifié prévoit, d'une part, que la notification d'incident doit intervenir au plus tard vingt-quatre heures après que l'opérateur en a pris connaissance, et, d'autre part, que le décret en Conseil d'État mentionné à l'alinéa 44 déterminera l'ensemble des conditions de mise en oeuvre de cette obligation de notification.
Je demande le retrait de l'amendement COM-41 au profit de notre amendement COM-90 rectifié. Il me semble en effet préférable de ne pas détailler le contenu du décret en Conseil d'État pour permettre au pouvoir réglementaire d'établir, par exemple, des exceptions liées à la protection du secret de la défense nationale et préciser la nature des incidents devant être signalés à l'autorité administrative.
L'amendement COM-90 rectifié est adopté. En conséquence, l'amendement COM-41 devient sans objet.
M. Hugues Saury, rapporteur. - Avis favorable à l'amendement COM-42 qui vise à définir les entités considérées comme critiques au niveau européen, en reprenant les critères de la directive REC.
L'amendement COM-42 est adopté, de même que l'amendement rédactionnel COM-91 .
M. Hugues Saury, rapporteur. - Avis favorable à l'amendement COM-43 qui vise à préciser utilement les conditions dans lesquelles une mission de conseil pourra être effectuée auprès d'une entité critique d'importance européenne particulière.
L'amendement COM-43 est adopté.
M. Hugues Saury, rapporteur. - Notre amendement COM-92 a pour objet d'étendre l'applicabilité du moyen de démontrer la conformité aux règles de sécurité aux opérateurs d'importance vitale qui ne sont soumis ni à la directive REC ni à la directive NIS 2.
L'amendement COM-92 est adopté.
M. Hugues Saury, rapporteur. - Notre amendement COM-93 vise à corriger une erreur matérielle.
L'amendement COM-93 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-44 prévoit de limiter les pouvoirs de contrôle des agents chargés de la supervision des OIV aux lieux à usage professionnel et aux lieux d'exécution d'une prestation de service en lien avec les installations sensibles.
J'y suis défavorable pour deux raisons. D'une part, il me semble que la restriction prévue par l'amendement est susceptible de priver l'accès à des locaux qui, bien que n'ayant pas de « lien avec les installations sensibles » peuvent présenter un intérêt majeur dans le cadre d'un contrôle : je pense par exemple au siège d'une entreprise. D'autre part, la notion d'installations sensibles est trop imprécise.
Mme Audrey Linkenheld. - Le « lien avec les installations sensibles » permettait d'inclure les sièges sociaux des entreprises.
M. Hugues Saury, rapporteur. - La rédaction actuelle le prévoit déjà.
Mme Audrey Linkenheld. - Nous souhaitions permettre que le contrôle se fasse jusqu'au bout sans pour autant aller trop loin dans les demandes faites à une entreprise privée.
M. Hugues Saury, rapporteur. - Nous pourrons en discuter en séance.
M. Mickaël Vallet. - Nous retirons notre amendement.
L'amendement COM-44 est retiré.
M. Hugues Saury, rapporteur. - L'amendement COM-45 est satisfait par l'alinéa 83 qui dispose déjà que les membres de la commission des sanctions « exercent leurs fonctions en toute impartialité » et que « dans l'exercice de leurs attributions, ils ne reçoivent ni ne sollicitent d'instruction d'aucune autorité ». Demande de retrait.
M. Mickaël Vallet. - Nous le retirons.
L'amendement COM-45 est retiré.
M. Hugues Saury, rapporteur. - Notre amendement COM-94 prévoit que les trois personnalités qualifiées qui siégeront à la commission des sanctions ne seront plus exclusivement nommées par le Premier ministre, mais, respectivement, par le Premier ministre, le président de l'Assemblée nationale et le président du Sénat.
L'amendement COM-94 est adopté.
L'article 1er est adopté dans la rédaction issue des travaux de la commission.
M. Hugues Saury, rapporteur. - Comme je l'ai déjà dit, il ne me semble pas opportun de créer une catégorie spécifique d'activités d'importance vitale numériques, celles-ci étant par nature comprises dans la notion générique d'activité d'importance vitale. Demande de retrait ou avis défavorable à l'amendement COM-79.
Mme Patricia Demas. - Je le retire.
L'amendement COM-79 est retiré.
M. Hugues Saury, rapporteur. - Même avis sur l'amendement COM-80, pour les mêmes raisons.
Mme Patricia Demas. - Je le retire.
L'amendement COM-80 est retiré.
Article 2
L'article 2 est adopté sans modification.
Article 3
L'article 3 est adopté sans modification.
M. Hugues Saury, rapporteur. - L'amendement COM-95 a pour objet de différer l'entrée en vigueur du titre Ier à une date fixée par décret en Conseil d'État, au plus tard un an après la promulgation du texte.
L'amendement COM-95 est adopté.
L'article 4 est adopté dans la rédaction issue des travaux de la commission.
M. Hugues Saury, rapporteur. - L'amendement COM-46 est satisfait par mon amendement COM-96 qui précise que l'Anssi est mentionnée à l'article L. 2321-1 du code de la défense. Aussi, je demande à ses auteurs de le retirer.
M. Mickaël Vallet. - Nous le retirons.
L'amendement COM-46 est retiré.
L'amendement de précision COM-96 est adopté.
M. Hugues Saury, rapporteur. - L'amendement COM-47 vise à préciser que l'Anssi est le point de contact unique pour les autorités compétentes des autres États membres, pour la Commission européenne et pour l'Agence européenne pour la cybersécurité (Enisa - European Union Agency for Cybersecurity).
Dès lors que l'Anssi est l'autorité unique chargée de la mise en oeuvre de la politique du Gouvernement en matière de sécurité des systèmes d'information et de son contrôle, la précision apportée par cet amendement me semble superfétatoire. Avis défavorable.
L'amendement COM-47 n'est pas adopté.
M. Hugues Saury, rapporteur. - Il me semble opportun de préciser que les missions de l'Anssi comprennent l'accompagnement et le soutien au développement de la filière cybersécurité. Ces deux dimensions, pourtant primordiales, sont en effet absentes de ses missions actuelles. Avis favorable à l'amendement COM-58.
L'amendement COM-58 est adopté.
L'article 5 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-27 est largement satisfait par l'amendement COM-97 des rapporteurs qui prévoit l'élaboration d'une stratégie nationale en matière de cybersécurité. Cette stratégie devra bien sûr revenir en détail sur l'indispensable accompagnement des PME-TPE et des collectivités territoriales dans leur montée en maturité cyber. Demande de retrait ou avis défavorable.
Mme Audrey Linkenheld. - Nous le retirons même s'il n'est pas complètement satisfait. Nous pourrons en discuter en séance.
L'amendement COM-27 est retiré.
M. Olivier Cadic, président, rapporteur. - L'idée d'identifier un sous-préfet en qualité de référent en matière de cybersécurité par département est intéressante, mais je pense que c'est plutôt aux centres gouvernementaux de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) ou aux CSIRT (Computer Security Incident Response Team) régionaux de jouer le rôle d'animation de la cybersécurité au niveau local, sous l'égide de l'Anssi. Je demande le retrait de l'amendement COM-49.
Mme Audrey Linkenheld. - Les CSIRT ne dépendent pas de l'administration décentralisée. Leur rôle est d'intervenir en cas d'incident. Or nous voulons identifier dans l'administration décentralisée un appui susceptible d'accompagner les collectivités territoriales dans leur mise à niveau en matière de cybersécurité, ainsi que lors d'éventuels incidents, y compris sur des questions non numériques. Il s'agit d'améliorer l'accompagnement technique des collectivités.
M. André Reichardt. - Que propose le rapporteur pour appuyer les collectivités territoriales ?
M. Olivier Cadic, président, rapporteur. - Le rapporteur renvoie aux centres d'expertise et de ressources des titres (CERT) ou aux CSIRT. Une organisation existe déjà partiellement sous l'égide de l'Anssi. Il ne nous paraît pas opportun de confier cela au sous-préfet. Il sera intéressant d'entendre l'avis du Gouvernement sur le sujet.
M. André Reichardt. - Dans l'amendement, s'agit-il d'un sous-préfet en fonction ?
Mme Audrey Linkenheld. - Oui. Nous ne voulons pas créer de nouveau poste, mais identifier au sein de la préfecture un référent qui assurera la fonction cyber au niveau local, en complément des CSIRT.
Nous retirons notre amendement.
L'amendement COM-49 est retiré.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-97 vise à compenser l'absence de référence à une stratégie nationale de cybersécurité.
L'amendement COM-97 est adopté et devient article additionnel.
M. Hugues Saury, rapporteur. - L'amendement COM-98 tend à reprendre la définition du terme « incident » telle qu'énoncée à l'article 6 de la directive NIS 2, à savoir « un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessibles ».
L'amendement COM-98 est adopté.
M. Hugues Saury, rapporteur. - Dans le même esprit, l'amendement COM-99 vise à définir la notion de vulnérabilité.
L'amendement COM-99 est adopté.
L'article 6 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-18 tend à renvoyer, pour la liste des secteurs hautement critiques et critiques en matière de cybersécurité, aux annexes de la directive NIS 2. Cet amendement est satisfait par l'amendement COM-100, qui prévoit d'inscrire cette liste directement dans la loi.
L'amendement COM-18 est retiré. L'amendement COM-100 est adopté.
L'article 7 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - Les amendements identiques COM-23, COM-51 et COM-64 portent sur le caractère cumulatif des critères de taille et de chiffre d'affaires par bilan. L'article 3 de la directive dispose que sont des entités « essentielles » les entités appartenant à un secteur « hautement critique » qui dépassent les plafonds applicables aux moyennes entreprises. Si les rapporteurs comprennent le choix de proposer une définition positive des critères de taille permettant d'établir si une entreprise est ou non une entité essentielle, ils ne peuvent que constater que le choix initial de faire référence dans l'article 3 de la directive à la définition de l'article 2 de l'annexe de la recommandation 2003/361/CE créée une grande confusion. En effet, celui-ci ne permet pas de savoir quelles sont les entreprises entités essentielles, mais seulement quelles sont les entreprises en deçà des seuils permettant de les qualifier d'essentielles. Il aurait été nettement préférable de proposer directement une définition positive comme le fait le projet de loi de transposition. Avis défavorable.
Mme Catherine Morin-Desailly. - Les auteurs de ces amendements partagent la préoccupation d'éviter la surtransposition. Nous comprenons les arguments du rapporteur, mais la question mérite une discussion approfondie.
M. Olivier Cadic, président, rapporteur. - Je vous demande de bien vouloir retirer ces amendements et de les représenter en séance publique, afin d'entendre les explications du Gouvernement.
Les amendements identiques COM-23, COM-51 et COM-64 sont retirés.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-66 vise à exclure de la liste des entités essentielles les communautés d'agglomération ne comprenant pas au moins une commune de 30 000 habitants et plus. Le projet de loi prévoit que les communautés d'agglomération et les communes de plus de 30 000 habitants sont des entités essentielles, tandis que les communautés de communes sont des entités importantes du point de vue de la cybersécurité. Le rapporteur est ouvert à l'idée de faire passer les communautés d'agglomération ne comprenant pas au moins une commune de 30 000 habitants et plus dans la catégorie des entités importantes, auxquelles s'appliquent des obligations moins contraignantes. Il souhaite toutefois faire le point au préalable avec les représentants des intercommunalités et renvoyer ce débat à la séance, d'où une demande de retrait.
L'amendement COM-66 est retiré.
L'article 8 est adopté sans modification.
M. Olivier Cadic, président, rapporteur. - Le rapporteur demande le retrait des amendements identiques COM-24 et COM-52 et de l'amendement COM-65.
Les amendements identiques COM-24 et COM-52 et l'amendement COM-65 sont retirés, de même que l'amendement COM-67.
L'article 9 est adopté sans modification.
Articles 10 et 11
Les articles 10 et 11 sont successivement adoptés sans modification.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-101 prévoit la mise à jour au minimum tous les deux ans de la liste des entités régulées par le titre II du projet de loi transposant la directive NIS 2.
L'amendement COM-101 est adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-60 porte sur l'information des entités régulées au sujet de leur obligation de déclaration et de chiffrement des données transmises. En la matière, les efforts de communication de l'Anssi devront être accrus, car un certain nombre d'entreprises ou de collectivités territoriales ne savent pas qu'elles seront éligibles à NIS 2 à l'issue de l'adoption de ce projet de loi. Il ne paraît pas toutefois nécessaire d'inscrire dans la loi cet impératif de communication et d'information, dont l'Anssi semble avoir pleinement conscience. En ce qui concerne l'obligation de chiffrement et la protection des données recueillies des lois extraterritoriales, l'Anssi devra naturellement prendre toutes les mesures nécessaires. Que des données fuitent lors des échanges que l'Anssi entretiendra avec les entités régulées serait un comble ! M. Chaize partage l'objectif poursuivi, mais juge préférable de laisser l'Anssi prévoir elle-même les modalités de sécurisation de ces canaux de communication avec les entités régulées. Je demande donc le retrait de cet amendement.
L'amendement COM-60 est retiré.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-20 prévoit un avis de la Cnil sur le décret en Conseil d'État définissant les informations à transmettre pour l'application de l'article 12. Le rapporteur est favorable à cet amendement, dans la mesure où les informations transmises pourraient effectivement contenir des données personnelles.
L'amendement COM-20 est adopté.
L'article 12 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-61 prévoit une information régulière des entités par l'Anssi sur la réglementation qu'elles doivent respecter en matière de cybersécurité. L'article 13 vise à assurer la conciliation entre la transposition de la directive NIS 2, qui s'applique à tous les secteurs de l'économie, et le règlement et la directive DORA, qui constituent une lex specialis propre aux secteurs bancaire et financier. Il ne paraît donc pas nécessaire - cela serait lourd par ailleurs pour l'Anssi - de prévoir une information régulière des 15 000 entités régulées par NIS 2. Ces dernières sauront rapidement quelles règles elles devront respecter, seules les banques, les assurances ou les entreprises du secteur financier étant concernées par DORA. Je demande donc le retrait de cet amendement.
L'amendement COM-61 est retiré.
L'article 13 est adopté sans modification.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-15 tend à exiger la proportionnalité des mesures de cybersécurité qui sont imposées aux entités régulées. Retrait de cet amendement au profit de l'amendement COM-103.
L'amendement COM-15 est retiré.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-102 vise à rendre obligatoires l'approbation et la supervision des mesures de cybersécurité par les organes de direction des entités régulées.
L'amendement COM-102 est adopté.
M. Olivier Cadic, président, rapporteur. - L'article 14 prévoit que les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'elles utilisent. On ne va pas demander, comme le proposent les auteurs de l'amendement COM-29, à chacune des 15 000 entités régulées au titre de NIS 2 de prendre des mesures destinées à « garantir les impératifs de souveraineté, de sécurité nationale, d'autonomie stratégique et de protection des réseaux contre les ingérences étrangères et les législations à portée extraterritoriale ». Toutefois, prises dans leur ensemble, les mesures portées par NIS 2 et par son projet de loi de transposition visent bien cet objectif au niveau macroéconomique, d'où une demande de retrait.
L'amendement COM-29 n'est pas adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-62 tend à prévoir la consultation des professionnels du secteur avant l'adoption du décret déterminant les caractéristiques du référentiel applicable aux entités régulées. Cet amendement n'apparaît pas nécessaire, car les représentants de la filière cyber sont déjà étroitement associés aux travaux de l'Anssi, notamment à l'élaboration de ce référentiel.
L'amendement COM-62 n'est pas adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-30 tend à créer un comité de suivi afin d'associer les représentants de la filière cyber et les représentants des entités concernées à l'élaboration du référentiel d'exigences techniques et organisationnelles pour la conformité à NIS 2. L'Anssi a indiqué que les exigences de ce référentiel s'inscriront dans la suite logique de l'actuelle réglementation NIS 1 et porteront principalement sur des aspects d'hygiène informatique fondamentale, afin que les entités puissent se protéger contre les menaces les plus courantes. Les représentants des entités concernées sont d'ores et déjà étroitement associés à la préparation de ce référentiel. Si le rapporteur partage la vigilance des auteurs de cet amendement et leur volonté de bien associer les représentants des entités régulées, la création d'un comité de suivi ne lui paraît pas nécessaire, la concertation étant déjà une réalité qui devra pleinement se poursuivre. Demande de retrait.
Mme Audrey Linkenheld. - Cela va sans dire, mais cela va tout de même mieux en le disant. Nous maintenons cet amendement.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-16 porte sur la proportionnalité des obligations imposées par le référentiel de l'Anssi aux entités régulées. D'où la demande de retrait au profit de l'amendement COM-103.
L'amendement COM-30 n'est pas adopté. L'amendement COM-16 est retiré. L'amendement COM-103 est adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-28 vise à créer un crédit d'impôt en faveur des PME pour leurs dépenses de cybersécurité. Sur cette question, je vous renvoie aux propos du rapporteur, qui a lui-même hésité à présenter un amendement de ce type. Le Gouvernement travaille à une forme de labellisation NIS 2, qui permettrait aux entreprises de valoriser leurs efforts en matière de cybersécurité auprès des banques notamment. Cette piste paraît devoir être explorée en priorité dans un contexte d'argent public devenu très rare.
L'amendement COM-28 n'est pas adopté.
L'article 14 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-104 vise à créer un mécanisme de reconnaissance mutuelle entre les États membres de l'Union européenne et vers d'autres types de référentiels.
L'amendement COM-104 est adopté.
L'article 15 est adopté dans la rédaction issue des travaux de la commission.
Article 16
L'amendement rédactionnel COM-105 est adopté.
L'article 16 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-12 prévoit une notification à l'Anssi dans un délai de vingt-quatre heures en cas d'incident important. Cet amendement est satisfait par l'amendement COM-106, d'où une demande de retrait.
Les amendements COM-12 et COM-26 sont retirés.
L'amendement COM-106 est adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-68, qui vise à préciser les délais de notification aux destinataires des services, ainsi que l'amendement COM-53 sont satisfaits par l'amendement COM-106, d'où une demande de retrait.
Les amendements COM-68 et COM-53 sont retirés.
L'article 17 est adopté dans la rédaction issue des travaux de la commission.
Articles 18, 19, 20, 21 et 22
Les articles 18, 19, 20, 21 et 22 sont successivement adoptés sans modification.
M. Olivier Cadic, président, rapporteur. - Les amendements identiques COM-54 et COM-70 tendent à apporter des précisions utiles pour restreindre au strict nécessaire les informations échangées par l'Anssi avec ses différents partenaires. Avis favorable.
Les amendements identiques COM-54 et COM-70 sont adoptés.
L'article 23 est adopté dans la rédaction issue des travaux de la commission.
Article 24
L'article 24 est adopté sans modification.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-107 est rédactionnel. L'amendement COM-14 vise à préciser que les mesures pouvant être prescrites par l'Anssi en cas de menace pour la sécurité des systèmes d'information d'une entité doivent avoir un caractère adapté et proportionné. Demande de retrait, car, par définition, des mesures nécessaires ne peuvent être ni inadaptées ni disproportionnées. Du reste, cet amendement est incompatible avec l'amendement COM-107.
L'amendement COM-107 est adopté. L'amendement COM-14 n'est pas adopté.
L'article 25 est adopté dans la rédaction issue des travaux de la commission.
Avant l'article 26
L'amendement de coordination COM-108 est adopté et devient article additionnel.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-109 vise à supprimer la référence à certaines infractions et à clarifier le rôle des agents et personnels des organismes indépendants en matière de recherche de manquements. Il tend également à améliorer la qualité rédactionnelle du dispositif.
L'amendement COM-109 est adopté.
L'article 26 est adopté dans la rédaction issue des travaux de la commission.
Article 27
L'amendement rédactionnel et de sécurisation juridique COM-110 est adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-71 tend à restreindre l'accès des agents et des personnels chargés du contrôle aux systèmes d'information, logiciels, programmes informatiques et données stockées par l'entité contrôlée. Il ne s'agit là que d'une simple faculté accordée à ces agents et personnels parmi celles que liste l'article 27. En tout état de cause, il est nécessaire que ceux-ci accèdent à ces éléments, et notamment aux systèmes d'information, dans la mesure où le contrôle qu'ils mènent porte précisément sur le niveau de sécurité de ces systèmes d'information. Cet accès est directement nécessaire à l'accomplissement de leur mission. Demande de retrait.
L'amendement COM-71 est retiré.
L'article 27 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - Afin de sécuriser juridiquement le dispositif, l'amendement COM-111 vise à préciser le chiffre d'affaires retenu pour la détermination du plafond de l'amende prévue en cas d'obstacle au contrôle.
L'amendement COM-111 est adopté. En conséquence, les amendements COM-25, COM-56 et COM-72 deviennent sans objet.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-55 tend à limiter le champ d'application de l'amende administrative pour obstacle au contrôle aux cas d'obstacle délibéré. Si le rapporteur partage l'intention de notre collègue Catherine Morin-Desailly, il serait difficile, pour un contrôleur, de déterminer si l'entité contrôlée a fourni des renseignements incomplets ou inexacts de manière délibérée ou si cette défaillance résulte de circonstances indépendantes de sa volonté. Dans le doute, la précision proposée atténuerait le caractère répressif du dispositif et ne contribuerait pas à inciter les entités contrôlées à répondre de bonne foi aux demandes qui leur sont adressées par les agents et personnels chargés du contrôle. L'amende administrative prévue en cas d'obstacle au contrôle doit être prononcée par la commission des sanctions sur saisine de l'Anssi. Par conséquent, dans le cas où celle-ci s'apercevrait que certains des renseignements fournis par l'entité contrôlée sont incomplets ou inexacts, il lui serait tout à fait possible de solliciter le complément d'information ou la rectification requis avant de saisir la commission des sanctions. Elle pourrait ainsi juger de la bonne foi de l'entité. Pour toutes ces raisons, je demande le retrait de cet amendement.
L'amendement COM-55 est retiré.
L'article 28 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-21 porte sur le choix par l'entité contrôlée de l'organisme chargé des audits de sécurité réguliers et ciblés. Ce dernier pourrait être soit l'Anssi, soit un organisme indépendant choisi par l'entité parmi les organismes agréés par l'Anssi. Le fait de permettre à l'entité contrôlée de choisir son contrôleur fragiliserait la fiabilité, l'efficacité et l'utilité du contrôle, en induisant un doute sur l'impartialité du contrôleur. Demande de retrait.
Mme Audrey Linkenheld. - Je maintiens cet amendement. Lesdits organismes étant agréés à cet effet par un tiers, je ne vois pas en quoi il peut y avoir un doute sur leur impartialité.
L'amendement COM-21 n'est pas adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-112 tend à apporter une clarification juridique quant à la prise en charge du coût des contrôles.
L'amendement COM-112 est adopté. En conséquence, l'amendement COM-17 devient sans objet.
L'article 29 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-19 vise une mise en oeuvre progressive et différenciée des dispositions relatives aux prérogatives de l'Anssi en matière de recherche et de constatation des manquements. Comme la directive, le projet de loi ne fixe pas de date d'entrée en vigueur de ses dispositions. Néanmoins, il est prévu que ces dernières soient appliquées de façon progressive, certaines d'entre elles devant par exemple être mises en oeuvre dans l'année, tandis que la ministre et le directeur général de l'Anssi se sont engagés, lors de leur audition, à ce que les premiers contrôles découlant du futur cadre législatif ne soient pas diligentés avant trois ans au moins. Cet amendement étant satisfait, j'en demande le retrait.
Mme Audrey Linkenheld. - Je reconnais qu'un certain nombre d'engagements oraux ont été pris. Néanmoins, je maintiens mon amendement de façon qu'ils soient inscrits dans la loi.
L'amendement COM-19 n'est pas adopté.
L'article 30 est adopté sans modification.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-113 a pour objet d'intégrer les dispositions de l'article 32 à l'article 31, de fixer les conditions d'ouverture d'une procédure à l'encontre de la personne contrôlée et de supprimer la faculté de publicisation des manquements et des mesures d'exécution adoptées accordée à l'Anssi. Il s'agit notamment d'enjoindre à la personne contrôlée de rendre public son manquement. Seule la commission des sanctions serait donc habilitée à décider d'une mesure de publicisation, dans la mesure où celle-ci constitue davantage une sanction qu'une mesure de police administrative.
L'amendement COM-113 est adopté.
L'article 31 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - Dans un souci de simplification, l'amendement COM-114 vise à supprimer l'article 32, intégré par voie d'amendement à l'article précédent.
L'amendement COM-114 est adopté. En conséquence, les amendements COM-75, COM-76 et COM-74 deviennent sans objet.
L'article 32 est supprimé.
Article 33
L'amendement rédactionnel et de coordination COM-115 est adopté. En conséquence, l'amendement COM-22 devient sans objet.
L'article 33 est adopté dans la rédaction issue des travaux de la commission.
Article 34
L'article 34 est adopté sans modification.
Article 35
L'amendement de précision COM-116 est adopté.
L'article 35 est adopté dans la rédaction issue des travaux de la commission.
Article 36
L'amendement de précision rédactionnelle COM-117 est adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-118 prévoit la nomination des trois personnalités qualifiées en matière de cybersécurité respectivement par le Premier ministre, le président de l'Assemblée nationale et le président du Sénat.
L'amendement COM-118 est adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-119 vise à interdire la nomination comme membre de la commission des sanctions d'une personnalité qualifiée ayant exercé des fonctions à l'Anssi depuis moins de cinq ans.
L'amendement COM-119 est adopté.
L'article 36 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-57, qui tend à préciser que l'interdiction aux personnes physiques exerçant des fonctions de dirigeant d'exercer des responsabilités n'est prise qu'en dernier recours, est satisfait par l'amendement COM-120, d'où une demande de retrait.
L'amendement COM-57 est retiré.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-77 est également satisfait par l'amendement COM-120.
L'amendement COM-77 est retiré.
L'amendement COM-120 est adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-121 porte sur la communication de la sanction imposée à une entité manquant à ses obligations en matière de cybersécurité au public.
L'amendement COM-121 est adopté.
L'article 37 est adopté dans la rédaction issue des travaux de la commission.
Article 38
L'article 38 est adopté sans modification.
Article 39
L'amendement rédactionnel COM-122 est adopté.
L'article 39 est adopté dans la rédaction issue des travaux de la commission.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-63 vise à mentionner la sécurisation des outils numériques dans un article du code du travail relatif aux conditions et à l'aménagement du poste de travail des travailleurs. Il est difficile de raccrocher directement cette question à la cybersécurité, d'où une demande de retrait.
Mme Catherine Morin-Desailly. - En l'absence du rapporteur, le débat est limité. Je retirerai donc mon amendement en séance.
L'amendement COM-63 n'est pas adopté.
M. Olivier Cadic, président, rapporteur. - L'amendement COM-123 vise à clarifier l'applicabilité en Nouvelle-Calédonie et en Polynésie française des dispositions du présent projet de loi en matière de noms de domaine.
L'amendement COM-123 est adopté.
L'article 40 est adopté dans la rédaction issue des travaux de la commission.
Article 41
L'amendement rédactionnel COM-124 est adopté.
L'article 41 est adopté dans la rédaction issue des travaux de la commission.
Article 42
L'amendement de précision COM-125 est adopté.
L'article 42 est adopté dans la rédaction issue des travaux de la commission.
M. Michel Canévet, rapporteur. - L'amendement COM-126 vise à désigner explicitement l'APCR comme interlocutrice unique de l'ensemble des institutions financières, sauf pour les dépositaires centraux, pour lesquels l'interlocutrice sera la Banque de France. Il s'agit d'éviter aux entreprises de devoir faire des déclarations auprès de plusieurs administrations.
L'amendement COM-126 est adopté et devient article additionnel.
Articles 43 et 44
Les articles 43 et 44 sont successivement adoptés sans modification.
Article 45
L'amendement rédactionnel COM-127 est adopté.
L'article 45 est adopté dans la rédaction issue des travaux de la commission.
Articles 46, 47 et 48
Les articles 46, 47 et 48 sont successivement adoptés sans modification.
M. Michel Canévet, rapporteur. - L'amendement COM-128 vise à répercuter en droit français la fusion des dispositifs de déclarations d'incidents prévus par le règlement DORA et par la DSP2. Il est précisé que la Caisse des dépôts et consignations sera soumise aux obligations de notification.
L'amendement COM-128 est adopté.
L'article 49 est adopté dans la rédaction issue des travaux de la commission.
M. Michel Canévet, rapporteur. - L'amendement COM-129 vise à étendre l'application du règlement DORA aux succursales d'entreprises d'investissement de pays tiers.
L'amendement COM-128 est adopté et devient article additionnel.
Articles 50, 51 et 52
Les articles 50, 51 et 52 sont successivement adoptés sans modification.
M. Michel Canévet, rapporteur. - L'amendement COM-130 vise à supprimer l'article 53, qui donne des pouvoirs d'investigation au secrétaire général de l'ACPR. Cet article est satisfait par les textes existants.
L'amendement COM-130 est adopté.
L'article 53 est supprimé.
Articles 54 et 55
Les articles 54 et 55 sont successivement adoptés sans modification.
Article 56
L'amendement de correction COM-131 est adopté.
L'article 56 est adopté dans la rédaction issue des travaux de la commission.
Articles 57 et 58
Les articles 57 et 58 sont successivement adoptés sans modification.
M. Michel Canévet, rapporteur. - L'amendement COM-69 a pour objet de modifier très fortement le code des assurances en inversant la charge de la preuve.
Mme Vanina Paoli-Gagin. - Les dispositions actuelles nuisent au développement de l'assurance cyber en France. Partout ailleurs en Europe, la charge de la preuve revient à l'assureur.
M. Michel Canévet, rapporteur. - Je partage votre objectif. Toutefois, l'adoption de cet amendement conduirait à modifier le code de l'assurance bien au-delà du périmètre de ce texte. Il faudrait le circonscrire aux questions de cybersécurité.
L'amendement COM-69 est déclaré irrecevable en application de l'article 45 de la Constitution.
Articles 59, 60 et 61
Les articles 59, 60 et 61 sont successivement adoptés sans modification.
M. Michel Canévet, rapporteur. - L'amendement COM-132 vise à préciser explicitement que les institutions financières sont soumises non pas aux dispositions de NIS 2, mais à celles de DORA.
L'amendement COM-132 est adopté et devient article additionnel.
M. Michel Canévet, rapporteur. - L'amendement COM-133 vise à reporter l'entrée en vigueur des dispositions du titre III au lendemain de la promulgation de la loi. Pour les sociétés de financement pour lesquelles il y a une évidente surtransposition, je propose en revanche de repousser l'entrée en vigueur des articles 46, 47 et 54 non pas au 1er janvier 2026, mais au 1er janvier 2030.
L'amendement COM-133 est adopté.
L'article 62 est adopté dans la rédaction issue des travaux de la commission.
Le projet de loi est adopté dans la rédaction issue des travaux de la commission.
La réunion est close à 16 h 35.