Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Sommaire de la discussion

Première lecture - 11 et 12 mars 2025

Ce sommaire, réalisé à partir du compte rendu intégral des débats, permet d'accéder directement à la discussion de chaque article. Il est disponible après la publication du compte rendu intégral au Journal Officiel.

Accès article par article

Article 1er: Transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC)
Article 2
Article 3
Article 4
Article additionnel avant l'article 5 - Amendement n° 54: Plan national d'accompagnement au renforcement de la cybersécurité
Article 5: Missions et compétences de l'autorité nationale
Article 5 bis (nouveau): Stratégie nationale de cybersécurité
Article additionnel après l'article 5 bis - Amendement n° 35: Création d'un crédit d'impôt en faveur des PME pour leurs dépenses de cybersécurité
Article 6: Définitions
Article 7
Article 8: Définition des entités « essentielles » du point de vue de la sécurité des systèmes d'information
Article 9: Définition des entités « importantes » du point de vue de la sécurité des systèmes d'information
Article 10
Après l’article 10
Article 11
Article 12: Enregistrement des entités « essentielles » et « importantes » auprès de l'autorité nationale de sécurité des systèmes d'information
Article 13: Absence d'application des dispositions du projet de loi aux entités soumises à des exigences équivalentes en application d'un acte juridique de l'Union européenne
Article 14: Mise en place de mesures de cybersécurité par les entités « essentielles » et « importantes »
Article additionnel après l'article 14 - Amendement n° 67: Principe de préférence pour les entreprises de cybersécurité françaises
Article 15: Opposabilité à l'Agence nationale de la sécurité des systèmes d'information (Anssi) en cas de contrôle de la mise en œuvre du référentiel qu'elle prescrit en matière de gestion des risques cyber
Article 16: Exigences de protection cyber supplémentaires pour les opérateurs d'importance vitale (OIV) et pour les administrations
Article additionnel après l'article 16 - Amendement n° 1 rectifié quinquies: Interdiction de contraindre les messageries instantanées à installer des dispositifs de portes dérobées
Article 17: Obligation de notification à l'Agence nationale de la sécurité des systèmes d'information (Anssi) par les entités régulées des incidents importants en matière de cybersécurité, notification aux destinataires des services et information du public
Article 18
Article 19
Article 20: Durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines
Article 21: Obligation de publication des données d'enregistrement d'un nom de domaine
Article 22
Article 23
Article 24
Article additionnel après l'article 24 - Amendement n° 60 rectifié: Échanges d'informations en matière de cybersécurité entre entités régulées
Article 25: Prescription par l'Agence nationale de la sécurité des systèmes d'information (Anssi) de mesures nécessaires en cas de menace pour la sécurité des systèmes d'information de plusieurs types d'entités
Article 26 A (nouveau)
Article 26: Habilitation des agents de plusieurs organismes à rechercher et constater les manquements et infractions en matière de cybersécurité
Article 27: Droits et obligations des agents chargés d'un contrôle de l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de la personne contrôlée
Article 28: Devoir de coopération de la personne contrôlée et amende administrative en cas d'obstacle à un contrôle
Article 28 (suite)
Article 29: Forme et prise en charge financière des contrôles
Article 30: Modalités d'application des dispositions relatives aux prérogatives de l'Agence nationale de la sécurité des systèmes d'information (Anssi) en matière de recherche et de constatation des manquements
Article 31: Ouverture d'une procédure à l'encontre de la personne contrôlée
Article 32
Article 33
Article 34
Article 35
Article 36: Composition de la commission des sanctions
Article 37: Sanctions en cas de manquements aux obligations en matière de cybersécurité
Article additionnel après l'article 37 - Amendement n° 118: THEME
Article 38
Article 39
Article additionnel après l'article 39 - Amendements n° 15 rectifié septies et n° 44: Mention de la sécurisation des outils numériques dans un article du code du travail relatif aux conditions et à l'aménagement du poste de travail des travailleurs
Article 40
Article 41: Renforcement des sanctions pénales pour améliorer la lutte contre les brouillages
Article 42: Renforcement des conditions d'accès à une assignation de fréquences déposée par la France auprès de l'Union internationale des télécommunications
Article 43 A (nouveau): Désignation de la Banque de France et de l'Autorité de contrôle prudentiel et de résolution comme autorités compétentes dans le cas où une entité financière est assujettie à plusieurs autorités de supervision
Article additionnel après l'article 43 A - Amendement n° 107 rectifié: Institution de l'l'Autorité de contrôle prudentiel et de résolution (ACPR) comme guichet unique en cas de multiplicité d'autorités compétentes et préservation d'une double notification ACPR-ANSSI (Agence nationale de la sécurité des systèmes d'information) pour certains incidents
Article 43
Article 44
Article 45
Article additionnel après l'article 45 - Amendements n° 119, n° 111 rectifié et n° 112 rectifié: THEME
Article 46
Article 47
Article 48
Article 49: Modifications de la liste des prestataires de services de paiement soumis à une obligation de notification des incidents opérationnels
Article 49 bis (nouveau)
Article 50
Article 51
Article 52
Article 53
Article 54
Article additionnel après l'article 54 - Amendement n° 73: Recours préférentiel aux prestataires tiers de services TIC (technologie de l'information et de la communication) labellisés et assujettis à l'impôt sur les sociétés en France
Article 55
Article 56: Adaptations pour rendre applicables en outre-mer les modifications du code monétaire et financier prévues par le présent projet de loi
Article 57
Article additionnel après l'article 57 - Amendement n° 74 rectifié: Recours préférentiel aux prestataires tiers de services TIC (technologie de l'information et de la communication) labellisés et assujettis à l'impôt sur les sociétés en France
Article 58
Article additionnel après l'article 58 - Amendement n° 14 rectifié: Administration de la preuve du sinistre par l'assureur en cas d'attaques informatiques
Article 59
Article 60
Article additionnel après l'article 60 - Amendement n° 75 rectifié: (Recours préférentiel aux prestataires tiers de services TIC (technologie de l'information et de la communication) labellisés et assujettis à l'impôt sur les sociétés en France)
Article 61
Article additionnel après l'article 61 - Amendement n° 77 rectifié bis: (Recours préférentiel aux prestataires tiers de services TIC (technologie de l'information et de la communication) labellisés et assujettis à l'impôt sur les sociétés en France)
Article additionnel après l'article 61 - Amendement n° 81 rectifié: Obligation de stockage des données à caractère personnel sur un service de cloud ou un système d'information interne sécurisés français
Article additionnel après l'article 61 - Amendement n° 79: Remise par le Gouvernement d'un rapport sur la dépendance aux entreprises extra-communautaires en matière de prestataires de services TIC (technologie de l'information et de la communication)
Article 62 A (nouveau)
Article 62: Dates d'application des dispositions du titre III sur la résilience opérationnelle numérique du secteur financier