Résilience des infrastructures critiques et au renforcement de la cybersécurité



I. – Le code de la défense est ainsi modifié :



1° Au dernier alinéa de l’article L. 1333-1, les mots : « certains établissements, installations ou ouvrages, relevant de l’article L. 1332-1 » sont remplacés par les mots : « certaines infrastructures des opérateurs d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 » ;



2° Au premier alinéa de l’article L. 2113-2, dans sa rédaction issue de l’article 47 de la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense, les mots : « établissements, aux installations ou aux ouvrages mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 » ;



3° Au deuxième alinéa de l’article L. 2151-1, les mots : « , visé par un plan de continuité ou de rétablissement d’activité, d’un des opérateurs publics et privés ou des gestionnaires d’établissements désignés par l’autorité administrative conformément aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « identifié dans les documents de planification des opérateurs désignés au titre de l’article L. 1332-2 visant à garantir la continuité de leur activité » ;



4° A l’article L. 2151-4, les mots : « d’élaborer des plans de continuité ou de rétablissement d’activité et de notifier aux personnes concernées par ces plans » sont remplacés par les mots : « de notifier aux personnes concernées » ;



5° Au deuxième alinéa de l’article L. 2171-6, les mots : « publics et privés ou des gestionnaires d’établissements désignés par l’autorité administrative conformément aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 » ;



6° Au premier et au quatrième alinéa de l’article L. 2321-2-1, les mots : « mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 » ;



7° A l’article L. 2321-3 :



a) Au premier alinéa, les mots : « mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 du présent code » ;



b) Au deuxième alinéa, les mots : « mentionné aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionné au I de l’article L. 1332-2 » ;



8° A l’article L. 4231-6, les mots : « publics et privés ou par des gestionnaires d’établissements désignés par l’autorité administrative conformément aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 ».



II. – Au dernier alinéa de l’article 226-3 du code pénal, les mots : « mentionnés à l’article L. 1332-1 » sont remplacés par les mots : « d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 ».



III. – Le code des postes et des communications électroniques est ainsi modifié :



1° Au e du I de l’article L. 33-1, les mots : « mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 » ;



2° Au premier alinéa de l’article L. 33-14 et au deuxième alinéa du I de l’article L. 34-11, les mots : « mentionnés à l’article L. 1332-1 » sont remplacés par les mots : « d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 ».



IV. – Au 2° du II et au 2° du VI de l’article L. 1333-9 du code de la santé publique, les mots : « certains établissements, installations ou ouvrages relevant de l’article L. 1332-1 » sont remplacés par les mots : « certaines infrastructures des opérateurs d’importance vitale mentionnés au 1° du I de l’article L. 1332-2 ».



V. – Le code de la sécurité intérieure est ainsi modifié :



1° Au 1° de l’article L. 223-2, les mots : « exploitants des établissements, installations ou ouvrages mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 » ;



2° Au premier alinéa de l’article L. 223-8, les mots : « établissements, installations ou ouvrages mentionnés aux articles L. 1332-1 et L. 1332-2 » sont remplacés par les mots : « infrastructures des opérateurs d’importance vitale mentionnés au I de l’article L. 1332-2 ».



VI. – Au troisième alinéa de l’article 15 de la loi n° 2006-961 du 1er août 2006 relative au droit d’auteur et aux droits voisins dans la société de l’information, les mots : « publics ou privés gérant des installations d’importance vitale au sens des articles L. 1332-1 à L. 1332-7 » sont remplacés par les mots : « d’importance vitale mentionnés au I de l’article L. 1332-2 ».



I. – La sixième partie du code de la défense est ainsi modifiée :



1° Le chapitre Ier du titre II du livre II est complété par un article L. 6221-2 ainsi rédigé :



« Art. L. 6221-2. – En l’absence d’adaptation, les références faites, par des dispositions du présent code applicables à Saint-Barthélemy, à des dispositions qui n’y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement. » ;



2° Au chapitre II du titre II du livre II, il est inséré un article L. 6222-1 ainsi rédigé :



« Art. L. 6222-1. – La sous-section 2 de la section 1 du chapitre II du titre III du livre III de la partie 1 n’est pas applicable à Saint-Barthélemy. » ;



3° Le chapitre II du titre IV du livre II est complété par un article L. 6242-2 ainsi rédigé :



« Art. L. 6242-2. – La sous-section 2 de la section 1 du chapitre II du titre III du livre III de la partie 1 n’est pas applicable à Saint-Pierre-et-Miquelon. » ;



4° Le chapitre II du titre Ier du livre III est complété par un article L. 6312-3 ainsi rédigé :



« Art. L. 6312-3. – La sous-section 2 de la section 1 du chapitre II du titre III du livre III de la partie 1 n’est pas applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. »



II. – A l’article 711-1 du code pénal, les mots : « loi n° 2024-247 du 21 mars 2024 renforçant la sécurité et la protection des maires et des élus locaux » sont remplacés par les mots : « loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».



III. – Le chapitre II du titre Ier du livre II du code des postes et des communications électroniques est ainsi modifié :



1° Au 1° du VII de l’article L. 33-1, les mots : « l’ordonnance n° 2021-650 du 26 mai 2021 portant transposition de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen et relative aux mesures d’adaptation des pouvoirs de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse » sont remplacés par les mots : « la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;



2° A l’article L. 33-15, les mots : « loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense » sont remplacés par les mots : « loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;



3° L’article L. 34-14 est complété par les mots : « dans sa rédaction résultant de la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».



IV. – Au premier alinéa des articles L. 285-1, L. 286-1, L. 287-1 et L. 288-1 du code de la sécurité intérieure, les mots : « loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense » sont remplacés par les mots : « loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».



Les opérateurs d’importance vitale désignés avant la date d’entrée en vigueur des dispositions du titre Ier de la présente loi sont regardés comme désignés en application du I de l’article L. 1332-2 du code de la défense dans sa rédaction résultant du chapitre Ier de la présente loi à la date de son entrée en vigueur.



Ces opérateurs restent soumis aux obligations qui leurs sont applicables avant la date d’entrée en vigueur de la présente loi jusqu’à l’accomplissement des obligations prévues aux articles L. 1332-2 à L. 1332-5 et à l’article L. 1332-11 du code de la défense dans leur rédaction résultant de la présente loi.



L’autorité nationale de sécurité des systèmes d’information est chargée de la mise en œuvre de la politique du Gouvernement en matière de sécurité des systèmes d’information régie par le présent titre et de son contrôle.



Le Premier ministre peut désigner un organisme autre que l’autorité nationale de sécurité des systèmes d’information mentionnée au premier alinéa pour exercer à l’égard de certaines entités, à raison de leur activité dans le domaine de la défense, certaines des responsabilités de cette autorité prévues par le présent titre.



Les missions de l’autorité nationale et des organismes désignés par le Premier ministre ainsi que leurs conditions d’exercice sont précisées par décret en Conseil d’État.



Au sens du présent titre, on entend par :



1° Bureau d’enregistrement : une entité fournissant des services d’enregistrement de noms de domaine ;



2° Office d’enregistrement : une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration de ce domaine, y compris de l’enregistrement des noms de domaine en relevant et de son fonctionnement technique, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution de ses fichiers de zone sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage ;



3° Prestataire de services de confiance : un prestataire de services de confiance au sens du paragraphe 19 de l’article 3 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;



4° Prestataire de service de confiance qualifié : un prestataire de services de confiance au sens du paragraphe 20 de l’article 3 du règlement (UE) n° 910/2014 mentionné ci-dessus ;



5° Représentant : une personne physique ou morale établie dans l’Union qui est expressément désignée pour agir pour le compte d’un fournisseur de services de système de nom de domaine, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union, qui peut être contactée par une autorité compétente ou un centre de veille, d’alerte et de réponse aux attaques informatiques (CERT) à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente loi ;



6° Service de centre de données : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental ;



7° Système d’information : l’ensemble des infrastructures et services logiciels informatiques permettant de collecter, traiter, transmettre et stocker sous forme numérique des données.

La liste des secteurs d’activité critiques et hautement critiques pour le fonctionnement de l’économie et de la société mentionnés dans la présente section est fixée par décret en Conseil d’État.



Sont des entités essentielles :



1° Les entreprises appartenant à un des secteurs d’activité hautement critiques qui emploient au moins 250 personnes ou dont le chiffre d’affaires annuel excède 50 millions d’euros et dont le total du bilan annuel excède 43 millions d’euros ;



2° Les établissements publics à caractère industriel et commercial, à l’exception du Commissariat à l’énergie atomique et aux énergies alternatives pour ses seules activités dans le domaine de la défense, ainsi que les régies dotées de la seule autonomie financière chargées d’un service public industriel et commercial créées en application du 2° de l’article L. 2221-4 du code général des collectivités territoriales, appartenant à un des secteurs d’activité hautement critiques, qui emploient au moins 250 personnes ou dont les produits d’exploitation excèdent 50 millions d’euros et le total du bilan annuel excède 43 millions d’euros. Le critère d’emploi est calculé selon les modalités prévues par le I de l’article L. 130-1 du code de la sécurité sociale, les critères financiers sont appréciés au niveau de la personne morale ou de la régie concernée ;



3° Les opérateurs de communications électroniques qui emploient au moins 50 personnes ou dont le chiffre d’affaires annuel et le total du bilan annuel excèdent chacun 10 millions d’euros ;



4° Les prestataires de service de confiance qualifiés ;



5° Les offices d’enregistrement ;



6° Les fournisseurs de services de système de noms de domaine ;



7° Les administrations suivantes :



a) Les administrations de l’État et leurs établissements publics administratifs, à l’exception des administrations de l’État qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale et des missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d’information ainsi que de leurs établissements publics administratifs qui exercent leurs activités dans les mêmes domaines ou qui sont désignés entité importante par arrêté du Premier ministre. Le Premier ministre désigne par arrêté les établissements publics administratifs de l’État qui, compte tenu du faible impact économique et social de leur activité, ne sont pas soumis à la présente loi, dans des conditions précisées par décret en Conseil d’État ;



b) Les régions, les départements, les communes d’une population supérieure à 30 000 habitants, leurs établissements publics administratifs dont les activités s’inscrivent dans un des secteurs d’activité hautement critiques ou critiques ;



c) Les centres de gestion mentionnés à l’article L. 452-1 du code général de la fonction publique ;



d) Les services départementaux d’incendie et de secours mentionnés à l’article L. 1424-1 du code général des collectivités territoriales ;



e) Les communautés urbaines, les communautés d’agglomération et les métropoles, leurs établissements publics administratifs dont les activités s’inscrivent dans un des secteurs d’activité hautement critiques ou critiques ;



f) Les syndicats mentionnés aux articles L. 5212-1, L. 5711-1 et L. 5721-2 du code général des collectivités territoriales dont les activités s’inscrivent dans un des secteurs d’activité hautement critiques ou critiques et dont la population est supérieure à 30 000 habitants ;



g) Les institutions et organismes interdépartementaux mentionnés à l’article L. 5421-1 du code général des collectivités territoriales dont les activités s’inscrivent dans un des secteurs d’activité hautement critiques ou critiques ;



h) Et les autres organismes et personnes de droit public ou de droit privé chargés d’une mission de service public administratif, mentionnés au 1° de l’article L. 100-3 du code des relations entre le public et l’administration, à compétence nationale, à l’exception de ceux qui sont désignés entité importante par arrêté du Premier ministre. Le Premier ministre désigne par arrêté les organismes et personnes morales qui, compte tenu du faible impact économique et social de leur activité, ne sont pas soumis à la présente loi, dans des conditions précisées par décret en Conseil d’État ;



8° Les opérateurs d’importance vitale en tant qu’ils exercent une activité qualifiée de service essentiel en application du deuxième alinéa du 1° du I de l’article L. 1332-2 du code de la défense ;



9° Les opérateurs de services essentiels désignés en application des dispositions de l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité avant l’entrée en vigueur de la présente loi ;



10° Les établissements d’enseignement menant des activités de recherche désignés par arrêté du Premier ministre dans des conditions précisées par décret en Conseil d’État, qui remplissent l’un des critères mentionnés à l’article 10.



Sont des entités importantes :



1° Les entreprises appartenant à un des secteurs d’activité hautement critiques ou critiques qui ne sont pas des entités essentielles et qui emploient au moins 50 personnes ou dont le chiffre d’affaires et le total du bilan annuel excèdent chacun 10 millions d’euros ;



2° Les opérateurs de communications électroniques qui ne sont pas des entités essentielles ;



3° Les prestataires de services de confiance qui ne sont pas des entités essentielles ;



4° Les communautés de communes et leurs établissements publics administratifs dont les activités s’inscrivent dans un des secteurs d’activité hautement critiques ou critiques ;



5° Les établissements d’enseignement menant des activités de recherche qui ne sont pas des entités essentielles. Le Premier ministre désigne par arrêté les établissements qui, compte tenu du faible impact économique et social de leur activité, ne sont pas soumis à la présente loi, dans les conditions précisées par décret en Conseil d’État ;



6° Les établissement publics administratifs de l’État expressément désignés en tant qu’entités importantes par arrêté du Premier ministre dans des conditions fixées par décret en Conseil d’État ;



7° Les autres organismes et personnes de droit public ou de droit privé chargés d’une mission de service public administratif, mentionnés au 1° de l’article L. 100-3 du code des relations entre le public et l’administration, à compétence nationale, expressément désignés en tant qu’entités importantes par arrêté du Premier ministre dans les conditions précisées par décret en Conseil d’État ;



8° Les établissements publics à caractère industriel et commercial et les régies dotées de la seule autonomie financière chargées d’un service public industriel et commercial créées en application du 2° de l’article L. 2221-4 du code général des collectivités territoriales, relevant des secteurs d’activité hautement critiques ou critiques, qui emploient au moins 50 personnes ou dont le produit d’exploitation et le total du bilan annuel excèdent chacun 10 millions d’euros et qui ne sont pas entités essentielles. Le critère d’emploi est calculé selon les modalités prévues par le I de l’article L. 130-1 du code de la sécurité sociale, les critères financiers sont appréciés au niveau de la personne morale ou de la régie concernée.



Outre les entités mentionnées aux articles 8 et 9, le Premier ministre peut désigner par arrêté comme entité essentielle ou comme entité importante une entité exerçant une activité relevant d’un secteur d’activité hautement critique ou critique, quelle que soit sa taille, sous réserve de justifier cette désignation au regard de l’un des critères suivants :



1° L’entité est le seul prestataire sur le territoire national d’un service qui est essentiel au maintien du fonctionnement de la société et d’activités économiques critiques ;



2° Une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;



3° Une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;



4° L’entité est critique en raison de son importance spécifique au niveau national ou local pour le secteur ou le type de service concerné, ou pour d’autres secteurs interdépendants sur le territoire national.



I. – Les entités essentielles et les entités importantes sont régies par les dispositions du présent titre lorsque, selon le cas :



1° Elles sont établies sur le territoire national ;



2° S’agissant des opérateurs de communications électroniques, ils fournissent leurs services sur le territoire national ;



3° S’agissant des fournisseurs de services de système de noms de domaine, des offices d’enregistrement, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux :



a) Ils ont leur établissement principal sur le territoire national ;



b) Ou, s’ils sont établis hors de l’Union européenne mais offrent leurs services sur le territoire national, ils ont désigné un représentant établi sur le territoire national.



Toutefois, les conditions d’établissement sur le territoire national ne s’appliquent pas aux administrations et établissements publics.



II. – Les obligations du présent titre applicables aux bureaux d’enregistrement et agents agissant pour le compte de ces derniers concernent :



1° Ceux qui ont leur établissement principal sur le territoire national ;



2° Ou ceux qui ont désigné un représentant établi sur le territoire national, s’ils sont établis hors de l’Union européenne mais offrent leurs services sur le territoire national.



III. – Pour l’application des dispositions des I et II, l’établissement principal s’entend du lieu où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité ou, à défaut, le lieu où les opérations de cybersécurité sont effectuées ou, à défaut, l’établissement comptant le plus grand nombre de salariés dans l’Union européenne.



L’autorité nationale de sécurité des systèmes d’information établit et met à jour la liste des entités essentielles, des entités importantes et des bureaux d’enregistrement sur la base des informations que ces entités et bureaux d’enregistrement lui communiquent.



Les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises sont définis par décret en Conseil d’État.

Les dispositions pertinentes de la présente loi, y compris celles relatives à la supervision, ne sont pas applicables aux entités essentielles et importantes qui sont soumises, en application d’un acte juridique de l’Union européenne, à des exigences sectorielles de sécurité et de notification d’incidents ayant un effet au moins équivalent aux obligations résultant des articles 14 et 17. Pour être équivalentes, les exigences de notification des incidents doivent également prévoir un accès immédiat aux notifications d’incidents par l’autorité nationale de sécurité des systèmes d’information.



Les entités essentielles, les entités importantes, les administrations de l’État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale ainsi que de la répression pénale, les missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d’information, le Commissariat à l’énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ainsi que les juridictions administratives et judiciaires prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services. Ces mesures garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné au risque existant. Elles visent à :



1° Mettre en place un pilotage de la sécurité des réseaux et systèmes d’information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques ;



2° Assurer la protection des réseaux et systèmes d’information, y compris en cas de recours à la sous-traitance ;



3° Mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d’information et gérer les incidents ;



4° Garantir la résilience des activités.



Un décret en Conseil d’État fixe les objectifs auxquels doivent se conformer les personnes mentionnées au premier alinéa afin que les mesures adoptées pour la gestion des risques satisfassent aux 1° à 4°. Ce décret détermine également les conditions d’élaboration, de modification et de publication d’un référentiel d’exigences techniques et organisationnelles qui sont adaptées aux différentes personnes mentionnées au premier alinéa.



Ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013.



Par dérogation aux deux alinéas précédents, les fournisseurs de services de systèmes de noms de domaine, les offices d’enregistrement, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, et les prestataires de services de confiance mettent en œuvre les exigences techniques et méthodologiques qui leur sont propres.



Ces mesures techniques, opérationnelles et organisationnelles sont mises en œuvre aux frais des personnes concernées.



Les personnes mentionnées à l’article 14 qui mettent en œuvre les exigences du référentiel mentionné au sixième alinéa du même article peuvent s’en prévaloir auprès de l’autorité nationale de sécurité des systèmes d’information lors d’un contrôle pour démontrer le respect des objectifs mentionnés au même alinéa.



Dans le cas contraire, ces personnes sont tenues de démontrer que les mesures qu’elles mettent en œuvre permettent de se conformer à ces objectifs.



Les opérateurs mentionnés à l’article L. 1332-2 du code de la défense identifient, tiennent à jour et communiquent à l’autorité nationale de sécurité des systèmes d’information la liste de leurs systèmes d’information d’importance vitale mentionnés au 2° de l’article L. 1332-1 du même code selon les modalités fixées par le Premier ministre.



Ces opérateurs mettent en œuvre sur leurs systèmes d’information d’importance vitale les exigences du référentiel mentionné à l’article 14 ainsi que les exigences spécifiques à ces systèmes d’information fixées par le Premier ministre.



Les administrations qui sont entités essentielles ou importantes ainsi que les administrations de l’État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale, ou des missions diplomatiques et consulaires françaises et de leurs réseaux et systèmes d’information, le Commissariat à l’énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ainsi que les juridictions administratives et judiciaires mettent en œuvre les exigences du référentiel mentionné à l’article 14 ainsi que les exigences spécifiques fixées par le Premier ministre à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations.



Les exigences spécifiques mentionnées aux alinéas qui précédent peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des prestataires de services certifiés, qualifiés ou agréés ou prévoir que le recours à des dispositifs matériels ou logiciels ou à des prestataires de services certifiés, qualifiés ou agréés emporte présomption de conformité à l’exigence de sécurité concernée. Ces exigences peuvent également prescrire des audits de sécurité réguliers réalisés par des organismes indépendants. Les personnes mentionnées au présent article appliquent ces exigences à leurs frais.



Les personnes mentionnées à l’article 14 notifient sans retard injustifié à l’autorité nationale de sécurité des systèmes d’information tout incident ayant un impact important sur la fourniture de leurs services.



Pour prévenir un incident concernant une entité essentielle ou une entité importante ou pour faire face à un incident en cours ou lorsque la divulgation de l’incident est dans l’intérêt public, l’autorité nationale de sécurité des systèmes d’information peut, après avoir consulté l’entité essentielle ou importante concernée, exiger de celle-ci qu’elle informe le public de l’incident ou le faire elle-même.



Les entités essentielles et importantes notifient sans délai aux destinataires de leurs services :



1° Les incidents critiques susceptibles de nuire à la fourniture de ces services ;



2° Les vulnérabilités critiques affectant leurs services ou les affectant potentiellement, ainsi que les mesures ou corrections, dès qu’elles en ont connaissance, que ces destinataires peuvent appliquer en réponse à cette vulnérabilité ou à cette menace.



Cette obligation de notification ne s’étend pas aux informations dont la divulgation porterait atteinte aux intérêts de la défense et de la sécurité nationale.



En cas d’incident critique ou de vulnérabilité critique, les personnes mentionnées au premier alinéa peuvent communiquer à l’autorité nationale de sécurité des systèmes d’information la liste des destinataires de leurs services. Cette autorité tient compte, dans l’usage qu’elle fait de ces informations, des intérêts économiques de ces personnes et veille à ne pas révéler d’informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.



L’autorité nationale de sécurité des systèmes d’information informe la Commission nationale de l’informatique et des libertés de tout incident mentionné au premier alinéa susceptible d’entraîner une violation de données à caractère personnel.



Un décret en Conseil d’État fixe les modalités d’application du présent article. Il précise notamment la procédure applicable et les critères d’appréciation des caractères importants et critiques des incidents et vulnérabilités ainsi que les délais de notification des incidents et des vulnérabilités.

Les offices d’enregistrement et les bureaux d’enregistrement ainsi que les agents agissant pour le compte de ces derniers qui satisfont à l’une des conditions prévues à l’article 11 sont soumis aux dispositions de la présente section.



Les offices d’enregistrement collectent, par l’intermédiaire des bureaux d’enregistrement ainsi que des agents agissant pour le compte de ces derniers, les données nécessaires à l’enregistrement des noms de domaine.



Les offices et les bureaux d’enregistrement sont responsables du traitement de ces données au regard de la réglementation en matière de protection des données personnelles. Ils tiennent ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte. A cette fin, ils mettent en place des procédures, accessibles au public, permettant de vérifier ces données lors de leur collecte et d’assurer la sécurité de leur base de données.



Un décret en Conseil d’État, pris après avis de la Commission nationale informatique et libertés, fixe la liste des données relatives aux noms de domaine devant être collectées.

Les offices et les bureaux d’enregistrement conservent les données relatives à chaque nom de domaine dans leur base de données tant que le nom de domaine est utilisé.

Les offices et bureaux d’enregistrement rendent publiques sans retard injustifié après l’enregistrement d’un nom de domaine, les données d’enregistrement relatives à ce nom de domaine dès lors qu’elles n’ont pas de caractère personnel.



Pour les besoins des procédures pénales et de la sécurité des systèmes d’information, les agents habilités à cet effet par l’autorité judiciaire ou par l’autorité nationale de sécurité des systèmes d’information peuvent obtenir des offices et bureaux d’enregistrement les données mentionnées à l’article 20.



Les offices et les bureaux d’enregistrement fixent les règles de procédure pour la communication de ces données aux agents mentionnés au premier alinéa. Cette communication intervient dans un délai n’excédant pas soixante-douze heures. Ces règles sont accessibles au public.



Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent article.



Les dispositions de l’article 11 du code de procédure pénale ou celles relatives aux autres secrets protégés par la loi ne font pas obstacle à la communication d’informations dont ils disposent aux fins de l’accomplissement de leurs missions respectives, à l’exception des informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales, entre, d’une part, l’autorité nationale de sécurité des systèmes d’information, et, d’autre part, la Commission nationale de l’informatique et des libertés ou les autorités compétentes chargées de la gestion des risques en matière de cybersécurité en vertu d’un acte sectoriel de l’Union européenne ou les autorités chargées de la conduite de la politique pénale, de l’action publique et de l’instruction ou la Commission européenne ou les autorités compétentes des autres Etats membres de l’Union européenne ou des centres de réponse aux incidents de sécurité informatique ou des organismes internationaux concourant aux missions de sécurité ou de défense des systèmes d’information.



Les modalités d’application du présent article, notamment les modalités du partage d’informations, sont déterminées par décret en Conseil d’État.



L’autorité nationale de sécurité des systèmes d’information agrée des organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents. L’autorité et les organismes qu’elle a ainsi agréés sont autorisés à échanger entre eux des informations couvertes par des secrets protégés par la loi.



Les modalités d’application du présent article, notamment les modalités de dépôt et d’examen des demandes d’agrément des organismes mentionnés au premier alinéa, sont déterminées par décret en Conseil d’État.



Lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des personnes mentionnées à l’article 14 et des bureaux d’enregistrement, l’autorité nationale de sécurité des systèmes d’information peut prescrire à la personne ou au bureau d’enregistrement concerné les mesures nécessaires, notamment pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et en rendre compte.



Les modalités d’application du présent article sont fixées par décret en Conseil d’État.



Les agents et personnes, spécialement désignés et assermentés à cet effet, de l’autorité nationale de sécurité des systèmes d’information, des organismes indépendants ou d’autres services de l’État qu’elle désigne sont habilités à rechercher et à constater les manquements et infractions aux obligations prévues par :



1° Le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE ;



2° Le règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 ;



3° Les chapitres II et III du présent titre ;



4° Les articles L. 100, L. 102 et L. 103 du code des postes et des communications électroniques ;



5° Les exigences de cybersécurité résultant des autorisations, certifications, qualifications et agréments que l’autorité nationale de sécurité des systèmes d’information délivre.



La personne faisant l’objet d’un contrôle de l’autorité nationale de sécurité des systèmes d’information met à disposition des agents ou personnes mentionnés à l’article 26, les moyens nécessaires pour effectuer les vérifications sur place et sur pièces et évaluer la conformité aux exigences et le respect des obligations qui lui incombent.



Les agents et personnes mentionnés à l’article 26 ont accès aux locaux des entités contrôlées. Ils peuvent pénétrer dans les lieux à usage professionnel.



En outre, ils peuvent :



1° Exiger la communication de tout document nécessaire à l’accomplissement de leur mission, quel qu’en soit le support, et obtenir ou prendre copie de ces documents par tout moyen et sur tout support, y compris les éléments de nature à établir la mise en œuvre effective par l’entité des mesures de nature à répondre à ses obligations, dont les rapports d’audit menés par des organismes indépendants ;



2° Recueillir, sur place ou sur demande, tout renseignement ou toute justification utile ;



3° Accéder aux systèmes d’information, aux logiciels, aux programmes informatiques et aux données stockées et en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de la supervision ;



4° Procéder, sur convocation ou sur place, aux auditions de toute personne susceptible d’apporter des éléments utiles à leurs constatations. Ils en dressent procès-verbal. Les personnes entendues procèdent elles-mêmes à sa lecture, peuvent y faire consigner leurs observations et y apposent leur signature. En cas de refus de signer le procès-verbal, mention en est faite sur celui-ci.



Le secret professionnel ne peut être opposé par les personnes contrôlées aux personnes mentionnées au premier alinéa agissant dans le cadre des pouvoirs qui leur sont conférés par les dispositions du présent chapitre.



Les agents et les personnes mentionnés à l’article 26 ainsi que les experts qui concourent à l’accomplissement des missions prévues au même article sont astreints au secret professionnel pour les faits, actes ou renseignements dont ils ont connaissance en raison de leurs fonctions, sous réserve des éléments nécessaires à l’établissement des documents d’instruction.



Les rapports, avis ou autres documents justifiant d’adopter les mesures mentionnées aux articles 28, 29 et 32, y compris ceux établis ou recueillis dans le cadre de la recherche de manquement, peuvent être communiqués à la personne faisant l’objet du contrôle.



Il est dressé procès-verbal des vérifications et visites menées en application du présent article, qui fait foi jusqu’à preuve du contraire.



La personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information. Les agents et les personnes mentionnés à l’article 26 peuvent constater toute action de sa part de nature à faire obstacle au contrôle.



Le fait, pour la personne contrôlée, de faire obstacle aux demandes de l’autorité nationale de sécurité des systèmes d’information nécessaires à la recherche des manquements et à la mise en œuvre des pouvoirs prévus par la présente sous-section, notamment en fournissant des renseignements incomplets ou inexacts ou en communiquant des pièces incomplètes ou dénaturées, est constitutif d’un manquement et puni d’une amende administrative prononcée par la commission des sanctions mentionnée à l’article 35 dont le montant, proportionné à la gravité du manquement, ne peut excéder dix millions d’euros ou 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu.



L’autorité nationale de sécurité des systèmes d’information notifie à la personne contrôlée les griefs constitutifs d’obstacle mentionné à l’alinéa précédent retenus à son encontre, et saisit la commission des sanctions mentionnée à l’article 35 qui se prononce dans les conditions prévues à la section 3 du présent chapitre.



Les dispositions du présent article ne s’appliquent pas aux administrations de l’État et à ses établissements publics administratifs.



Le contrôle de l’autorité nationale de sécurité des systèmes d’information peut prendre la forme suivante :



1° Inspections sur place et contrôles à distance ;



2° Audits de sécurité réguliers et ciblés réalisés par l’autorité nationale mentionnée au premier alinéa ou par un organisme indépendant choisi par cette dernière ;



3° Scans de sécurité ;



4° Audits en cas d’incident important ou d’une violation des dispositions de l’article 26.



Le coût de ces mesures est à la charge des personnes contrôlées sauf lorsque, à titre exceptionnel, l’autorité nationale de sécurité des systèmes d’information en décide autrement.

Les modalités d’application de la présente section sont fixées par décret en Conseil d’État.



Au vu des résultats du contrôle réalisé en application des dispositions de la section 1, l’autorité nationale de sécurité des systèmes d’information peut décider de l’ouverture d’une procédure à l’encontre de la personne contrôlée. Elle lui notifie sa décision.



L’autorité nationale de sécurité des systèmes d’information désigne parmi les agents et personnes mentionnés à l’article 26 un ou plusieurs rapporteurs chargés de l’instruction de cette procédure.



Lorsque cette instruction ne fait pas état de faits justifiant une mesure d’exécution, l’autorité nationale de sécurité des systèmes d’information clôt la procédure et en informe la personne concernée.



Dans le cas contraire, l’autorité nationale peut, après avoir mis la personne concernée en mesure de présenter ses observations :



1° Prononcer une mise en garde à son encontre ;



2° Lui enjoindre de prendre les mesures nécessaires pour éviter un incident ou y remédier, et définir les délais pour mettre en œuvre ces mesures et rendre compte de cette mise en œuvre ;



3° Lui enjoindre de se mettre en conformité avec les obligations qui lui sont applicables dans un délai qu’elle détermine et qui ne peut être inférieur à un mois, sauf en cas de manquement grave ou répété ;



4° Lui ordonner d’informer les personnes physiques ou morales à l’égard desquelles elle fournit des services ou exerce des activités susceptibles d’être affectées par une cybermenace importante, de la nature de cette menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace ;



5° Lui enjoindre de mettre en œuvre dans le délai qu’elle fixe les recommandations formulées à la suite d’un audit de sécurité ;



6° Exiger qu’elle communique au public le manquement constaté par tout moyen adapté.



La mesure d’exécution est notifiée aux intéressés et assortie, le cas échéant, d’une astreinte dont le montant ne peut excéder 5 000 euros par jour de retard. L’autorité nationale de la sécurité des systèmes d’information peut décider de la rendre publique.



L’astreinte journalière court à compter du jour suivant l’expiration du délai imparti aux personnes concernées pour déférer à l’injonction. En cas d’inexécution totale ou partielle ou d’exécution tardive, la commission des sanctions mentionnée à l’article 35 peut procéder à la liquidation de l’astreinte.



Lorsque la personne concernée apporte les éléments montrant qu’elle s’est conformée à la mesure d’exécution mentionnée à l’article 32 dans le délai imparti, l’autorité nationale de sécurité des systèmes d’information constate qu’il n’y a pas lieu de poursuivre la procédure et le notifie à cette personne.



Lorsque la personne en cause ne se conforme pas à l’une des mesures d’exécution qui lui est adressée, l’autorité nationale de sécurité des systèmes d’information lui notifie les griefs et saisit la commission des sanctions mentionnée à l’article 35.



Lorsque la personne concernée est une entité essentielle et qu’elle n’apporte pas la preuve qu’elle s’est conformée aux mesures d’exécution mentionnées aux 1° à 3° et 5° de l’article 32 dans le délai imparti, l’autorité nationale de sécurité des systèmes d’information peut suspendre une certification ou une autorisation concernant tout ou partie des services fournis ou des activités exercées par l’entité jusqu’à ce que l’entité essentielle ait remédié au manquement. Lorsque cette certification ou cette autorisation a été délivrée par à un organisme de certification ou d’autorisation par un autre organisme, elle enjoint à cet organisme de la suspendre jusqu’à ce que l’entité essentielle ait remédié au manquement.

Un décret en Conseil d’État fixe les modalités de la procédure prévue à la présente section.

La commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense statue sur les manquements constatés aux obligations découlant de l’application des chapitres II et III du présent titre, dans les conditions prévues par la présente section.



Lorsqu’elle est saisie de manquements aux obligations découlant de l’application des chapitres II et III du présent titre, la commission des sanctions est composée :



1° Des personnes mentionnées au 1° de l’article L. 1332-16 du code de la défense ;



2° De trois personnalités qualifiées, nommées par le Premier ministre en raison de leurs compétences dans le domaine de la sécurité des systèmes d’information.



I. – En cas de manquement constaté aux obligations prévues par les dispositions prévues au présent titre, la commission des sanctions peut prononcer :



1° A l’encontre des entités essentielles et des opérateurs mentionnés à l’article L. 1332-2 du code de la défense, à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu ;



2° A l’encontre des entités importantes, à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu ;



3° A l’encontre des offices d’enregistrement et des bureaux d’enregistrement mentionnés à l’article 18 de la présente loi, à l’exception de ceux relevant des articles L. 45 à L. 45-8 du code des postes et des communications électroniques lorsqu’il s’agit d’un manquement aux obligations prévues à la section 3 du chapitre II de la présente loi, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent. Cette amende peut se cumuler avec l’amende prévue au 1° prononcée à l’encontre d’un office d’enregistrement en cas de manquement aux obligations applicables aux entités essentielles.



Si les manquements relevés constituent également une violation du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, donnant lieu à un amende administrative prononcée par la Commission nationale de l’informatique et des libertés en vertu des articles 20 à 22-1 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la commission des sanctions ne peut prononcer de sanction sous forme d’amende administrative.



II. – La commission des sanctions peut prononcer une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu, à l’encontre :



1° Des fournisseurs de moyens d’identification électronique relevant des schémas d’identification électronique notifiés par l’État, des prestataires de services de confiance établis sur le territoire français, des fournisseurs de dispositifs de création de signature et de cachet électronique qualifié qu’elle certifie et des organismes d’évaluation de la conformité, à l’exception des administrations de l’État et de leurs établissements publics à caractère administratif, en cas de manquement constaté aux dispositions du règlement (UE) n° 910/2014 du 23 juillet 2014 mentionné ci-dessus ;



2° Des organismes d’évaluation de la conformité sauf si l’organisme d’évaluation de la conformité est l’autorité nationale de certification de cybersécurité, des titulaires d’une déclaration de conformité aux exigences d’un schéma de certification européen, des titulaires d’un agrément, d’une qualification ou d’un certificat dans le domaine de la cybersécurité, en cas de manquement constaté aux dispositions du règlement (UE) n° 2019/881 du 17 avril 2019 mentionné ci-dessus ou aux exigences applicables mentionnés au 4° et au 5° de l’article 26 de la présente loi.



III. – Lorsque la commission des sanctions envisage également de prononcer l’amende prévue à l’article 28 à l’encontre de la même personne, le montant cumulé des sanctions ne peut excéder le montant maximum de l’amende prévue au I ou au II du présent article.



IV. – La commission des sanctions peut également prononcer les mesures suivantes à l’encontre des organismes d’évaluation de la conformité et des titulaires d’agréments, de qualifications ou de certificats en matière de cybersécurité, au titre des dispositions du règlement (UE) n° 910/2014 du 23 juillet 2014 mentionné ci-dessus, des dispositions du règlement (UE) 2019/881 du 17 avril 2019 mentionné ci-dessus ou des exigences de cybersécurité mentionnés au 5° de l’article 26 de la présente loi :



1° L’abrogation d’un agrément, d’une qualification ou d’un certificat ;



2° L’abrogation de l’autorisation, de l’agrément ou de l’habilitation délivré à l’organisme d’évaluation de la conformité, lorsque le manquement n’est pas corrigé dans le délai imparti par l’autorité nationale de sécurité des systèmes d’information.



V. – La commission des sanctions peut interdire à toute personne physique exerçant les fonctions de dirigeant dans l’entité essentielle d’exercer des responsabilités dirigeantes dans cette entité, jusqu’à ce que l’entité essentielle ait remédié au manquement. Ces dispositions ne s’appliquent pas aux administrations.



Le titre III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :



1° L’article 30 est remplacé par les dispositions suivantes :



« Art. 30. – I. – L’utilisation des moyens de cryptologie est libre.



« II. – La fourniture, le transfert depuis ou vers un État membre de l’Union européenne, l’importation et l’exportation des moyens de cryptologie assurant exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont libres.



« III. – La fourniture, le transfert depuis ou vers un État membre de l’Union européenne, l’importation et l’exportation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont soumis à une déclaration préalable auprès du Premier ministre, sauf dans les cas prévus au b du présent III et sans préjudice des exigences applicables aux biens à double usage intégrant un moyen de cryptologie. Un décret en Conseil d’État fixe :



« a) Les conditions dans lesquelles sont souscrites ces déclarations, les conditions et les délais dans lesquels le Premier ministre peut demander communication des caractéristiques du moyen, ainsi que la nature de ces caractéristiques ;



« b) Les catégories de moyens dont les caractéristiques techniques ou les conditions d’utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, leur fourniture, leur transfert depuis ou vers un État membre de l’Union européenne ou leur importation ou exportation peuvent être dispensés de toute formalité préalable. » ;



2° L’article 33 est abrogé ;



3° Le I de l’article 35 est remplacé par les dispositions suivantes :



« I. – Sans préjudice de l’application du code des douanes, le fait de ne pas satisfaire à l’obligation de déclaration prévue à l’article 30 en cas de fourniture, de transfert depuis ou vers un État membre de l’Union européenne, d’importation ou d’exportation d’un moyen de cryptologie est puni d’un an d’emprisonnement et de 15 000 euros d’amende. »



I. – Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est ainsi modifié :



1° A l’article L. 2321-2-1 :



a) Au premier alinéa, les mots : « à l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » sont remplacés par les mots : « des entités essentielles au sens de la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;



b) Au quatrième alinéa, les mots : « à l’article 5 de la loi n° 2018-133 du 26 février 2018 précitée » sont remplacés par les mots : « des entités essentielles au sens de la loi n° ….. du ….. mentionnée ci-dessus » ;



2° A l’article L. 2321-3 :



a) Au premier alinéa, les mots : « opérateurs mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » sont remplacés par les mots : « entités essentielles au sens de la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;



b) Au deuxième alinéa, les mots : « à l’article 5 de la loi n° 2018-133 du 26 février 2018 précitée » sont remplacés par les mots : « d’une entité essentielle au sens de la loi n° ….. du ….. mentionnée ci-dessus ».



II. – Le code des postes et des communications électroniques est ainsi modifié :



1° L’article L. 33-1 est ainsi modifié :



a) Au a du I, les mots : « qui incluent des obligations de notification à l’autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement » sont supprimés ;



b) Après le q du I, il est inséré un r ainsi rédigé :



« r) Les prescriptions en matière de sécurité des systèmes d’information prévues par loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. » ;



c) A l’avant-dernier alinéa du I, les mots : « n ter et o du présent I » sont remplacés par les mots : « n ter, o et r du présent I » ;



d) Après le 3° du VII, il est inséré un 4° ainsi rédigé :



« 4° Les dispositions du r du I sont applicables en Polynésie française, dans les îles Wallis et Futuna et en Nouvelle-Calédonie. » ;



2° Après le deuxième alinéa de l’article L. 45, il est inséré un alinéa ainsi rédigé :



« Chaque office d’enregistrement est responsable du fonctionnement technique du domaine de premier niveau qui lui est attribué, incluant notamment l’exploitation de ses serveurs de noms de domaine, la maintenance de ses bases de données d’enregistrement et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms de domaine, qu’il effectue ces opérations lui-même ou qu’elles soient sous-traitées. » ;



3° Au deuxième alinéa de l’article L. 45-3, après le mot : « territoire » sont insérés les mots : « de l’un des Etats membres » ;



4° A l’article 45-4 :



a) La première phrase du premier alinéa est complétée par les mots : « ainsi que par les agents agissant pour le compte de ces derniers » ;



b) A la seconde phrase du même alinéa, après le mot : « enregistrement » sont insérés les mots : « ni aux agents agissant pour le compte de ces derniers » ;



c) Le dernier alinéa est complété avec une phrase ainsi rédigée : « Les bureaux d’enregistrement sont responsables vis-à-vis de l’office d’enregistrement du respect de ces règles par les agents agissant pour leur compte. » ;



d) Il est ajouté un alinéa ainsi rédigé :



« Le décret en Conseil d’État prévu à l’article L. 45-7 précise les catégories d’agents pouvant agir pour le compte des bureaux d’enregistrement. » ;



5° A l’article L. 45-5 :



a) Le deuxième alinéa est remplacé par les dispositions suivantes :



« Les offices d’enregistrement, par l’intermédiaire des bureaux d’enregistrement ainsi que des agents agissant pour le compte de ces derniers, collectent les données nécessaires à l’enregistrement des noms de domaine, notamment celles relatives à l’identification des personnes physiques ou morales titulaires de ces noms de domaine et des personnes chargées de leur gestion. Après leur enregistrement, et sans retard injustifié, les offices et les bureaux d’enregistrement rendent publiques, au moins quotidiennement, ces données dès lors qu’elles n’ont pas de caractère personnel. Ils tiennent ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte, et sont responsables du traitement de ces données dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. » ;



b) Au dernier alinéa, après le mot : « inexactes » sont insérés les mots : « ou incomplètes » ;



c) Sont ajoutés deux alinéas ainsi rédigés :



« Les offices et les bureaux d’enregistrement répondent aux demandes d’accès aux données d’enregistrement dans un délai n’excédant pas soixante-douze heures après réception de la demande.



« Le décret en Conseil d’État prévu à l’article L. 45-7 fixe la liste des données d’enregistrement devant être collectées. » ;



6° L’article L. 45-8 est complété par les mots : « dans leur rédaction issue de la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».



III. – Le titre Ier de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité est abrogé.



IV. – L’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives est ainsi modifiée :



1° Les 2° et 3° du II de l’article 1er sont abrogés ;



2° Les articles 9 et 12 sont abrogés ;



3° Le I de l’article 14 est abrogé.



I. – Le titre II de la présente loi, à l’exception de son article 13, est applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :



1° En l’absence d’adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n’y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement ;



2° Dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l’euro dans cette monnaie.



II. – L’article 13 de la présente loi n’est pas applicable à Saint-Barthélemy et à Saint-Pierre-et-Miquelon.



III. – Pour l’application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, au règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, au règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE et au règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.



IV. – Le I de l’article 57 de la loi n° 2004-575 du 21 juin 2004 mentionnée ci-dessus est ainsi modifié :



1° Au premier alinéa, les mots : « articles 1er à 8, 14 à 20, 25 et 29 à 49 » sont remplacés par les mots : « articles 1er à 8, 14 à 20, 25, 29, 30, 31 et 37 à 49 » et les mots : « loi n° 2022-1159 du 16 août 2022 portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne » sont remplacés par les mots : « loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;



2° Au deuxième alinéa, les mots : « articles 8, 14, 19, 25 et 29 à 49 » sont remplacés par les mots : « articles 8, 14, 19, 25, 29, 30, 31 et 37 à 49 » et après les mots : « Terres australes et antarctiques françaises » sont insérés les mots « dans leur rédaction résultant de la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;



3° Au troisième alinéa, les mots : « articles 35 à 38 et 41 à 49, qui s’appliquent de plein droit dans cette collectivité, les articles 1er à 8, 14 à 20, 25, 29 à 34, 39 et 40 » sont remplacés par les mots : « articles 37, 38 et 41 à 49, qui s’appliquent de plein droit dans cette collectivité, les articles 1er à 8, 14 à 20, 25, 29, 30, 31, 37, 39 et 40 ».



V. – Le I de l’article 24 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité est remplacé par les dispositions suivantes :



« I. – Le titre V est applicable à Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, dans sa rédaction résultant de la présente loi. »



VI. – L’article 16 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, après les mots : « dans les îles Wallis et Futuna » est complété par les mots : « dans sa rédaction résultant de la loi n° ….. du ….. relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».



L’article L. 39-1 du code des postes et des communications électroniques est remplacé par les dispositions suivantes :



« Art. L. 39-1. – I. – Est puni de six mois d’emprisonnement et de 30 000 euros d’amende le fait :



« 1° De maintenir un réseau indépendant en violation d’une décision de suspension ou de retrait du droit d’établir un tel réseau ;



« 2° D’utiliser une fréquence, un équipement ou une installation radioélectrique :



« a) Dans des conditions non conformes aux dispositions de l’article L. 34-9 ;



« b) Sans posséder l’autorisation prévue à l’article L. 41-1 ;



« c) En dehors des conditions de ladite autorisation lorsque celle-ci est requise ;



« d) Sans posséder le certificat d’opérateur prévu à l’article L. 42-4 ;



« e) En dehors des conditions réglementaires générales prévues à l’article L. 33-3 ;



« f) Sans l’accord ou l’avis mentionné au I de l’article L. 43 ou en dehors des caractéristiques déclarées lors de la demande de cet accord ou de cet avis.



« II. – Est puni de trois ans d’emprisonnement et de 75 000 euros d’amende, sous réserve de l’application des dispositions de l’article 78 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, le fait :



« 1° De perturber les émissions hertziennes d’un service autorisé en utilisant une fréquence, un équipement ou une installation radioélectrique :



« a) Dans des conditions non conformes aux dispositions de l’article L. 34-9 ;



« b) Sans posséder l’autorisation prévue à l’article L. 41-1 ;



« c) En dehors des conditions de ladite autorisation lorsque celle-ci est requise ;



« d) Sans posséder le certificat d’opérateur prévu à l’article L. 42-4 ;



« e) En dehors des conditions réglementaires générales prévues à l’article L. 33-3 ;



« f) Sans l’accord ou l’avis mentionné au I de l’article L. 43 ou en dehors des caractéristiques déclarées lors de la demande de cet accord ou de cet avis ;



« 2° De perturber les émissions hertziennes d’un service autorisé en utilisant un appareil, un équipement ou une installation, électrique ou électronique, dans des conditions non conformes à la réglementation régissant la compatibilité électromagnétique des équipements électriques et électroniques.



« III. – Est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende le fait :



« 1° D’avoir pratiqué l’une des activités prohibées par le I de l’article L. 33-3-1 en-dehors des cas et conditions prévus au II de cet article ;



« 2° D’utiliser, sans l’autorisation prévue au premier alinéa de l’article L. 41-1, des fréquences attribuées par le Premier ministre en application des dispositions de l’article L. 41 pour les besoins de la défense nationale et de la sécurité publique ou d’utiliser une installation radioélectrique, en vue d’assurer la réception de signaux transmis sur ces mêmes fréquences, sans l’autorisation prévue au deuxième alinéa de l’article L. 41-1. »



I. – L’article L. 97-2 du code des postes et communications électroniques est ainsi modifié :



1° Au I :



a) Le 1. est remplacé par les dispositions suivantes :



« 1. Toute demande d’assignation de fréquence relative à un système satellitaire est adressée à l’Agence nationale des fréquences.



« L’Agence nationale des fréquences déclare, au nom de la France, l’assignation de fréquence correspondante à l’Union internationale des télécommunications et engage la procédure prévue par le règlement des radiocommunications.



« Cette déclaration est effectuée sous réserve :



« – de la conformité de l’assignation demandée avec le tableau national de répartition des bandes de fréquences et aux stipulations des instruments de l’Union internationale des télécommunications ;



« – de l’existence d’un intérêt économique ou d’un intérêt pour la défense nationale justifiant que la déclaration soit effectuée au nom de la France ;



« – que les assignations soumises ne soient pas de nature à compromettre les intérêts de la sécurité nationale et le respect par la France de ses engagements internationaux. » ;



b) Au 2. :



i. Après le deuxième alinéa, il est inséré un alinéa ainsi rédigé :



« L’autorisation est octroyée à une entité de droit français ou à un établissement immatriculé au registre du commerce et des sociétés en France. » ;



ii. Au 1°, après le mot : « défense », il est inséré le mot : « nationale » et après les mots : « sécurité publique » sont ajoutés les mots : « ainsi que le respect par la France de ses engagements internationaux » ;



iii. Après le 4°, sont insérés un 5° et un 6° ainsi rédigés :



« 5° Lorsque le demandeur ne peut démontrer qu’un intérêt économique s’attache, pour la France, à l’autorisation ;



« 6° Lorsque le demandeur est dans l’incapacité technique ou financière de faire face durablement aux obligations qui sont les siennes une fois l’autorisation obtenue. » ;



c) Il est ajouté un alinéa ainsi rédigé :



« Elle peut être assortie, le cas échéant, de conditions visant à assurer que les activités prévues dans le cadre de l’exploitation de l’assignation autorisée ne porteront pas atteinte aux intérêts de la sécurité et de la défense nationale ou au respect par la France de ses engagements internationaux. » ;



2° Le second alinéa du III est remplacé par les dispositions suivantes :



« Lorsque le titulaire de l’autorisation ne se conforme pas, dans les délais fixés, à la mise en demeure qui lui a été adressée, le ministre chargé des communications électroniques peut lui notifier les griefs.



« Après que l’intéressé a reçu la notification des griefs et a été mis à même de consulter le dossier et de présenter ses observations écrites, le ministre chargé des communications électroniques procède, avant de prononcer une sanction, à son audition selon une procédure contradictoire.



« Le ministre chargé des communications électroniques peut, en outre, entendre toute personne dont l’audition lui paraît utile.



« Le ministre chargé des communications électroniques peut prononcer à l’encontre du titulaire de l’autorisation une des sanctions suivantes :



« – la suspension totale ou partielle, pour un mois au plus, de l’autorisation, la réduction de sa durée, dans la limite d’une année, ou son retrait ;



« – une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont retirés, sans pouvoir excéder 3 % du chiffre d’affaires hors taxes du dernier exercice clos, ou 5 % de celui-ci en cas de nouvelle violation de la même obligation. A défaut d’activité permettant de déterminer ce plafond, le montant de la sanction ne peut excéder 150 000 euros, ou 375 000 euros en cas de nouvelle violation de la même obligation ;



« – l’interruption de la procédure engagée par la France auprès de l’Union internationale des télécommunications.



« Lorsque le manquement est constitutif d’une infraction pénale, le montant total des sanctions prononcées ne peut excéder le montant de la sanction encourue le plus élevé.



« Lorsque le ministre chargé des communications électroniques a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué sur les mêmes faits ou des faits connexes, ce dernier peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.



« Les sanctions pécuniaires sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.



« Les décisions du ministre chargé des communications électroniques sont motivées et notifiées à l’intéressé. Elles peuvent être rendues publiques dans les publications, journaux ou services de communication au public par voie électronique choisis par lui, dans un format et pour une durée proportionnés à la sanction infligée. Elles peuvent faire l’objet d’un recours de pleine juridiction. » ;



3° Le VI est remplacé par les dispositions suivantes :



« VI. – Un décret en Conseil d’État fixe les modalités d’application du présent article. Il précise :



« 1° Les conditions dans lesquelles l’Agence nationale des fréquences déclare, au nom de la France, les assignations de fréquence à l’Union internationale des télécommunications ;



« 2° La procédure selon laquelle les autorisations sont délivrées ou retirées et selon laquelle leur caducité est constatée ;



« 3° Les conditions dont les autorisations d’exploitation peuvent être assorties ;



« 4° La durée et les conditions de modification et de renouvellement de l’autorisation ;



« 5° Les conditions de mise en service du système satellitaire ;



« 6° Les modalités d’établissement et de recouvrement de la redevance prévue au deuxième alinéa du 2. du I ;



« 7° Les modalités des procédures de mise en demeure et de sanction prévues au III. »



II. – A l’article L. 97-4 du même code, après les mots : « les articles L. 97-2 » sont insérés les mots : « , dans sa rédaction résultant de la loi n° ….. du ….. , ».



III. – Les dispositions du présent article s’appliquent à compter de l’entrée en vigueur du décret prévu au VI et au plus tard le 31 décembre 2025.

Au 7° du III de l’article L. 314-1 du code monétaire et financier, après les mots : « de l’information » sont insérés les mots : « et de la communication ».



L’article L. 420-3 du même code est ainsi modifié :



1° Au I :



a) A la première phrase, les mots : « des systèmes, des procédures et des mécanismes efficaces assurant » sont remplacés par les mots : « et maintient sa résilience opérationnelle conformément aux exigences fixées au chapitre II du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour garantir » et le mot : « tension » est remplacé par les mots : « graves tensions » ;



b) A la deuxième phrase, après les mots : « à des tests », il est inséré le mot : « exhaustifs » et les mots : « dans des situations d’extrême volatilité des marchés » sont supprimés ;



c) A la troisième phrase, après les mots : « continuité des activités » sont insérés les mots : « y compris une politique et des plans en matière de continuité des activités liées aux technologies de l’information et de la communication et des plans de réponse et de rétablissement des technologies de l’information et de la communication mis en place conformément à l’article 11 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 afin d’assurer le maintien de ses services » ;



2° Au III :



a) Au premier alinéa, après les mots : « environnements de tests » sont insérés les mots : « conformément aux exigences fixées aux chapitres II et IV du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » et les mots : « s’assurer » sont remplacés par le mot : « garantir » ;



b) Au deuxième alinéa, après les mots : « forme de négociation, », il est inséré le mot : « afin ».



I. – A l’article L. 421-4 du même code, les mots : « aux alinéas 2 et 4 » sont remplacés par les mots : « au 2. ».



II. – L’article L. 421-11 du même code est ainsi modifié :



1° Au I :



a) Au 2., après les mots : « suivi adéquats permettant » sont insérés les mots : « de gérer les risques auxquels elle est exposée, y compris les risques liés aux technologies de l’information et de la communication conformément au chapitre II du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, et » ;



b) Le 4. est abrogé ;



2° A la seconde phrase du premier alinéa du III, les mots : « aux 2 et 4 » sont remplacés par les mots : « au 2. » ;



3° A la seconde phrase du second alinéa, les mots : « aux 2 et 4 » sont remplacés par les mots : « au 2. ».



L’article L. 511-41-1-B du même code est ainsi modifié :



1° Au deuxième alinéa :



a) Après les mots : « le risque opérationnel » sont insérés les mots : « dont les risques liés aux technologies de l’information et de la communication au sens du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 y compris ceux liés aux services de technologies de l’information et de la communication fournis par les prestataires tiers » ;



b) Après les mots : « de levier excessif » sont insérés les mots : « , les risques mis en évidence par des tests de résilience opérationnelle numérique conformément au chapitre IV du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précité » ;



2° Au cinquième alinéa :



a) Après les mots : « risques encourus, établir » sont insérés les mots : « des politiques et » ;



b) Après les mots : « de leur activité » sont insérés les mots : « ainsi que des plans de réponse et de rétablissement des technologies de l’information et de la communication concernant les technologies qu’ils utilisent pour la communication d’informations ».

Au premier alinéa de l’article L. 511-55 du même code, après les mots : « et comptables saines, » sont insérés les mots : « de réseaux et de systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, ».



L’article L. 521-9 du même code est complété par un alinéa ainsi rédigé :



« Ils se conforment en outre aux exigences du chapitre II du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 applicables aux prestataires de services de paiement visés au I de l’article L. 521-1. »



L’article L. 521-10 du même code est ainsi modifié :



1° Au I, après les mots : « services de paiement » sont insérés les mots : « mentionnés au II de l’article L. 521-1 » ;



2° A la première phrase du II, le mot : « informent » est remplacé par les mots : « mentionnés au II de l’article L. 521-1 informent » ;



3° Au III, après la deuxième occurrence des mots : « services de paiement » sont insérés les mots : « mentionné au II de l’article L. 521-1 ».

Au premier alinéa de l’article L. 533-2 du même code, après les mots : « leurs systèmes informatiques » sont insérés les mots : « , y compris les réseaux et les systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 ».



L’article L. 533-10 du même code est ainsi modifié :



1° Le I est complété par un 6° ainsi rédigé :



« 6° A l’exception de celles qui gèrent des fonds d’investissement alternatifs relevant du IV de l’article L. 532-9 ou des fonds d’investissement alternatifs relevant du I de l’article L. 214-167, mettent en place des procédures administratives et comptables saines, des dispositifs de contrôle et de sauvegarde dans le domaine du traitement électronique des données, y compris les réseaux et les systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011. » ;



2° Au II :



a) A la première phrase du 4°, après les mots : « utilisant des systèmes » sont insérés les mots : « appropriés et proportionnés, y compris des systèmes de technologies de l’information et de la communication mis en place et gérés conformément à l’article 7 du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » ;



b) Au 5° :



– après les mots : « solides pour garantir » sont insérés les mots : « , conformément aux exigences fixées dans le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, » ;



– après les mots : « de l’information, », il est inséré le mot : « pour » ;



– après les mots : « non autorisé et », il est inséré le mot : « pour ».



L’article L. 533-10-4 du même code est ainsi modifié :



1° Au a du 1°, après les mots : « une capacité suffisante » sont insérés les mots : « , conformément aux exigences fixées au chapitre II du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » ;



2° Au 2° :



a) Le mot : « plans » est remplacé par le mot : « mécanismes » ;



b) Après les mots : « systèmes de négociation » sont insérés les mots : « y compris d’une politique et de plans en matière de continuité des activités liées aux technologies de l’information et de la communication et de plans de réponse et de rétablissement des technologies de l’information et de la communication mis en place conformément à l’article 11 du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précité » ;



c) Sont ajoutés les mots : « et aux chapitres II et IV du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précité ».

Au troisième alinéa de l’article L. 612-24 du même code, après les mots : « ou activités opérationnelles » sont insérés les mots : « y compris les prestataires tiers, en particulier critiques, de services fondés sur les technologies de l’information et de la communication visés au chapitre V du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, ».



Le III de l’article L. 613-38 du même code est ainsi modifié :



1° Au 3°, après les mots : « assurer leur continuité » sont insérés les mots : « et la résilience opérationnelle numérique » ;



2° Le 17° est complété par les mots : « , y compris des réseaux et des systèmes d’information visés dans le règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 ».



Le quatrième alinéa du II de l’article L. 631-1 du même code est remplacé par les dispositions suivantes :



« L’Autorité des marchés financiers, la Banque de France, l’Autorité de contrôle prudentiel et de résolution et l’autorité nationale en charge de la sécurité des systèmes d’information se communiquent sans délai les renseignements utiles à l’exercice de leurs missions respectives dans le domaine de la sécurité des systèmes d’information afin d’assurer, en particulier, le respect de la loi n° ….. du ….. et du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011. »



Le même code est ainsi modifié :



1° Le I de l’article L. 712-7 est complété par un 14° ainsi rédigé :



« 14° Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014 (UE) n° 909/2014 et (UE) 2016/1011. » ;



2° Dans le tableau figurant au I des articles L. 752-10, L. 753-10 et L. 754-8, la ligne :





est remplacée par la ligne suivante :





3° A l’article L. 761-1, les mots : « juillet 2014 et 2022/858 du 30 mai 2022 » sont remplacés par les mots : « juillet 2014, 2022/858 du 30 mai 2022 et 2022/2554 du 14 décembre 2022 » ;



4° Dans le tableau figurant au I des articles L. 762-3, L. 763-3 et L. 764-3, la ligne :





est remplacée par les deux lignes suivantes :





5° Dans le tableau figurant au I des articles L. 762-4, L. 763-4 et L. 764-4 :



a) La ligne :





est remplacée par les trois lignes suivantes :





b) La ligne :





est remplacée par la ligne suivante :





6° Aux articles L. 771-1 et L. 781-1, les mots : « décembre 2020 et 2022/858 du 30 mai 2022 » sont remplacés par les mots : décembre 2020, 2022/858 du 30 mai 2022 et 2022/2554 du 14 décembre 2022 » ;



7° Dans le tableau figurant au I des articles L. 773-5, L. 774-5 et L. 775-5, la ligne :





est remplacée par les deux lignes suivantes :





8° Dans le tableau figurant au I des articles L. 773-6, L. 774-6 et L. 775-6, la ligne :





est remplacée par la ligne suivante :





9° Dans le tableau figurant au I des articles L. 773-21, L. 774-21 et L. 775-15, la ligne :





est remplacée par les deux lignes suivantes :





10° Dans le tableau figurant au I du tableau des articles L. 773-30, L. 774-30 et L. 775-24 :



a) La ligne :





est remplacée par la ligne suivante :





b) La ligne :





est remplacée par la ligne suivante :





c) La ligne :





est remplacée par les trois lignes suivantes :





11° Dans le tableau figurant au I des articles L. 783-2, L. 784-2 et L. 785-2, la ligne :





est remplacée par la ligne suivante :





12° Dans le tableau figurant au I des articles L. 783-4, L. 784-4 et L. 785-4, la ligne :





est remplacée par la ligne suivante :





13° Dans le tableau figurant au I des articles L. 783-13, L. 784-13 et L. 785-12, la ligne :





est remplacée par la ligne suivante :





L’article L. 354-1 du code des assurances est ainsi modifié :



1° A la première phrase du troisième alinéa, les mots : « à l’article L. 310-3 » sont remplacés par les mots : « au 13° de l’article L. 310-3 » ;



2° La seconde phrase du quatrième alinéa est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 ».



Le I de l’article L. 356-18 du même code est ainsi modifié :



1° A la première phrase du troisième alinéa, les mots : « à l’article L. 310-3 » sont remplacés par les mots : « au 13° de l’article L. 310-3 » ;



2° La seconde phrase du quatrième alinéa est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 ».

La seconde phrase du quatrième alinéa de l’article L. 211-12 du code de la mutualité est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 ».

Le deuxième alinéa de l’article L. 212-1 du même code est complété par les mots : « , à l’exception de l’article L. 354-1 du code des assurances ».

La seconde phrase du quatrième alinéa de l’article L. 931-7 du code de la sécurité sociale est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 ».

Les dispositions du présent titre sont applicables à compter du 17 janvier 2025. Toutefois, les dispositions des articles 46, 47 et 54 sont applicables aux sociétés de financement remplissant les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012 à compter du 17 janvier 2026.