Cet amendement est une demande de rapport concernant l’attribution des fréquences. Le déploiement des capacités satellites en orbite terrestre basse s’intensifie depuis une dizaine d’années. Les réseaux de satellites commerciaux et gouvernementaux se multiplient. Cette prolifération pose la question de la bonne gestion du spectre électromagnétique. C’est une ressource « naturelle », rare et limitée, dont l’allocation est gérée par l’Union Internationale des Télécommunications (UIT). L’Agence Nationale des Fréquences (ANFR) fait l’interface, depuis la France, entre cette dernière et les demandes de fréquences des opérateurs. Or, l’accélération des projets de « mégaconstellations » privés s’accompagne de tentatives d’accaparer les réservations des spectres (en bandes Ku, Ka et Q/V) couplées aux orbites.

Cela donne lieu à une surenchère et à des spéculations financières de « satellites de papier » qui participent d’une économie des promesses économiques questionnable ; en résumé, à une « guerre de fréquences ». Insistant sur l’exigence de sobriété dans les arènes internationales de la diplomatie spatiale, la France n’échappe pourtant pas à ces logiques de marchandisation du couple spectre/orbite. Ainsi l’atteste la réservation auprès du Rwanda en 2021, par la start-up E-Space basée à Toulouse, de 300 000 couples spectres/orbites pour un réseau de nanosatellites. Ce dernier a été enrichi par le dépôt à l’UIT, par l’ANFR au nom de la France, d’une autre demande pour une constellation de 116 640 satellites (Semaphore-C2). Cette démarche a été validée techniquement et réalisée par l’ANFR.

Les problèmes liés à l’encombrement de l’orbite basse par ces systèmes en coexistence forcée sont désormais bien connus. Les risques d’effondrement, suscités par les collisions entre satellites ou débris de satellites, et les réactions en chaîne qui s’ensuivront (syndrome de Kessler), mettent en péril la continuité des opérations. Les infrastructures orbitales sont pourtant devenues absolument indispensables au capitalisme technologique et numérique et à nos sociétés en réseaux, si bien que l’extension du domaine des télécommunications spatiales demande à être régulée. Il en va de la préservation de la ressource et de la soutenabilité des activités spatiales à court et moyen termes.

Cette demande de rapport vise donc à faire le point sur ces évolutions et d’examiner dans quelle mesure le système d’allocation des fréquences contribue à la potentielle dégradation de l’environnement spatial.

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents majeurs liés aux TIC et les notifications volontaires des cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).

Contrairement à la rédaction adoptée par le Sénat, une communication simultanée et par le biais d’un formulaire unique est toutefois prévue au bénéfice de l’Agence nationale de sécurité des systèmes d’information (ANSSI), de manière obligatoire pour les entités assujetties au titre II du projet de loi et sur une base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

Cette rédaction permet de concilier la simplification des démarches à accomplir par les entreprises concernées tout en permettant l’intervention rapide de l’ANSSI.

En effet, une transmission à la seule ACPR engendrerait des délais importants, notamment en cas d’incidents nocturnes ou le week-end, l’ACPR ne disposant ni d’un système d’astreinte ni d’un portail de déclaration accessible en continu, contrairement à l’ANSSI. Ces délais peuvent être très préjudiciables dans le cadre de la gestion d’incidents cyber majeurs. Certains incidents peuvent affecter directement la situation prudentielle d’un établissement ou perturber la continuité de ses services essentiels. Dans ce contexte, une information directe et simultanée des autorités financières est indispensable pour permettre une réaction rapide, prévenir tout risque de contagion et sécuriser les intérêts des clients.

Cet amendement a le même objet que l’amendement n°109 mais concerne les déclarations des entités financières qui relèvent de la compétence de l’Autorité des marchés financiers.

Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d'information (ANSSI)

pourra déléguer la réalisation de contrôles à des organismes indépendants, dans le cadre de

l’application des obligations de cybersécurité prévues pour les entités essentielles et importantes.

Toutefois, la nature hautement sensible des contrôles en question — portant sur la sécurité des

systèmes d'information d’infrastructures critiques, de services essentiels — implique des exigences

particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet

conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des

vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être

connues de puissances étrangères. Dans ce contexte, il est impératif que les organismes auxquels

l’ANSSI pourra déléguer ces missions soient exclusivement européens.

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en prévoyant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.  

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC. 

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d’information, assorties de sanctions financières en cas de manquement.

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes

En conséquence, cet amendement vise à :

•       Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d’information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

•       Préserver l’efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l’accompagnement, la formation et le soutien technique, afin d’aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L’adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l’amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Tel est l’objet de cet amendement.

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services.

Cet amendement vise à supprimer le traitement différencié octroyé aux sociétés de financement ne justifiant pas d’une taille rendant complexe l’application des obligations de la directive DORA. Pour répondre aux enjeux de la cybersécurité, il est nécessaire de ne pas offrir de porte dérobée pour les cyberattaques. Offrir une dérogation aux sociétés de financement conduirait précisément à affaiblir globalement la sécurité de l’entièreté de notre réseau.

Le traitement ad hoc des entités financières de petite taille et ne gérant pas des opérations complexes n’est pas remis en cause par cet amendement.

Cet amendement encadre la possibilité pour l’ANSSI de suspendre une certification ou une autorisation en cas de non-conformité. S’il est légitimé de sanctionner les manquements graves, une suspension brutale peut être synonyme, dans le cas des TPE / PME, de mise à mort économique : perte d’activité, faillite, plan de licenciements.

En effet, les grandes entreprises ont une capacité de résilience en matière de cybersécurité que n’ont pas les petites structures. En prévoyant une exception pour les services vitaux des TPE / PME, sauf en cas de menace grave et immédiate, il est introduit une logique de proportionnalité qui permet de sauvegarder les emplois et assurer une régulation équilibrée.

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. Il n’est pas fait de distinction selon qu’il s’agisse d’une entité essentielle ou d’une entité importante. 

Or, le texte de la directive NIS2 établit un régime différencié de sanctions selon la catégorie des entités concernées. En effet, l’article 34 de la directive dispose que les entités essentielles (EE) s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de leur entreprise, selon le montant le plus élevé. Pour les entités importantes (EI), le plafond des sanctions est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial.

C’est pourquoi, il est proposé de respecter la lettre du texte de la directive et de distinguer le montant des sanctions en fonction de la qualification de l’entité. 

Amendement travaillé avec le Medef. 

Dans la phrase « Lorsqu’un manquement ou une suspicion de manquement aux obligations mentionnées à l’article 26 apparaît au terme d’un contrôle réalisé en application de la section 1, l’autorité nationale de sécurité des systèmes d’information peut ouvrir une procédure », l’expression « suspicion de manquement » est inappropriée car disproportionnée.

De plus, il s’agit manifestement d’une surtransposition, cette expression ne figurant pas dans la directive NIS 2. 

Amendement travaillé avec la Fédération Française des Télécoms. 

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. 

Or, un renseignement incomplet ou inexact peut être le résultat d’un cas de force majeure, ou de circonstances qui ne dépendent pas uniquement de la personne contrôlée.

C’est pourquoi, afin de garantir une évaluation proportionnée des manquements, il est proposé de préciser que l’absence de coopération de la personne contrôlée est délibérée pour que le manquement soit caractérisé. 

Amendement travaillé avec le Medef. 

Cet amendement vise à revenir sur l'incompatibilité adoptée au Sénat, visant à exclure la nomination comme personne qualifiée au sein de la commission des sanctions, saisie par l'ANSSI, de toute personne ayant exercé au cours des trois années précédentes, une activité au sein de l'ANSSI ou au sein d'entités essentielles ou importantes. 

Cette incompatibilité ne permettrait pas à la commission de disposer de personnalités qualifiées sur les questions de cybersécurité. 

Amendement de repli, visant à revenir sur l'incompatibilité adoptée au Sénat, visant à exclure la nomination au sein de la commission des sanctions, saisie par l'ANSSI, de toute personne ayant exercé au cours des trois années précédentes une activité au sein de l'ANSSI. 

Cette incompatibilité ne permettrait pas à la commission de disposer de personnalités qualifiées sur les questions de cybersécurité. 

Ce amendement vise à garantir l'absence de conflit d'intérêt des membres de la commission des sanctions et garantir leur impartialité, par un contrôle de la Haute Autorité pour la transparence de la vie publique.

L’article 28 du projet de loi prévoit que la personne contrôlée doit coopérer avec l’ANSSI, tout manquement étant passible d’une amende administrative. Le texte ne distingue toutefois pas entre entités essentielles et entités importantes, contrairement à la directive NIS2 qui établit une différenciation des sanctions selon la catégorie d’entité.

Cet amendement vise à distinguer les sanctions en fonction de la catégorie d’entité concernée, et de transposer ainsi fidèlement la directive NIS2.

Le non-cumul des amendes administratives au titre du RGPD par la CNIL et par la commission des sanctions au titre de NIS 2 est bien prévu par l’alinéa 5 de l’article 37, mais rien n’interdit à ce stade un cumul des amendes au titre de REC et de NIS 2 (Titres 1 et 2 du PJL).

L’amendement proposé consiste à interdire ce risque de cumul, selon le principe « Non bis in idem ».

Amendement travaillé avec la Fédération Française des Télécoms. 

Cet amendement vise à garantir l’information de l’ANSSI en cas de d’incident majeur touchant les entités financières soumises au règlement DORA et ainsi garantir l’efficacité du traitement des incidents. 

En effet, la rédaction issue du Sénat exclut l’ANSSI de l’obligation de notification des incidents imposée aux services financiers. Or, l’ANSSI est soumise à une astreinte permanente, lui permettant de réagir immédiatement en cas d’incident. 

L’information immédiate de l’ANSSI lui permettra de porter assistance aux victimes promptement et d’avertir de potentielles autres victimes de la menace. 

Exclure l’ANSSI de l’information des incidents revient donc à retarder leur prise en charge. 

Cette mesure ne s’oppose pas à la volonté de simplification, la notification par un formulaire unique, aux deux entités, permettra une assistance rapide en cas de cyberattaques, par une entité compétente en la matière. 

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement.
Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes. Une collectivité ne fonctionne pas comme une entreprise, ne fournit pas le même service, n’est pas pilotée selon la même logique. Une sanction financière, qui est très opérante pour un acteur privé, l’est moins pour une collectivité ; elle s’applique au détriment des usagers et des missions de service public.  Les moyens les plus efficaces à l’égard d’une collectivité résident dans les mesures d’exécution, notamment dans la possibilité de rendre publique une injonction. Cela revient à mettre un élu face à ses responsabilités en rendant public le fait qu’il ne respecte pas les mesures élémentaires de sécurité prescrites par la loi.
En conséquence, cet amendement vise à :
• Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.
• Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.
L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.
Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.
Cet amendement a été travaillé avec Départements de France.

Cet amendement vise à exonérer les audités du financement des audits
En effet, les structures soumises à ces contrôles, qu’il s’agisse d’associations, de collectivités territoriales, d’établissements publics ou de petites entreprises, disposent souvent de budgets contraints. L’imposition d’un contrôle à leur charge représenterait une contrainte financière supplémentaire, risquant d’entraver leur fonctionnement ou de compromettre leur équilibre budgétaire.
De plus, ces contrôles sont exigés par des autorités de contrôle dans le cadre d’une réglementation visant à garantir la conformité et la transparence du niveau de cyber sécurité de ces structures. Il apparaît donc incohérent de leur faire supporter des coûts élevés pour une obligation qui leur est imposée.
En conséquence vise à :
• Préserver la soutenabilité financière des structures concernées en évitant des charges excessives.
• Garantir que les contrôles soient effectués sans pression financière pouvant nuire au fonctionnement budgétaire des entités concernées.
• Assurer l’équité en attribuant la prise en charge de ces coûts aux instances prescriptrices ou à des fonds publics dédiés, selon des modalités à définir.
L’adoption de cet amendement permettrait de préserver l’activité des entités contrôlées tout en garantissant que les contrôles exigés soient réalisés dans les meilleures conditions. Elle éviterait également que certaines structures, par manque de moyens, soient dans une situation financière inadéquate en raison de ces contrôles.
Cet amendement s’inscrit ainsi dans une démarche de protection des entités concernées, tout en veillant à la bonne application des exigences de transparence et de conformité édictées par le texte.
Cet amendement a été travaillé avec Départements de France.
"

Le secteur bancaire, financier et assurantiel constitue une infrastructure critique au sens de la directive (UE) 2022/2555 dite NIS 2. Il est exposé à des risques croissants de cyberattaques, qui peuvent compromettre non seulement la continuité du service mais également la protection des données personnelles et la confiance des usagers.

La mise en place d’un Comité national d’observation des risques cyber répond à un double objectif :

• d’une part, renforcer la transparence et l’évaluation des mesures mises en place par les établissements, en associant l’ensemble des parties prenantes, y compris les consommateurs et les régulateurs ;
• d’autre part, éviter que les exigences de cybersécurité ne se traduisent par une hausse injustifiée des frais supportés par les usagers, dans un secteur marqué par une forte asymétrie d’information entre établissements et clients.

Cet observatoire contribuera ainsi à un pilotage équilibré entre sécurité numérique, stabilité financière et protection des usagers, en cohérence avec les orientations européennes et nationales en matière de résilience cyber.

Pour respecter les règles de la recevabilité financière, nous limitons cette institutionnalisation à la création d’un comité, admis dans le cadre des règles classiques de la recevabilité financière (voir Eric Woerth, Rapport d’information n° 5107, sur la recevabilité financière des initiatives parlementaires et la recevabilité organique des amendements à l’Assemblée nationale, 23 février 2022, p. 74)

Cet amendement du groupe Horizons & Indépendants propose de sécuriser juridiquement la dématérialisation des actes établis par les agents et personnels compétents en matière de cybersécurité et de contrôle, mentionnés à l’article 26.

Il prévoit que ces actes pourront être établis, signés et conservés exclusivement sous format numérique, dans des conditions garantissant leur intégrité et leur sécurité, sans nécessité de support papier ni de sceau. Une signature électronique unique et sécurisée, conforme aux standards techniques, assurera la valeur probante des actes, quels que soient leur nombre de pages ou le nombre de signataires. L’objectif est de moderniser et simplifier les procédures administratives, conformément à l’exigence de sobriété normative.

L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. 

Or, un renseignement incomplet ou inexact peut être le résultat d’un cas de force majeure, ou de circonstances qui ne dépendent pas uniquement de la personne contrôlée.

C’est pourquoi, afin de garantir une évaluation proportionnée des manquements, il est proposé de préciser que l’absence de coopération de la personne contrôlée est délibérée pour que le manquement soit caractérisé.

L’article 28 du projet de loi prévoit qu’une amende administrative peut être infligée à une entité qui ne coopérerait pas avec l’ANSSI ou fournirait des informations inexactes ou incomplètes.

Toutefois, la rédaction actuelle ne distingue pas entre un manquement intentionnel et une simple erreur ou omission non volontaire, pourtant fréquente dans des démarches administratives complexes, notamment pour des petites structures, des collectivités ou des opérateurs nouvellement assujettis.

En l’état, une erreur de bonne foi pourrait donc être sanctionnée aussi lourdement qu’une obstruction délibérée, ce qui est contraire au principe de proportionnalité des sanctions rappelé tant par le droit français que par la directive NIS 2 à l’article 34, qui exige des mesures « effectives, proportionnées et dissuasives ».

Le présent amendement vise donc à introduire une condition d’intentionnalité en limitant la sanction aux seuls cas où l’entité « fait volontairement obstacle » à l’exercice des missions de contrôle. Cette précision permet de mieux cibler les comportements réellement répréhensibles tout en évitant une insécurité juridique excessive pour les entités de bonne foi.

Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra déléguer la réalisation de contrôles à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les entités essentielles et importantes. Toutefois, la nature hautement sensible des contrôles en question — portant sur la sécurité des systèmes d’information d’infrastructures critiques, de services essentiels — implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères. Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient exclusivement européens.

Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra déléguer la réalisation de contrôles à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les entités essentielles et importantes.

Toutefois, la nature hautement sensible des contrôles en question — portant sur la sécurité des systèmes d’information d’infrastructures critiques, de services essentiels — implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères.

Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient exclusivement européens. Ainsi cet amendement de repli vise à donner aux entreprises un droit de veto sur les organismes désignés par l’ANSSI.

La CNIL et l’ANSSI, disposent toutes deux de compétences de contrôle pouvant porter sur les mêmes entités, notamment en cas d’incident de sécurité ou de vérification des dispositifs de protection des données et des systèmes d’information.

Afin d’éviter des doublons, une charge excessive pour les entités régulées ou des contradictions d’appréciation entre autorités, il convient de prévoir une coordination explicite entre la CNIL et l’ANSSI. Cela permettra notamment de définir les conditions dans lesquelles des contrôles conjoints, alternés ou séquencés peuvent être organisés, dans le respect des compétences propres de chaque autorité.

Le présent amendement prévoit donc que les modalités de cette coordination soient précisées par décret.

Le présent amendement vise à garantir les droits de la défense et le respect du principe du contradictoire lors des procédures de sanction engagées à l’encontre d’une entité contrôlée dans le cadre du dispositif prévu par le présent article.

En l’état, l’article prévoit la saisine d’une commission des sanctions sans préciser que la personne contrôlée en est informée. Or, l’information préalable de la personne visée par une procédure de sanction constitue une exigence fondamentale du droit à un procès équitable.

Il est donc proposé d’inscrire explicitement dans la loi que la personne concernée est informée de la saisine de la commission. Cette disposition permettra à l’entité de préparer utilement sa défense et d’exercer pleinement ses droits tout au long de la procédure, dans un souci de transparence, d’efficacité et de légitimité de l’action administrative

Amendement d’appel

Le présent amendement vise à rétablir l’égalité de traitement entre les opérateurs d’importance vitale (OIV), qu’ils soient publics ou privés, en matière de régime de sanctions en cas de manquements à leurs obligations. Tel que rédigé, le projet de loi prévoit que les collectivités territoriales, leurs groupements et leurs établissements publics administratifs ne sont pas soumis aux amendes administratives applicables aux autres OIV. Cette exclusion crée une asymétrie injustifiée dans la mise en œuvre de la résilience des infrastructures critiques.

Pourtant, certaines activités essentielles comme l’approvisionnement en eau potable ou la gestion des déchets sont parfois assurées par des opérateurs privés soumis à sanction, parfois directement en régie par des collectivités territoriales — qui, elles, seraient exemptées de toute sanction. Cette différence de traitement ne saurait se justifier par la seule différence de statut juridique ou de capacité financière, dès lors que les risques et enjeux de continuité de service sont identiques.

Le Conseil d’État, dans son avis sur le projet de loi a explicitement relevé cette inégalité. Il a estimé que l’exclusion des collectivités territoriales du champ des sanctions administratives méconnaît à la fois le principe d’égalité devant la loi et les objectifs de la directive Nis 2 (UE) 2022/2557 sur la résilience des entités critiques. Celle-ci impose aux États membres de prévoir des sanctions qui soient « effectives, proportionnées et dissuasives » pour tous les types d’entités concernées.

En l’absence d’un mécanisme d’effet équivalent — comme un pouvoir de substitution exercé par l’État ou un dispositif contraignant de mise en conformité — cette exemption fragilise l’efficacité du dispositif global de cybersécurité et de résilience.

Il est donc proposé de supprimer cette exclusion, afin d’assurer une mise en conformité avec le droit européen, garantir une égalité devant la loi entre acteurs publics et privés, et renforcer concrètement la résilience des activités vitales pour notre pays.

L’article 58 bis a été introduit par amendement au Sénat du groàupe centriste (amendement n° 14), face à un avis défavorable du Gouvernement. Au stade de la commission spéciale, nous souhaitons pouvoir élever le débat et appeler à ce qu’une réelle étude des effets de la modification du droit des assurances soit approfondie. L’enjeu est bien d’avoir un cadre juridique permettant une garantie assurantielle efficace des acteurs, notamment les petits (communes, PME/TPE, association) et nous sommes en l’état dépourvu de projection présentant les avantages et inconvénients de l’évolution du droit votée au Sénat.

L'article 19 du règlement DORA prévoit que les entités financières déclarent à l’autorité compétente pertinente visée à l’article 46 les incidents majeurs liés aux technologies de l'information et de la communication. Elles peuvent également notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Quant à l'article 17 du présent projet de loi, qui propose de transposer l'article 23 de la directive NIS 2, il prévoit que les entités essentielles et les entités importantes (dont peuvent faire partie plusieurs entités financières concernées par le règlement DORA) doivent notifier sans retard injustifié à l’Agence nationale de sécurité des systèmes d’information (ANSSI) tout incident ayant un impact important sur la fourniture de leurs services.

Afin de diminuer les démarches pour les entreprises victimes incidents majeurs liés aux TIC ou de cybermenaces importantes, l'amendement propose que ces deux obligations d'information soient réalisées par un formulaire unique qui serait adressé aussi bien à l'ANSSI qu'aux autres autorités compétentes selon l'entité concernée (Banque de France, ACPR, AMF...).

Cette rédaction alternative à celle du Sénat permettrait de maintenir le rôle primordial de l'ANSSI dans la gestion des cyberattaques.

Amendement rédactionnel.

Cet amendement tire les conclusions de la réécriture de l'article 43 A en cas d'adoption de l'amendement n° CS242.

Amendement rédactionnel.

Amendement rédactionnel.

Amendement rédactionnel.

Amendement rédactionnel.

Amendement rédactionnel.

Amendement rédactionnel.

Amendement rédactionnel.

Amendement de coordination. Il tient compte de plusieurs modifications du Sénat (art. 49 bis, article 53) et corrige des erreurs de référence.

Amendement rédactionnel.

Amendement rédactionnel.

S’agissant des assurances de dommages aux biens, les risques de guerre sont légalement exclus de la garantie de l’assureur, sauf convention contraire, conformément à l’article L. 121-8 du code des assurances. Cette exclusion se justifie par le caractère inassurable d’une guerre qui constitue un risque de nature systémique limitant les possibilités de mutualisation. Par exception aux principes assurantiels, la charge de la preuve repose ici sur l’assuré qui doit démontrer l’absence de lien de causalité entre le sinistre et un fait de guerre étrangère.

L’État est compétent en matière assurantielle dans les îles Wallis et Futuna régies par le principe de spécialité législative. La modification de l’article L. 121-8 doit être rendue applicable dans ce territoire par mention expresse.

Cette exclusion légale, issue de la loi du 13 juillet 1930, a été conçue dans un contexte international marqué par le formalisme des déclarations de guerre et l’envoi de troupes et n’a pas été pensée pour des cyberattaques. La jurisprudence n’a de plus jamais défini cette notion de « guerre étrangère » au sens de l’article L. 121-8 du code des assurances. En conséquence, la loi ne prévoit pas expressément d’exclusion pour le risque d’attaques cyber d’origine étatique (« cyberguerre »). Dans le silence de la loi, des exclusions conventionnelles disparates commencent cependant à émerger dans les polices d’assurance, ce qui crée une insécurité juridique à la fois pour les assurés et les assureurs.

Un travail de concertation entre la Direction générale du Trésor, l’ANSSI, l’ACPR, l’AMRAE et France Assureurs a permis d’aboutir à une rédaction qu'a souhaité défendre le rapporteur thématique et qui permet à la fois (i) d’assurer une sécurité juridique aux assureurs, (ii) d’inverser la charge de la preuve, (iii) d’améliorer la rédaction issue du sénat sans remettre en cause l’objectif poursuivi et (iv) de traiter un sujet identifié comme de plus en plus problématique pour le développement de l’assurance cyber.

Amendement rédactionnel.

Amendement rédactionnel.

Amendement rédactionnel.

Cet amendement tire les conclusions de la réécriture l’article 43 A en rappelant les obligations qui découlent de l’article 17 pour les entités financières reconnues comme essentielles ou importantes.

Par ailleurs, il étend son application en Nouvelle-Calédonie, en Polynésie français et dans les îles Wallis et Futuna à l’instar de ce que prévoit l’article 56 pour les autres dispositions du titre III.

Cet amendement vise à prévoir l’établissement d’une liste d'auditeurs approuvés par une autorité indépendante, à l'instar de l'ANSSI ou de l'ACPR, pour réaliser, à la demande des entités financières, les inspections prévues au chapitre V du règlement DORA relatif à la gestion des risques liés aux prestataires tiers de services de technologies de l'information et de la communication (TIC).

Ce nouveau cadre de gestion oblige en effet les entités financières à prévoir des obligations plus strictes dans la contractualisation avec leurs prestataires de services TIC (dont les opérateurs télécoms par exemple).

Dès lors, elles pourraient se voir soumettre à des audits pour vérifier la conformité de leurs prestations de services avec les exigences contractuelles de leurs clients qui eux-mêmes sont soumis au règlement DORA. Il peut être redouté que celles aient à communiquer des données sensibles, voire fassent l’objet d’enquêtes intrusives de la part de cabinet d’audit étrangers, quand bien même ils le feraient pour le compte d’une entité financière française. 

Certes, la loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères interdit déjà de communiquer des informations de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public. Cependant, un système d'agrément permettrait d'éviter ces risques et faciliterait le travail des prestataires tiers de service TIC.

Le présent amendement vise deux objectifs. 

D’une part, il s’agit de rétablir le principe d’une entrée en application différenciée entre les plus grandes sociétés de financement et les autres entreprises de ce type. Les plus grandes sociétés de financement exercent, pour certaines, des activités critiques pour le secteur financier français et devraient être assujetties dès la promulgation de la présente loi à des standards élevés en matière de résilience et de cybersécurité. Les autres sociétés de financement, de taille modeste, devraient bénéficier d’un report de l’entrée en application de ces exigences dans le cadre d’un calendrier de mise en conformité proportionné. La rédaction du Sénat reportait l'entrée en vigueur à l'ensemble des sociétés de financement sans distinction de taille.

D’autre part, le présent amendement vise à rétablir une date d’assujettissement des petites sociétés de financement dans des délais plus adaptés, assurant qu’à moyen terme l’ensemble du secteur financier français applique un niveau d’exigences cohérent. Le 1er janvier 2030 apparaît dans cette optique comme un horizon trop lointain et l’ampleur de cette différenciation est inéquitable par rapport à d’autres acteurs du secteur financier distribuant des services comparables aux sociétés de financement. Dans un souci d’égalité de traitement, l’échéance du 17 janvier 2027 du présent amendement offre deux ans aux petites sociétés de financement pour se préparer aux exigences de DORA, à l’instar des délais qui avaient été offerts par le règlement DORA aux établissements de crédit.

Enfin, une entrée en application différée à un horizon aussi lointain que 2030 apparaît contraire au principe du droit français d’équivalence des exigences prudentielles entre sociétés de financement et établissements de crédit. Cette équivalence est profitable aux sociétés de financement dont les expositions bénéficient à ce titre d’un traitement prudentiel aussi favorable que celui-ci des expositions auprès des banques en application de l’article 119 du règlement « CRR ». Dans le cas où cette équivalence devait être questionnée, les sociétés de financement pourraient perdre le bénéfice de cette dérogation prudentielle. 

Cette nouvelle rédaction ne revient pas sur la rédaction du second alinéa introduit par le Sénat spécifiant que les sociétés de financement de petite taille et non complexe se conforment aux exigences de DORA en application du principe de proportionnalité.

Cet amendement de repli propose de réduire le délai accordé à l'ensemble des sociétés de financement pour se mettre en conformité avec le règlement DORA du 1er janvier 2030 au 17 janvier 2027, soit un délai d'un an supplémentaire par rapport à la version initiale du projet de loi (qui ne concernait que les sociétés de financement de petites tailles et non complexes, les autres étant soumises à la même date d'application que l'ensemble des entités financières visées par le titre III).

Cette proposition alternative permet d'au moins concilier un nécessaire délai d'adaptation supplémentaire pour ces entreprises et la résilience opérationnelle numérique du secteur financier qui ne saurait attendre le 1er janvier 2030 comme le Sénat le propose pour l'ensemble des sociétés de financement.

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).
 
Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les entités assujetties à NIS2 et, sur base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.
 
Les collectivités ultramarines du Pacifique que sont la Nouvelle-Calédonie, la Polynésie française et les îles Wallis et Futuna régies par le principe de spécialité législative où toute création, modification ou abrogation d’articles métropolitains relevant de la sphère de compétence de l’Etat, en l’occurrence en matière bancaire et financière, doivent être rendues applicables par mention expresse.

Comme pour la transposition de la directive REC, le projet de loi exclut, dans le cadre cette fois-ci de l’application de la directive NIS 2, les administrations de l’État et ses établissements publics administratifs, les collectivités territoriales, leurs groupements et leurs établissements publics administratifs du champ du régime des sanctions administratives applicables aux entités essentielles.
 
Le Conseil d’État estime également qu’une telle différence de traitement avec les opérateurs privés n’est pas justifiée, et ceux, même si le gouvernement disposerait à leur égard « d’autres moyens que ces amendes pour garantir le respect de leurs obligations. »

L’article 28 du projet de loi prévoit des sanctions lorsqu’une entité fait obstacles aux demandes d’informations de l’ANSSI, ou en cas de fourniture de renseignements incomplets. Ce dernier point semble disproportionné : l’urgence inhérente à une crise cyber ne permet pas toujours à une entité de fournir l’ensemble des informations requises dans les délais impartis, sans pour autant que sa bonne foi ne puisse être remise en cause. Un tel régime de sanction apparait ainsi particulièrement répressif et n’est pas de nature à installer un cadre de confiance entre les entités et les autorités.

Cet amendement propose par conséquent d’introduire une gradation et un critère d’intention dans la sanction administrative prévue par le projet de loi en cas de fourniture incomplète d’informations à l’ANSSI par les entités. Il est ainsi proposé d’une part d’intégrer dans l’article 28 la notion d’intention (marquée par le terme « sciemment ») pour exclure de la sanction les entités agissant de bonne foi, et d’autre part de reproduire une disposition issue de l’article 33 du RGPD sur la transmission progressive des informations en fonction de la disponibilité de celles-ci.

Cet amendement a été travaillé avec NUMEUM.

Le mécanisme de contrôle prévu à l'article 29 prévoit que l'ANSSI peut déléguer les contrôles à des organismes indépendants.

Eu égard au caractère très sensible de ces contrôles et des données récoltées, il est impératif de veiller à ce que ces organismes soient européens.

C'est pourquoi cet amendement vise à expliciter cette condition dans le texte de la loi.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Amendement d’appel

Si le délai de 3 ans semble faire consensus depuis les déclarations de la ministre du Numérique et du directeur général de l’ANSSI lors de leur audition face à la commission spéciale au Sénat comme à l’Assemblée, aucune trace écrite n’existe à ce jour.

Le projet de loi ne prévoit pas de date limite de mise en conformité. Il ne prévoit pas non plus de date pour l’application des contrôles et donc des sanctions potentielles. L’ANSSI a d’ailleurs indiqué qu’elle laisserait le temps aux entités de se mettre en conformité avant d’engager les procédures de contrôle et de sanction.

Pour assurer une bonne lisibilité quant à l’application des nouvelles exigences et intégrer une certaine progressivité dans la mise en conformité, tout en encourageant les entités à ne pas attendre le dernier moment pour prendre en compte leurs obligations, il est nécessaire de fixer un calendrier d’application échelonnée et différenciée des mesures de contrôle en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité.

L’article 31 alinéa 1 doit prévoir des conditions de déclenchement de la phase d’instruction, compatibles avec la réalité opérationnelle des contrôles. Or, si c’est effectivement le cas lorsque de manière évidente les mesures de contrôle ont révélé un manquement, cela doit également être possible lorsque le constat de certains faits sont susceptibles de révéler un manquement qui n’est pas encore qualifié ou pleinement établi au moment de l’ouverture de l’instruction. Dans certaines hypothèses, la qualification d’un manquement nécessitera des mesures d’instructions approfondie assorties de mesures de contrôle complémentaires, le cas échéant.

Ainsi, la phase d’instruction permettra la qualification de certains faits au regard des règlementations mentionnées à l’article 26 justement pour déterminer si des manquements peuvent être identifiés.

C’est pourquoi, il apparaît important de ne pas limiter l’ouverture de la phase d’instruction uniquement aux manquements constatés et qualifiés dans le cadre des mesures de contrôle.

Cet amendement de clarification précise que les astreintes seront prononcées par l’autorité nationale de sécurité des systèmes d’information.

Rédactionnel.

Cet amendement tend, à titre principal, à tirer les conséquences de précédents amendements qui excluent les personnes morales dont leurs activités visées à l’article L. 1332‑2 du code de la défense du champ de la directive NIS 2 tout en garantissant leur assujettissement à un niveau d’exigence équivalent. Il vise ainsi à soumettre ces personnes aux mesures consécutives à un contrôle prévues à l’article 33 de la présente loi. 

Il vise par ailleurs à remplacer la notion d’entité par la notion de personne concernée, dans la mesure où les personnes morales visées ci-dessus, qui ont été exclues de la qualité d’entité essentielle ou importante, ne sauraient dès lors être considérées comme des entités au sens de la directive et désignées comme telles au sein de cet article.

Cet amendement vise enfin à simplifier la rédaction de l’alinéa 3 de l’article 33 en supprimant la mention des articles 8 à 10

Rédactionnel.

Cet amendement vise à s’assurer que la sanction éventuellement prononcée prenne en compte d’une part l’impact des manquements aux obligations de l’entité visée sur ses clients, fournisseurs ou écosystème et d’autre part les enjeux stratégiques (intelligence économique), économiques, technologiques ou sociaux liés à l’entité.

L’expertise sectorielle d’un représentant du ministère en charge du secteur d’activité de l’entité visée complètera les expertises techniques et juridiques des autres membres de la commission des sanctions.

Amendement travaillé avec le Cybercercle.

Rédactionnel.

Rédactionnel.

Cet amendement a pour objectif d’aligner, par cohérence, les conditions et garanties quant à la nomination des personnalités qualifiées sur celles prévues pour la composition de la commission des sanctions mentionnée au titre 1^er. Il vise également à ne pas limiter le champ des personnes dont la compétence en matière cyber est avérée pour éclairer la décision de la commission des sanctions, alors qu’un mécanisme de déport permettrait, lorsque le dossier l’impose, de répondre au risque de conflit d’intérêts, à l’instar de ce qui existe dans d’autres instances prononçant des sanctions. Alors que d’autres moyens de lutter contre les conflits d’intérêts existent, il paraît ainsi disproportionné de prévoir des incompatibilités qui conduiraient à se priver de potentiels candidats au profil pourtant intéressant.

Rédactionnel.

Cet amendement met en place un mécanisme de sanction à l’encontre des collectivités territoriales en cas de manquement aux obligations prévues au titre 2 du projet de loi. En cas de manquement, dans un premier temps, la commission des sanctions enjoint la collectivité territoriale concernée à mettre en place un plan de remédiation. Si ce plan n’a pas été mis en place, la commission des sanctions peut prononcer une amende administrative dont le montant ne peut excéder 10 millions d’euros.

Cet amendement se fonde sur le point n°16 de l’avis du Conseil d’État, qui indique que l’exemption dont bénéficient les collectivités territoriales « ne peut être admise » car « leur exclusion du champ des sanctions méconnaît à la fois le principe d’égalité et les objectifs de la directive ».

Cet amendement a pour objet de tirer les conséquences de précédents amendements qui soumettent les personnes morales dont leurs activités visées à l’article L. 1332‑2 du code de la défense les ont exclues de la qualité d’entité essentielle ou importante aux obligations des articles 14 et 17, en les soumettant également au dispositif de sanction prévu à l’article 37 de la présente loi.

Il vise par ailleurs à remplacer la notion d’entité importante ou essentielle par la notion de personne concernée, dans la mesure où les personnes morales visées, qui ont été exclues de la qualité d’entité essentielle ou importante, ne sauraient dès lors être considérées comme des entités au sens de la directive et désignées comme telles au sein de cet article.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à mettre l’article 37 du projet de loi en cohérence avec le changement de terminologie précité, en permettant à la commission des sanctions mentionnée à l’article L. 1332‑15 du code de la défense de statuer sur les manquements de ces acteurs aux dispositions qui leur sont applicables.

Rédactionnel.

L’amendement a pour objectif d’appliquer le règlement UE n° 2024/2847, dit CRA (CyberResilienceAct) visant à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique, qui entrera prochainement en vigueur en droit national. 

Il tire les conséquences des modifications proposées à l’article 26 à cet égard.

Le présent amendement a pour objet la mise en conformité à la directive NIS 2 qui ne conditionne pas l’interdiction d’exercer des dirigeants des entités essentielles à la persistance d’un manquement malgré l’imposition d’amendes pécuniaires.

En effet, l’article 32 §5 de la directive NIS II prévoit, lorsque les mesures d’exécution de son paragraphe 4 aux points a) à d) et au point f) imposées aux entités essentielles – mesures de police administrative reprises dans le projet de loi aux articles 25 et 31 – sont inefficaces, une procédure en deux temps :

(i) l’entité essentielle est invitée, dans un délai imparti, à pallier les insuffisances ou satisfaire aux exigences des mesures d’exécution ;

(ii) si la mesure demandée n’est pas prise dans ce délai, alors l’autorité de supervision peut notamment prévoir une interdiction d’exercer temporaire des dirigeants, personnes physiques, de ces entités essentielles.

De plus, conformément à l’article 34 paragraphe 2 de la directive NIS 2, les amendes administratives peuvent intervenir en complément de l’interdiction d’exercer.

Il est donc proposé par cet amendement de conditionner l’interdiction d’exercer des dirigeants à l’inefficacité des mesures de police administratives (mesures d’exécution) mentionnées aux article 25 et 31 du projet de loi conformément aux articles 32 et 34 de la directive NIS 2.

Cet amendement vise à prévoir une base législative pour permettre à l’ANSSI :

– D’une part, de confier au cas par cas dans les schémas de certification, l’activité de certification à des organismes d’évaluation de la conformité :

o Soit en application du droit de l’Union, en particulier l’article 56 §6 du règlement n°2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications ;

o Soit pour la certification nationale, par exemple dans le cadre du décret n°2010‑112 du 2 février 2010 en application du référentiel général de sécurité.

– D’autre part, de soumettre à autorisation préalable ces organismes dans les cas où les schémas de certification européens ou nationaux le prévoient, afin d’évaluer leur aptitude à procéder à des évaluations et à la certification de la cybersécurité dans des domaines sensibles et présentant une technicité particulière, par exemple pour la qualification SecNumCloud.

Cet amendement supprime l’article 38 du projet de loi, dont l’objet n’est pas de transposer une stipulation de la directive « NIS 2 ».

Sans opérer de modification de fond dès lors que l’obligation de déclaration des moyens de cryptologie ainsi que son périmètre sont préservés au niveau de la loi, cet amendement s’inscrit dans une démarche de simplification règlementaire. Il vise à améliorer la lisibilité du dispositif pour les destinataires de l’obligation en permettant de s’appuyer sur le niveau règlementaire pour tenir à jour de manière régulière, en conformité avec les engagements européens en la matière, la liste des moyens et prestations concernés par l’obligation et éviter des formalités inutiles aux entreprises.

Plus précisément, il s’agirait notamment d’ouvrir la possibilité pour l’ANSSI de modifier la liste des catégories de moyens dont les caractéristiques techniques ou les conditions d’utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, qu’ils peuvent être dispensés de toute formalité préalable, par arrêté et non par décret en Conseil d’État : une telle procédure, dont l’obligation découle aujourd’hui de la lettre de la loi, ne paraît pas justifiée au regard de l’objet du décret comme de la fréquence et la portée des modifications à y apporter

Amendement rédactionnel visant à harmoniser la rédaction de l’alinéa 6 avec celles des alinéas 3, 4 et 7 de l’article 39.

Le présent amendement vise à assurer la coordination avec l'amendement insérant la définition des agents agissants pour le compte des bureaux d’enregistrement et supprime, en conséquence, au sein de l’article 39, le renvoi à un décret en Conseil d’État qui devait porter cette définition.

En coordination avec l’article 22 du projet de loi et l’amendement le complétant pour ajouter la mention des « agents agissant pour le compte de », le présent amendement complète l’article L. 45‑5 du code des postes et communications électroniques afin de préciser que les offices et bureaux d’enregistrement ainsi que les agents agissants pour leur compte régis par le code des postes et communications électroniques doivent répondre, pour les besoins des procédures pénales et de la sécurité des systèmes d’information, aux demandes des agents habilités à cet effet.

Rédactionnel.

Les articles 9 et 12 de l’ordonnance n° 2005‑1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives sont abrogés par l’article 39 de la présente loi. Les exigences à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations sont désormais prises en application de l’article 11 de l’ordonnance n° 2005‑1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et du troisième alinéa de l’article 16 du projet de loi.

Cet amendement de cohérence vise à tenir compte de cette abrogation en remplaçant au sein du droit positif les renvois à ces articles par des renvois aux exigences spécifiques mentionnées à l’article 11 de l’ordonnance n° 2005‑1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et au troisième alinéa de l’article 16 du projet de loi.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Cet amendement supprime l’article 41 du projet de loi, dont l’objet n’est pas de transposer une stipulation de la directive « NIS 2 ».

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Cet amendement supprime l’article 42 du projet de loi, dont l’objet n’est pas de transposer une stipulation de la directive « NIS 2 ».

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Cet amendement prévoit que les entités mentionnées à l’article 14 du projet de loi peuvent choisir les prestataires de services certifiés, qualifiés ou agréés ou organismes indépendants sur la base d’une liste élaborée par l’ANSSI. Cet amendement fait suite à de nombreuses inquiétudes soulevées lors des auditions, notamment s’agissant d’un potentiel risque confit d’intérêt entre l’audité et l’auditeur. Avec une liste de plusieurs prestataires établie par l’ANSSI, l’entité auditée ne sera pas contrainte de se faire auditer par un acteur directement concurrent par exemple.

Par cet amendement, le groupe LFI souhaite supprimer le report en 2030 de l'application des dispositions du présent projet de loi pour les sociétés de financement.

En France, les sociétés de financement et les établissements de crédit sont soumis aux mêmes règles prudentielles, ce qui n’est pas le cas dans tous les pays européens.
La directive DORA ne s’applique pas explicitement à ces sociétés. Les rapporteurs du texte au Sénat ont prétexté une supposée surtransposition pour repousser l’application de la directive à ces entités à 2030.
Il convient toutefois de prendre en compte cette particularité du droit français: les sociétés de financement doivent donc être soumises aux mêmes règles prudentielles que les autres entités financières (établissements de crédit par exemple), et rien ne justifie le report en 2030 de l'application des dispositions du présent projet de loi.

De plus, les sociétés de financement sont pourtant soumises aux mêmes risques liés aux Technologies de I'Information et de la Communication (TIC) que les autres types d'établissements bancaires, et le report de l’obligation d’application des mesures du présent projet de loi leur fait courir un risque cyber important.

Par cet amendement, le groupe LFI souhaite développer le partage d’informations entre les entités financières et les agences chargées de la gestion de leurs incidents de cybersécurité en systématisant également la notification de cybermenaces lorsque celles-ci sont identifiées par les entités financières.

Le règlement DORA ne prévoit qu’une notification volontaire des cybermenaces importantes de la part des entités financières. Cet amendement vise à systématiser cette notification, qui pourrait permettre de prévenir d’éventuelles incidents avec la détection en amont des principales cybermenaces pouvant menacer les entités financières.

Cet amendement vise à prévoir l’établissement d’un référentiel de bonnes pratiques et un annuaire d’auditeurs approuvés par une autorité indépendante, à l’instar de l’ANSSI ou de l’ACPR, pour réaliser, à la demande des entités financières, les inspections prévues au chapitre V du règlement DORA relatif à la gestion des risques liés aux prestataires tiers de services de technologies de l’information et de la communication (TIC).

Ce nouveau cadre de gestion oblige en effet les entités financières à prévoir des obligations plus strictes dans la contractualisation avec leurs prestataires de services TIC (dont les opérateurs télécoms par exemple).

Dès lors, elles pourraient se voir soumettre à des audits pour vérifier la conformité de leurs prestations de services avec les exigences contractuelles de leurs clients qui eux-mêmes sont soumis au règlement DORA. Il peut être redouté que celles aient à communiquer des données sensibles, voire fassent l’objet d’enquêtes intrusives de la part de cabinet d’audit étrangers, quand bien même ils le feraient pour le compte d’une entité financière française. 

Certes, la loi n° 68‑678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères interdit déjà de communiquer des informations de nature à porter atteinte à la souveraineté, à la sécurité, aux intérêts économiques essentiels de la France ou à l’ordre public. Cependant, un référencement indépendant permettrait d’éviter ces risques et faciliterait le travail des prestataires tiers de service TIC.

Par cet amendement, le groupe LFI souhaite rétablir l’obligation de notification d’incident à l’ANSSI pour les entités également soumises au titre du II du présent projet de loi, et ce afin de renforcer leur niveau de cybersécurité et d’accès éventuel à une assistance de la part de l’ANSSI.

L’article 43 A désigne la Banque de France et l’Autorité de contrôle prudentiel et de régulation (ACPR) comme seules autorités compétentes pour exercer les missions et fonctions prévues par le règlement DORA dans le titre III du présent PJL, et ce afin afin d’éviter les doublons avec l’ANSSI, qui reste l’autorité administrative de contrôle pour les entités assujeties à NIS II.

Toutefois, l’ACPR n’effectue pas une veille permanente, à l’inverse de l’ANSSI dont les services peuvent être mobilisés à tout moment, y compris donc les week-ends. Or, les entités financières peuvent être attaquées à tout moment, de jour comme de nuit, n’importe quel jour ; Il est donc essentiel de maintenir la notification auprès de l’ANSSI, qui assure déjà une veille permanente et est donc plus à même de réagir rapidement en cas de menace avérée à la suite d’une notification d’incident.

Lors des débats au Sénat, l’argument invoqué pour ne pas rendre obligatoire la notification d’incidents à l’ANSSI était la « simplification » ; or, la transmission des informations aux deux entités ne semble pas alourdir outre-mesure la procédure au vu des enjeux de cybersécurité invoqués.

La formulation souple retenue ici permet donc d’inclure l’ANSSI dans les autorités compétentes chargées de l’application du règlement DORA.

Par cet amendement, les député.es LFI souhaitent mettre un délai maximal à la sanction touchant le dirigeant d’une entité essentielle.

L’article propose de sanctionner directement la personne dirigeant l’entité essentielle, lorsque toutes les autres sanctions n’ont pas été suivies d’effet permettant de remédier aux manquements décelés lors du contrôle

Cet amendement vise à garantir la proportionnalité de la sanction prononcée en intégrant une durée maximale de la sanction. En effet, sans limite ab initio, la sanction ne peut être constitutionnellement considérée comme adaptée.

Ce type de sanction administrative doit être manié avec parcimonie. Nous nous opposons de manière générale au recours tout azimut aux sanctions administratives. En l’espèce, le recours à la sanction administrative permet d’agir rapidement, cependant cette sanction doit être proportionnée.

Par conséquent nous proposons une limite de deux ans maximum.

L’article 31 alinéa 1 doit prévoir des conditions de déclenchement de la phase d’instruction, compatibles avec la réalité opérationnelle des contrôles. Or, si c’est effectivement le cas lorsque de manière évidente les mesures de contrôle ont révélé un manquement, cela doit également être possible lorsque le constat de certains faits sont susceptibles de révéler un manquement qui n’est pas encore qualifié ou pleinement établi au moment de l’ouverture de l’instruction. Dans certaines hypothèses, la qualification d’un manquement nécessitera des mesures d’instructions approfondie assorties de mesures de contrôle complémentaires, le cas échéant.

Ainsi, la phase d’instruction permettra la qualification de certains faits au regard des règlementations mentionnées à l’article 26 justement pour déterminer si des manquements peuvent être identifiés.

C’est pourquoi, il apparaît important de ne pas limiter l’ouverture de la phase d’instruction uniquement aux manquements constatés et qualifiés dans le cadre des mesures de contrôle.

Cet amendement tend, à titre principal, à tirer les conséquences de précédents amendements, qui excluent les personnes morales dont leurs activités visées à l’article L. 1332-2 du code de la défense du champ de la directive NIS 2 tout en garantissant leur assujettissement à un niveau d’exigence équivalent. Il vise ainsi à soumettre ces personnes aux mesures consécutives à un contrôle prévues à l’article 33 de la présente loi. 

Il vise par ailleurs à remplacer la notion d’entité par la notion de personne concernée, dans la mesure où les personnes morales visées ci-dessus, qui ont été exclues de la qualité d’entité essentielle ou importante, ne sauraient dès lors être considérées comme des entités au sens de la directive et désignées comme telles au sein de cet article.

Cet amendement vise enfin à simplifier la rédaction de l’alinéa 3 de l’article 33 en supprimant la mention des articles 8 à 10.

Par cet amendement, les député.es du groupe LFI souhaitent octroyer à l’Anssi un pouvoir d’injonction immédiat lors de son contrôle en cas de risque imminent pour les intérêts fondamentaux de la Nation.

L’amendement permet de mettre en œuvre des mesures conservatoires immédiates, telles que l’interruption temporaire d’un service, le blocage d’accès ou la désactivation d’un système vulnérable, pour neutraliser sans délai la source de danger. Ces mesures visent à protéger l’intérêt général et la résilience des infrastructures critiques, permettant d’endiguer rapidement la menace, limitant ainsi l’exposition aux risques et la propagation d’éventuelles attaques ou dysfonctionnements.

En parallèle, il est prévu que ces actions ne préjugent pas du respect des droits procéduraux de l’entité concernée, qui conserve un délai raisonnable pour effectuer une mise en conformité complète et durable. Cette double approche garantit à la fois la sécurité et la rigueur juridique, conciliant efficacité opérationnelle et respect des principes de proportionnalité et de justice administrative.

Ainsi, cet amendement renforce la capacité d’intervention rapide des autorités dans un domaine sensible, tout en assurant un équilibre nécessaire entre prévention des risques majeurs et capacité d’adaptation des opérateurs.

Le présent amendement vise à prévoir la possibilité d’une procédure dématérialisée.

En effet, il paraît nécessaire de prévoir le traitement et la conservation dématérialisés des actes lors des contrôles, à l’instar d’autres dispositifs en vigueur (voir par exemple les articles L. 511-2-1 du code de la consommation ou 801-1 du code de procédure pénale).

Cet amendement a pour objectif d’aligner, par cohérence, les conditions et garanties quant à la nomination des personnalités qualifiées sur celles prévues pour la composition de la commission des sanctions mentionnée au titre 1er. Il vise également à ne pas limiter le champ des personnes dont la compétence en matière cyber est avérée pour éclairer la décision de la commission des sanctions, alors qu’un mécanisme de déport permettrait, lorsque le dossier l’impose, de répondre au risque de conflit d’intérêts, à l’instar de ce qui existe dans d’autres instances prononçant des sanctions. Alors que d’autres moyens de lutter contre les conflits d’intérêts existent, il paraît ainsi disproportionné de prévoir des incompatibilités qui conduiraient à se priver de potentiels candidats au profil pourtant intéressant.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à mettre l’article 37 du projet de loi en cohérence avec le changement de terminologie précité, en permettant à la commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense de statuer sur les manquements de ces acteurs aux dispositions qui leur sont applicables.

L’amendement a pour objectif d’appliquer le règlement UE n° 2024/2847, dit CRA (CyberResilienceAct) visant à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique, qui entrera prochainement en vigueur en droit national. 

Il tire les conséquences des modifications proposées à l’article 26 à cet égard.

Le présent amendement a pour objet la mise en conformité à la directive NIS 2 qui ne conditionne pas l’interdiction d’exercer des dirigeants des entités essentielles à la persistance d’un manquement malgré l’imposition d’amendes pécuniaires.

En effet, l’article 32 §5 de la directive NIS II prévoit, lorsque les mesures d’exécution de son paragraphe 4 aux points a) à d) et au point f) imposées aux entités essentielles – mesures de police administrative reprises dans le projet de loi aux articles 25 et 31 – sont inefficaces, une procédure en deux temps :

(i) l’entité essentielle est invitée, dans un délai imparti, à pallier les insuffisances ou satisfaire aux exigences des mesures d’exécution ;

(ii) si la mesure demandée n’est pas prise dans ce délai, alors l’autorité de supervision peut notamment prévoir une interdiction d’exercer temporaire des dirigeants, personnes physiques, de ces entités essentielles.

De plus, conformément à l’article 34 paragraphe 2 de la directive NIS 2, les amendes administratives peuvent intervenir en complément de l’interdiction d’exercer.

Il est donc proposé par cet amendement de conditionner l’interdiction d’exercer des dirigeants à l’inefficacité des mesures de police administratives (mesures d’exécution) mentionnées aux article 25 et 31 du projet de loi conformément aux articles 32 et 34 de la directive NIS 2.

Cet amendement a pour objet de tirer les conséquences de l’amendement n°XXXX, qui soumet les personnes morales dont leurs activités visées à l’article L. 1332-2 du code de la défense les ont exclues de la qualité d’entité essentielle ou importante aux obligations des articles 14 et 17, en les soumettant également au dispositif de sanction prévu à l’article 37 de la présente loi.

Il vise par ailleurs à remplacer la notion d’entité importante ou essentielle par la notion de personne concernée, dans la mesure où les personnes morales visées, qui ont été exclues de la qualité d’entité essentielle ou importante, ne sauraient dès lors être considérées comme des entités au sens de la directive et désignées comme telles au sein de cet article.

Cet amendement met en place un mécanisme de sanction à l’encontre des collectivités territoriales en cas de manquement aux obligations prévues au titre 2 du projet de loi. En cas de manquement, dans un premier temps, la commission des sanctions enjoint la collectivité territoriale concernée à mettre en place un plan de remédiation. Si ce plan n’a pas été mis en place, la commission des sanctions peut prononcer une amende administrative dont le montant ne peut excéder 10 millions d’euros.

Cet amendement se fonde sur le point n°16 de l’avis du Conseil d’État, qui indique que l’exemption dont bénéficient les collectivités territoriales « ne peut être admise » car « leur exclusion du champ des sanctions méconnaît à la fois le principe d’égalité et les objectifs de la directive ».

Cet amendement vise à prévoir une base législative pour permettre à l’ANSSI :

-          D’une part, de confier au cas par cas dans les schémas de certification, l’activité de certification à des organismes d’évaluation de la conformité :

o   Soit en application du droit de l’Union, en particulier l’article 56 §6 du règlement n°2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications ;

o   Soit pour la certification nationale, par exemple dans le cadre du décret n°2010-112 du 2 février 2010 en application du référentiel général de sécurité.

-          D’autre part, de soumettre à autorisation préalable ces organismes dans les cas où les schémas de certification européens ou nationaux le prévoient, afin d’évaluer leur aptitude à procéder à des évaluations et à la certification de la cybersécurité dans des domaines sensibles et présentant une technicité particulière, par exemple pour la qualification SecNumCloud.

Sans opérer de modification de fond dès lors que l’obligation de déclaration des moyens de cryptologie ainsi que son périmètre sont préservés au niveau de la loi, cet amendement s’inscrit dans une démarche de simplification règlementaire. Il vise à améliorer la lisibilité du dispositif pour les destinataires de l’obligation en permettant de s’appuyer sur le niveau règlementaire pour tenir à jour de manière régulière, en conformité avec les engagements européens en la matière, la liste des moyens et prestations concernés par l’obligation et éviter des formalités inutiles aux entreprises.

Plus précisément, il s’agirait notamment d’ouvrir la possibilité pour l’ANSSI de modifier la liste des catégories de moyens dont les caractéristiques techniques ou les conditions d’utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l’État, qu’ils peuvent être dispensés de toute formalité préalable, par arrêté et non par décret en Conseil d’Etat : une telle procédure, dont l’obligation découle aujourd’hui de la lettre de la loi, ne paraît pas justifiée au regard de l’objet du décret comme de la fréquence et la portée des modifications à y apporter.

Amendement rédactionnel visant à harmoniser la rédaction de l’alinéa 6 avec celles des alinéas 3, 4 et 7 de l’article 39.

Le présent amendement vise à assurer la coordination avec l’amendement n° XX visant à définir les agents agissants pour le compte des bureaux d’enregistrement, et supprime la définition de ces agents via le décret prévu à l’article L. 45-7 du code des postes et communications électroniques (CPCE).

Le présent amendement reprend également à l’article L45-5 du CPCE la formulation de l’article 22 afin de préciser que les offices et bureaux d’enregistrement du CPCE doivent répondre aux demandes des agents habilités à cet effet.

Les articles 9 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives sont abrogés par l’article 39 de la présente loi. Les exigences à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations sont désormais prises en application de l’article 11 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et du troisième alinéa de l’article 16 du projet de loi.

Cet amendement de cohérence vise à tenir compte de cette abrogation en remplaçant au sein du droit positif les renvois à ces articles par des renvois aux exigences spécifiques mentionnées à l’article 11 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et au troisième alinéa de l’article 16 du projet de loi.

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents et les notifications de cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).

Une communication additionnelle est toutefois prévue au bénéfice de l’ANSSI de manière obligatoire pour les entités assujetties à NIS2 et, sur base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

Les collectivités ultramarines du Pacifique que sont la Nouvelle-Calédonie, la Polynésie française et les îles Wallis et Futuna régies par le principe de spécialité législative où toute création, modification ou abrogation d’articles métropolitains relevant de la sphère de compétence de l’Etat, en l’occurrence en matière bancaire et financière, doivent être rendues applicables par mention expresse.

Cet amendement tire les conséquences de l'adoption de l'amendement 522. Ses dispositions concernent les entités financières qui relèvent de l'Autorité des marchés financiers.

S’agissant des assurances de dommages aux biens, les risques de guerre sont légalement exclus de la garantie de l’assureur, sauf convention contraire, conformément à l’article L. 121-8 du code des assurances. Cette exclusion se justifie par le caractère inassurable d’une guerre qui constitue un risque de nature systémique limitant les possibilités de mutualisation. Par exception aux principes assurantiels, la charge de la preuve repose ici sur l’assuré qui doit démontrer l’absence de lien de causalité entre le sinistre et un fait de guerre étrangère.

L’Etat est compétent en matière assurantielle dans les îles Wallis et Futuna régies par le principe de spécialité législative. La modification de l’article L. 121-8 doit être rendue applicable dans ce territoire par mention expresse.

Cette exclusion légale, issue de la loi du 13 juillet 1930, a été conçue dans un contexte international marqué par le formalisme des déclarations de guerre et l’envoi de troupes et n’a pas été pensée pour des cyberattaques. La jurisprudence n’a de plus jamais défini cette notion de « guerre étrangère » au sens de l’article L. 121-8 du code des assurances. En conséquence, la loi ne prévoit pas expressément d’exclusion pour le risque d’attaques cyber d’origine étatique (« cyberguerre »). Dans le silence de la loi, des exclusions conventionnelles disparates commencent cependant à émerger dans les polices d’assurance, ce qui crée une insécurité juridique à la fois pour les assurés et les assureurs.

Un important travail de concertation entre la Direction générale du Trésor, l’ANSSI, l’ACPR, l’AMRAE et France Assureurs a permis d’aboutir à une rédaction consensuelle qui permet à la fois (i) d’assurer une sécurité juridique aux assureurs, (ii) d’inverser la charge de la preuve, (iii) d’améliorer la rédaction issue du sénat sans remettre en cause l’objectif poursuivi et (iv) de traiter un sujet identifié comme de plus en plus problématique pour le développement de l’assurance cyber.

Si ce nouvel article introduit au Sénat prévoit que les entités financières essentielles et importantes (EE/EI) soumises à la directive DORA n'ont pas à appliquer la directive NIS 2 "dès lors que l'adoption de ces mesures et la notification de ces incidents ont un effet au moins équivalent à ces exigences", le gouvernement rappelle que cela ne remet pas en question la nécessité pour les entités financières soumises à DORA de s'enregistrer en tant que EE ou EI au titre de NIS 2.

Par ailleurs, il convient d’apporter deux modifications formelles relatives d’une part à une erreur de référence pour la directive NIS 2 et d’autre part à l’application de l’article à la Nouvelle-Calédonie, à la Polynésie française et aux îles Wallis et Futuna.

Pour éviter une rupture d’égalité entre la métropole et les collectivités ultramarines du Pacifique régies par le principe de spécialité législative où toute création, modification ou abrogation d’articles métropolitains relevant de la sphère de compétence de l’Etat, en l’occurrence en matière bancaire et financière, il convient de rendre applicables les dispositions transitoires et l’entrée en vigueur différée concernant les sociétés de financement prévues à l’article 62 dans ces territoires.

Le présent amendement vise deux objectifs. D’une part, il s’agit de rétablir le principe d’une entrée en application différenciée entre les plus grandes sociétés de financement et les autres entreprises de ce type. Les plus grandes sociétés de financement exercent, pour certaines, des activités critiques pour le secteur financier français et devraient être assujetties dès la promulgation de la présente loi à des standards élevés en matière de résilience et de cybersécurité. Les autres sociétés de financement, de taille modeste, devraient bénéficier d’un report de l’entrée en application de ces exigences dans le cadre d’un calendrier de mise en conformité proportionné.

D’autre part, le présent amendement vise à rétablir une date d’assujettissement des petites sociétés de financement dans des délais plus adaptés, assurant qu’à moyen terme l’ensemble du secteur financier français applique un niveau d’exigences cohérent. Le 1er janvier 2030 apparaît dans cette optique comme un horizon trop lointain et l’ampleur de cette différenciation est inéquitable par rapport à d’autres acteurs du secteur financier distribuant des services comparables aux sociétés de financement. Dans un souci d’égalité de traitement, l’échéance du 17 janvier 2027 du présent amendement offre deux ans aux petites sociétés de financement pour se préparer aux exigences de DORA, à l’instar des délais qui avaient été offerts par le règlement aux établissements de crédit.

Enfin, une entrée en application différée à un horizon aussi lointain que 2030 apparaît contraire au principe du droit français d’équivalence des exigences prudentielles entre sociétés de financement et établissements de crédit. Cette équivalence est profitable aux sociétés de financement dont les expositions bénéficient à ce titre d’un traitement prudentiel aussi favorable que celui-ci des expositions auprès des banques en application de l’article 119 du règlement « CRR ». Dans le cas où cette équivalence devait être questionnée, les sociétés de financement pourraient perdre le bénéfice de cette dérogation prudentielle. 

La nouvelle rédaction de l’article 62 proposée par le Gouvernement maintient en revanche le second alinéa introduit dans le cadre du l’examen du projet de loi au Sénat spécifiant que les sociétés de financement de petite taille et non complexe se conforment aux exigences de DORA en application du principe de proportionnalité.

Amendement de repli par rapport au n° CS242. 

Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme autorité compétente chargée de recevoir les déclarations d’incidents majeurs liés aux TIC et les notifications volontaires des cybermenaces de la part des entités financières soumises à la surveillance de plusieurs autorités nationales compétentes, conformément au deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA).

Contrairement à la rédaction adoptée par le Sénat, une communication simultanée et par le biais d’un formulaire unique est toutefois prévue au bénéfice de l’Agence nationale de sécurité des systèmes d’information (ANSSI), de manière obligatoire pour les entités assujetties au titre II du projet de loi et sur une base volontaire pour les autres entités, afin de faciliter l’information rapide et le traitement de ces incidents et menaces par l’ANSSI.

Cette rédaction permet de concilier la simplification des démarches à accomplir par les entreprises concernées tout en permettant l’intervention rapide de l’ANSSI.

En effet, une transmission à la seule ACPR engendrerait des délais importants, notamment en cas d’incidents nocturnes ou le week-end, l’ACPR ne disposant ni d’un système d’astreinte ni d’un portail de déclaration accessible en continu, contrairement à l’ANSSI. Ces délais peuvent être très préjudiciables dans le cadre de la gestion d’incidents cyber majeurs. Certains incidents peuvent affecter directement la situation prudentielle d’un établissement ou perturber la continuité de ses services essentiels. Dans ce contexte, une information directe et simultanée des autorités financières est indispensable pour permettre une réaction rapide, prévenir tout risque de contagion et sécuriser les intérêts des clients.

Amendement de repli par rapport aux amendements CS242 et CS244.

Cet amendement a le même objet que l’amendement n°531 mais concerne les déclarations des entités financières qui relèvent de la compétence de l’Autorité des marchés financiers.

Par cet amendement, le groupe LFI souligne la nécessité d’allouer suffisamment de moyens à l’Agence nationale de la sécurité des systèmes d’information (Anssi) afin qu’elle puisse concrètement faire appliquer les nouvelles dispositions issues de la transposition de la directive NIS 2 en droit interne.

Lors de l’examen du PLF 2025 au Sénat, l’Anssi avait demandé à l’origine un budget de 35 M€ et 60 emplois supplémentaires pour avoir les moyens d’appliquer les dispositions du présent PJL, mais n’avait finalement eu que 27 M€, sans aucun temps plein supplémentaire (l’équivalent de l’Anssi en Allemagne dispose en 2024 d’un budget annuel de 237,9 M€ et de 1784 agents). Dans ce contexte, ce rapport permettra d’identifier précisément les manques au sein des différents services de l’Anssi et proposera le cas échéant, des pistes pour y remédier.

Par cet amendement, le groupe LFI souhaite s’assurer que les moyens qui seront alloués à l’ANSSI sont adéquats avec les missions qui lui seront confiées, notamment au regard de l’élargissement de son rôle dans les années à venir et des évolutions rapides du secteur du numérique, qui justifient également la fourniture d’un rapport annuel sur la mise en place de la stratégie nationale de cybersécurité, plutôt que bisannuel.

Par cet amendement, le groupe LFI souhaite s’assurer que les collectivités territoriales concernées par les dispositions du titre II du présent projet de loi – celles étant classées comme « entités essentielles » ou « entités importantes » – aient suffisamment de moyens pour mettre concrètement en oeuvre les nouvelles obligations de cybersécurité qui leur incombent.

Selon un rapport du cabinet Idate rendu public au mois de novembre 2024, le coût pour l’ensemble des collectivités territoriales des solutions de sécurité nécessaires à leur mise en conformité avec la directive NIS 2 s’élèverait à 690 millions d’euros par an. S’y ajouteraient 105 millions d’euros par an au titre de l’embauche et de la formation de ressources humaines qualifiées. Soit un total estimé à environ 795 millions d’euros par an. Or, dans un contexte toujours plus austéritaire, la question de la capacité des collectivités territoriales à entreprendre les investissements nécessaires se pose inévitablement. Ainsi, lors de son audition au Sénat dans le cadre de l’examen du texte, l’Association des départements de France (ADF) indiquait déjà que les crédits dédiés à l’informatique pourraient être, en 2025, amputés de l’ordre de 30 % à 50 % en moyenne dans la plupart de ces collectivités. A moyen constant, le coût de la mise en place de ces nouvelles obligations représenteraient un fardeau qui obligeraient les collectivités concernées à faire des choix budgétaires dont les conséquences pourraient être catastrophiques. Par conséquent, ce rapport permettra de faire un état des lieux précis des capacités financières des collectivités territoriales concernées par les nouvelles obligations de cybersécurité et de proposer, le cas échéant, des pistes de financements complémentaires pour leur permettre d’y faire face.

Par cet amendement du groupe LFI, nous souhaitons questionner la capacité des sous traitants des opérateurs d’importance vitale (OIV) à faire face financièrement à la menace cyber. Cet amendement est en réalité tiré des préconisations du rapport sur la cyberdéfense de M. Bastien Lachaud et de Mme Alexandre Valetta-Ardisson. Le rapport appelle à établir une cartographie stricte des entreprises et des compétences critiques de la base industrielle et technologique de défense. Cette cartographie étant établie, elle permettra de construire un plan de sécurisation des entreprises critiques, en incluant les sous traitants. En effet, le rapport invite également à établir une responsabilité du donneur d’ordres sur l’ensemble de sa chaîne de sous-traitance en matière cyber, afin de garantir une solidarité effective tout au long de la chaîne logistique.
Les sous-traitants constituent souvent les maillons les plus vulnérables d’une chaîne d’infrastructure, il apparaît donc vital de les protéger une fois que la cartographie aura été établie, afin de protéger l’ensemble de nos actifs stratégiques.
Le rapport d’information propose de financer cette montée en gamme par le biais d’un fonds cyber alimenté par les acteurs de la BITD et une partie des recettes issues des exportations d’armement, nous choisissons donc de reprendre cette recommandation et de proposer au gouvernement de l’étudier en en présentant les conclusions au parlement.

Cet amendement est une demande de rapport dans sur l’état du réseau de l’ANSSI dans les territoires ultra-marins. Lors des auditions préalable à l’étude de ce projet de loi, M. Alexandre Ventadour, conseiller territorial de Martinique, chargé du numérique et du développement économique à Régions de France a exposé les préoccupations majeures partagées par l’ensemble des collectivités et régions concernant l’accompagnement des collectivités humainement et financièrement et la résilience face aux attaques. En effet, il y a deux ans, la Martinique a dû faire face à une cyberattaque ayant mis à mal l’organisation de la collectivité territoriale. M. Ventadour expliquait alors ceci : “Plus largement, les outre-mer ne disposent pas forcément des ressources en interne. Lorsque la Martinique a subi cette cyberattaque, je me souviens avec émotion avoir vu débarquer une équipe d’une douzaine de techniciens – notamment de l’Anssi – pour venir à notre secours, mais ils n’ont pas pu rester pendant toute la durée du sinistre. Nous avons donc été contraints de fonctionner ensuite à distance." Cet exemple montre bien que les territoires éloignés de l'Hexagone ne sont pas forcément armés pour résister à de telles attaques.
Ainsi, il semble essentiel que ce rapport produise un état des vulnérabilités touchant particulièrement ces territoires afin que le gouvernement y réponde par la loi, et par des moyens supplémentaires.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à garantir le fait que l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au stade de la collecte.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute action judiciaire.

Précisément pour pallier l’opacité des registres actuels, l’article 28 de la Directive NIS 2 prévoit bien la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (art. 28.1(d)).

Le fait que la loi nationale vise bien les cas de recours à des services tiers est ainsi vital pour l’ensemble des personnes en situation de défendre leurs droits dans l’espace numérique, notamment les titulaires de droits de propriété intellectuelle (droit d’auteur, droits voisins, droit des marques, des dessins et modèles…), les associations de protection de l’enfance ou associations de consommateurs.

Force est de tirer des conséquences concrètes du fait que certains bureaux d'enregistrement de noms de domaine font obstacle à une coopération avec les victimes d’infractions pénales ou d’attaques contre des systèmes informatiques en se fondant sur la confidentialité, privant de recours efficace les personnes en cas de conflit.

Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

Amendement de cohérence avec le 4˚ de cet article (alinéa 6).

Le projet de loi prévoyait dans sa version initiale que les entités devaient mettre en place un pilotage de la sécurité des réseaux et systèmes d’information adaptée, comprenant notamment la formation à la cybersécurité des membres desorganes de direction et des personnes exposées aux risques.

Le Sénat, considérant que ce texte « sous-transposait » l’art. 20 de NIS2, a voulu à juste titre renforcer ces dispositions afin que les mesures prévues garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné aux risques existants.

Cependant la rédaction adoptée par le Sénat, non homogène avec le reste de l’article, et notamment avec le 4˚ (alinéa 6), risque de créer une ambiguïté, d’obliger à des formations ne prenant pas en compte le degré d’exposition aux risques des personnes concernées et d’entraîner ainsi des coûts inutiles de formation du personnel, alors que l’objectif tel que décrit dans le rapport du Sénat est de former les dirigeants comme les personnels exposés aux risques cyber aux grands enjeux en matière de cybersécurité.

Cet amendement vise à prévoir un déploiement territorial de la nouvelle stratégie nationale en matière de cybersécurité prévue à l’article 5 bis.

En transposant la directive NIS 2, ce projet de loi fait le choix de soumettre les collectivités locales à de nouvelles exigences. Il est donc essentiel que la nouvelle stratégie de cybersécurité fasse l’objet d’un déploiement local adapté aux spécificités des territoires. Cela permettra de donner de la visibilité aux élus locaux, de clarifier les rôles de chacun et surtout d’assurer la pérennisation de certains financements. 

Par cet amendement, le groupe parlementaire de la France insoumise propose de renforcer l’analyse des dépendances et des vulnérabilités des opérateurs d’importance vitale (OIV) en intégrant une approche globale de la sécurité, incluant la chaîne d’approvisionnement complète et la circulation des ressources humaines et matérielles, et notamment l’analyse des vulnérabilité de leurs sous-traitants.

Cette évaluation doit notamment prendre en considération la dépendance à des prestataires ou fournisseurs stratégiques, y compris pour les services de logistique, de maintenance et de numérique, les conditions d’accès aux infrastructures, aux systèmes d’information et aux données sensibles, en distinguant les accès permanents, temporaires ou à distance, les flux de mobilité du personnel intervenant sur plusieurs sites, ainsi que les risques associés au transport et au stockage hors site d’équipements ou de supports d’information.

L’Association française pour le nommage Internet en coopération (AFNIC) alerte sur les risques de surtransposition du droit européen en matière de régulation des noms de domaine. Elle critique notamment l’obligation de vérification systématique a priori de l’identité des titulaires, qu’elle juge disproportionnée par rapport aux objectifs de lutte contre la fraude. Une telle mesure devrait être réalisée a posteriori aux cas signalés ou suspects, d’autant que seuls 0,02 % des quelque 4 millions de noms de domaine sont concernés par un usage frauduleux. Imposer un contrôle systématique dans un système comptant 800 000 créations annuelles et 700 000 titulaires est irréaliste et contre-productif.

Certains Opérateurs d’importances vitales (OIV) relèvent ipso facto des marchés de défense et de sécurité, mais cet état n’est pas encore juridiquement clarifié. En effet, il est possible d’écarter un prestataire non européen dans un marché de défense ou de sécurité nationale, mais cela suppose un arbitrage politique, parfois contra-legem vis-à-vis de Bercy.

Cet amendement vise donc à aligner explicitement les marchés publics et les concessions passés par les opérateurs d’importance vitale (OIV) sur le régime applicable aux marchés de défense ou de sécurité nationale. Il permet ainsi de garantir un niveau de protection équivalent pour les infrastructures critiques de la Nation.

En effet, certains marchés confiés à des OIV (tels que les gestionnaires d’aéroports internationaux, d’infrastructures portuaires, de réseaux d’eau ou d’énergie, etc.) peuvent porter sur des équipements ou services aussi sensibles que ceux des forces armées ou des ministères régaliens. C’est notamment le cas des systèmes de détection et d’analyse automatisée des bagages dans les aéroports, où des fournisseurs extra-européens (notamment Chinois) détiennent aujourd’hui une position dominante.

Cette dépendance crée un risque, par la possibilité d’exfiltration de données critiques, ou de captation biométrique. En alignant le régime juridique applicable sur celui de la défense, le présent article permet aux OIV d’écarter légalement les prestataires étrangers non sécurisés, tout en garantissant la conformité au droit européen par une justification fondée sur les intérêts essentiels de sécurité (article 346 TFUE).

Amendement de repli.

Le projet de loi transpose la directive NIS 2 en élargissant son champ d’application bien au-delà des exigences européennes, notamment aux communes de plus de 30 000 habitants. Or, cette transposition extensive, bien que justifiée par la volonté de renforcer la cybersécurité, ignore les fortes contraintes financières et techniques du bloc communal.

L’étude d’impact n’évalue ni le coût réel de ces nouvelles obligations, ni leur soutenabilité. Leur application uniforme, immédiate et sans progressivité risque de créer des injonctions intenables, alors que les collectivités locales sont déjà appelées à contribuer massivement au redressement des finances publiques.

Le présent amendement vise à ajuster le périmètre des « entités importantes » :

– Inclusion des seules communautés de communes de plus de 20 000 habitants (environ 475 structures) ;

– Exclusion des communautés de communes de moins de 20 000 habitants (environ 515 structures), en leur laissant le temps d’organiser leur cybersécurité à un rythme adapté à leurs moyens.

L’objectif est double : éviter une surcharge normative contre-productive dans un secteur déjà sous tension (manque de prestataires qualifiés, difficulté d’ingénierie locale) et mieux calibrer les obligations selon les réalités territoriales. Le soutien à la formation, à l’ingénierie et à la diffusion des bonnes pratiques devra être renforcé.

L’amendement a été suggéré par l’association des maires de France.

Le projet de loi transpose la directive NIS 2 dans une acception particulièrement large, intégrant notamment l’ensemble des départements, des communes et des groupements de communes de plus de 30 000 habitants. Cette transposition étendue, reconnue par le Conseil d’État (avis n° 408329 du 6 juin 2024), génère de nouvelles obligations de cybersécurité qui ne tiennent pas compte des capacités réelles des collectivités concernées.

L’étude d’impact ne chiffre pas les coûts induits pour les collectivités, alors même que le Gouvernement appelle parallèlement les collectivités locales à une contribution accrue à la réduction du déficit public. Cette contradiction entre injonctions budgétaires et nouvelles charges normatives rend l’application uniforme du texte difficilement soutenable, en particulier pour les communautés de communes les plus modestes.

Le présent amendement vise à réserver le statut d’« entité importante » aux seules communautés de communes de 30 000 habitants ou plus, soit 211 structures, et à exclure celles de moins de 30 000 habitants, soit environ 779 intercommunalités, pour lesquelles les moyens humains, techniques et financiers sont insuffisants.

Il s’agit d’adapter les ambitions de la cybersécurité aux réalités des territoires, sans compromettre les objectifs de résilience ni sacrifier la soutenabilité locale.

L’amendement a été suggéré par l’Association des maires de France.

Le présent amendement vise à compléter la stratégie nationale de l’ANSSI en y intégrant une étude sur le développement d’un système de stockage de données souverain, où les opérations, de l’hébergement à la gestion, seraient réalisées en France, via une entreprise française, sous juridiction française. En effet, la souveraineté numérique ne peut être garantie que par la maîtrise de l’ensemble de la chaîne : infrastructures matérielles, équipements, logiciels et gouvernance des données.

Le rapport Lachaud-Valetta Ardisson sur la cyberdéfense souligne avec force l’impératif pour la France de disposer d’un espace de stockage souverain et sous juridiction nationale, afin de prévenir toute dépendance ou soumission à des puissances étrangères. Il est en effet nécessaire d’assurer la maîtrise de toute la chaîne d’information, en privilégiant l’usage des logiciels libres et la relocalisation des infrastructures critiques.

Cette exigence de souveraineté est d’autant plus actuelle qu’un méga-centre de données dédié à l’intelligence artificielle doit prochainement s’implanter sur le village de Fouju. Ce projet est financé en partie par le fonds émirati MGX. Une telle situation illustre concrètement les risques de dépendance stratégique, en exposant la France à une captation de ses données et à une mise en danger de sa souveraineté numérique.

Plus globalement, le groupe LFI estime que la stratégie nationale de cybersécurité ne saurait être pleinement efficiente que si les données stratégiques et sensibles sont gérées de manière souveraine, sous contrôle de l’État et exclusivement soumises à la juridiction française.

Par cet amendement, le groupe LFI souhaite s'assurer que l'ensemble des informations relatives au titulaire du nom de domaine soit effectivement collectées par les bureaux et offices d'enregistrement, même lorsque les titulaires ont recours à des services tiers pour effectuer leur démarche.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, ce qui rend plus difficile, voire impossible d'intenter concrètement des actions en justice contre eux le cas échéant. De nombreux acteurs, dont les droits (droits d'auteur, droit des consommateurs...) pourraient être bafoués par des acteurs numériques peu scrupuleux, seraient ainsi privés d'un droit à un recours effectif.

Cet amendement vise ainsi à éviter ces situations, d'autant plus que l'article 28 de la directive "NIS 2" prévoit la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (point 2d. de l'article 28).

Cet amendement a été travaillé avec la Société Civile des Producteurs Phonographiques (SCPP).

Par cet amendement, le groupe LFI souhaite préciser la liste de données pouvant être collectées dans les bases d’enregistrement des noms de domaine, et ce afin de permettre une meilleure traçabilité de leurs créateurs et ainsi prévenir plus efficacement les usurpations de noms de domaine et faciliter le respect la propriété intellectuelle des contenus culturels en ligne.

L’article 19 renvoie à un décret le soin de préciser la liste des données pouvant être collectées dans les bases d’enregistrement des noms de domaine ; l’article 28 de la directive NIS 2 donne toutefois une liste non exhaustive des données devant être collectées. Cet amendement reprend, dans son dispositif, cette liste, en y ajoutant l’adresse postale du titulaire ou du point de contact qui seule permet d’adresser officiellement une assignation pour agir en justice.

Cet amendement a été travaillé avec la Société Civile des Producteurs Phonographiques (SCPP).

Par cet amendement, le groupe LFI souhaite préciser les conditions d’enregistrement des noms de domaine par les offices et bureaux d’enregistrement.

L’article 19 renvoie le soin à un décret de fixer la liste des données collectées par les offices et bureaux d’enregistrement. Cet amendement de précision vise seulement à garantir l’application de l’article 28 de la directive NIS 2, en imposant que le décret prévoit aussi les procédures de vérification.

Dans l’objectif de mieux garantir la traçabilité des titulaires des noms de domaine, la directive NIS 2 propose aux pays membres de mettre en œuvre des procédures de vérification, d’une part pour corriger les données inexactes et d’autre part pour faciliter la transparence.

Cet amendement a été travaillé avec la Société Civile des Producteurs Phonographiques (SCPP).

Le présent amendement vise à compléter la liste des définitions figurant à l’article 1^er du projet de

loi en y intégrant celle de la souveraineté numérique, notion centrale du texte.

Alors que le terme de souveraineté numérique irrigue l’ensemble des travaux parlementaires et des

politiques publiques en matière de cybersécurité et de résilience numérique, aucune définition

légale n’en est à ce jour donnée. Or, pour assurer la cohérence de la stratégie nationale et sécuriser

son application juridique, il est essentiel de cadrer ce concept.

La définition proposée s’inspire de celle avancée par M. Thomas Courbe, alors directeur général des

entreprises, dans le rapport parlementaire « Bâtir et promouvoir une souveraineté numérique

nationale et européenne » de juillet 2021. Elle intègre également les enjeux contemporains

identifiés dans de nombreux rapports, notamment ceux du SGDSN, de la Cour des comptes, ou

encore de la commission d’enquête sénatoriale sur la commande publique et la souveraineté

économique.

Elle insiste sur les trois piliers de la souveraineté numérique la capacité normative, pour réguler

l’espace numérique, l’autonomie technologique, indispensable face à la domination des grandes 

puissances extra-européennes (États-Unis, Chine), la protection contre les ingérences, notamment

par le biais de l’espionnage, de l’extraterritorialité juridique ou de la dépendance à des technologies

critiques.

À l’heure où la menace pesant sur les infrastructures critiques se renforce, il est impératif que les OIV, ainsi que l’État, puissent s’appuyer sur des industriels relevant de l’espace européen, soumis aux mêmes exigences de sécurité juridique, politique et technique.

Actuellement, de nombreux marchés stratégiques échappent à tout critère de préférence géographique, exposant les systèmes vitaux de la Nation à des dépendances à l’égard d’acteurs extérieurs à l’Union européenne. Certaines de ces entreprises, peuvent être soumises à des législations extraterritoriales (comme le Cloud Act américain dans le domaine numérique), ou à des logiques de puissance étrangères incompatibles avec les intérêts fondamentaux de notre pays.

Prioriser les entreprises européennes permettrait de réduire la dépendance technologique de la France à l’égard d’acteurs non-européens dans des domaines sensibles, de favoriser l’émergence et la consolidation d’un tissu industriel européen, et de garantir une meilleure maîtrise des risques de sécurité nationale, en limitant l’exposition à des prestataires soumis à des puissances étrangères.

Cet amendement vise donc à instaurer un principe de priorité européenne pour les marchés publics nécessaires à la conception, la fabrication, la modification, la maintenance ou le retrait des structures, systèmes, matériels nécessaires à la protection des infrastructures critiques de l’opérateur.

Le présent amendement vise à améliorer sensiblement le degré de préparation des collectivités

territoriales face à la menace cyber en intégrant explicitement le risque de cyberattaque au sein du

Plan Communal de Sauvegarde (PCS).

Alors que les collectivités jouent un rôle essentiel dans la continuité des services publics et la

gestion des crises locales, elles sont devenues ces dernières années des cibles privilégiées des

cybercriminels et d'acteurs étatiques hostiles. Selon l’ANSSI), plus de 350 collectivités ont été

victimes d'une cyberattaque en 2023, dont une majorité de communes de taille moyenne, souvent

démunies en matière de protection informatique.

Les exemples concrets abondent. En septembre 2024, la mairie de Caen a été victime d'une attaque

par rançongiciel paralysant plusieurs de ses services administratifs pendant plusieurs jours. À la

même période, la ville de Chaville (Hauts-de-Seine) a vu son système d'information compromis,

entraînant la perte d'accès à des documents sensibles et des données personnelles. En 2022, la ville

de La Rochelle avait également subi une cyberattaque majeure, impactant la gestion de ses services

numériques.

Ces incidents démontrent la vulnérabilité des collectivités et l'impact potentiel de ces attaques :

paralysie administrative, interruption des services aux usagers, atteinte à la confidentialité des

données des citoyens, voire mise en danger de la sécurité des populations en cas d'atteinte aux

systèmes d'alerte ou de gestion de crise.

Or, le Plan Communal de Sauvegarde, prévu par l'article L.731-3 du Code de la sécurité intérieure,

constitue l'outil de référence permettant d'organiser la réponse opérationnelle de la commune en cas

d'événement grave : catastrophes naturelles, risques technologiques, sanitaires… Il apparaît

aujourd'hui indispensable que les risques cyber soient explicitement intégrés à ce dispositif, au

même titre que les autres menaces susceptibles de désorganiser la vie locale. Le présent

amendement vise donc à améliorer sensiblement le degré de préparation des collectivités en

ajoutant le risque cyber au sein du plan communal de sauvegarde. Cet amendement a été travaillé

avec Hexatrust

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à

élaborer une stratégie de cyber nationale. Cette dernière doit notamment permettre une approche

intégrée des enjeux de cybersécurité et de souveraineté numérique.

La commande publique est l’un des principaux leviers de cette souveraineté. En 2022, la commande

publique représentait 10,4 % du PIB national, soit environ 187 milliards d’euros. Elle constitue

donc un levier stratégique massif pour orienter les choix technologiques, favoriser l’émergence de

champions français et européens, et limiter les dépendances critiques à des acteurs extra-européens.

Pourtant, comme l’a montré le rapport d’information sénatorial de juillet 2025 sur la commande

publique et la souveraineté, ce levier reste sous-utilisé : les critères de sécurité ou de souveraineté

sont peu mobilisés dans les appels d’offres, notamment dans le secteur numérique.

Ce même rapport met en lumière plusieurs failles préoccupantes, notamment l’attribution de

marchés sensibles à des entreprises soumises à des régimes juridiques extraterritoriaux (comme le

Cloud Act américain), ou l’incapacité de nombreuses entités publiques à identifier les solutions

souveraines disponibles. Il recommande explicitement d'intégrer des considérations de souveraineté

dans la stratégie cyber de l’État, et de former les acheteurs publics à ces enjeux.

En conséquence, le présent amendement propose d’intégrer explicitement la commande publique

parmi les dimensions structurantes devant figurer dans la stratégie nationale de cybersécurité, afin

qu’elle soit pleinement mobilisée au service de la résilience, de la sécurité et de l’indépendance

technologique de la France.

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à

élaborer une stratégie de cyber nationale. cette dernière doit notamment permettre une approche

intégrée des enjeux de cybersécurité et de souveraineté numérique.

Toutefois, l’ambition stratégique affichée gagnerait à être explicitement adossée à un soutien clair et

volontariste aux acteurs industriels français et européens du numérique. En effet, notre

cyberrésilience ne peut durablement reposer sur des solutions dépendantes de technologies ou de

prestataires soumis à des législations extraterritoriales, ou à des intérêts étrangers potentiellement

divergents de ceux de la Nation.

Dans ce contexte, il est proposé de préciser que la stratégie nationale de cybersécurité devra intégrer

un axe prioritaire de soutien, de structuration et de montée en puissance de l’offre souveraine.

Les entités essentielles ou importantes au titre de la directive NIS2 représentent les cibles les plus

sensibles pour des puissances étrangères ou des groupes malveillants. Or, une grande partie de leurs

systèmes critiques repose aujourd’hui sur des technologies extra-européennes, souvent soumises à

des législations extraterritoriales incompatibles avec les exigences de sécurité nationale.

Le présent amendement vise donc à renforcer le contrôle parlementaire et la transparence en

instaurant l’obligation, pour le Gouvernement, de remettre chaque année un rapport au Parlement

sur le niveau d’exposition des entités régulées à ces dépendances critiques. Ce rapport devra

également documenter les efforts de relocalisation industrielle engagés, les partenariats stratégiques,

et l’évolution du tissu industriel national et européen dans les secteurs clés de la cybersécurité, du

numérique et des infrastructures critiques. Un tel suivi permettra d’évaluer l’efficacité des

politiques publiques de souveraineté, d’identifier les failles persistantes, et d’orienter les futures

actions législatives ou budgétaires de soutien à l’écosystème industriel européen.

L’article 22 du présent projet de loi vient transposer l’article 28 de la Directive NIS 2, notamment pour organiser les modalités d’accès aux données d’enregistrement des noms de domaine collectées par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser le champ des « demandeurs d’accès légitimes » conformément à la Directive.

En l’état du présent article, l’accès aux informations est limité aux agents habilités « par l’autorité judiciaire pour les besoins des procédures pénales » ainsi qu’à l’ANSSI. Il s’agit d’une restriction de la portée de l’article 28 de la Directive et singulièrement de son Considérant 110 qui définit les demandeurs d’accès légitimes comme « toute personne physique et morale qui formule une demande en vertu du droit de l’Union ou du droit national » sur demande motivée.

Le présent amendement précise que, dans le cadre d’infractions au droit de la propriété intellectuelle, certains agents spécialement habilités sont légitimes à solliciter un accès aux données d’enregistrement des noms de domaines. Il s’agit en particulier (outre les agents déjà désignés par le présent article) : 

-        des agents assermentés mentionnés à l’article L.331.2 du code de la propriété intellectuelle, c’est-à-dire des agents d’organismes autorisés par la loi à dresser des procès-verbaux constatant des faits susceptibles d’une qualification pénale au titre de leur mission de lutte contre la contrefaçon ;

-        des commissaires de justice de l’article 1 de l’ordonnance 2016-728 du 2 juin 2016 modifiée par la loi n° 2023-1059 du 20 novembre 2023, c’est-à-dire des auxiliaires de justice qualifiés par la loi à dresser ces mêmes procès-verbaux, dans le cas présent, en matière d’atteinte aux droits de la propriété intellectuelle.

Cette précision du champ ne saurait se traduire par une charge disproportionnée dès lors qu’il s’agit pour les offices et bureaux d’enregistrement de communiquer des informations qui figurent dans leur base et au bénéfice de personnes qui sont habilitées par la loi à agir.

La finalité de cet amendement est bien de combattre les utilisations abusives du système d’enregistrement de noms de domaine pour mener des activités illégales et préjudiciables [1] : il vise donc à permettre une effectivité du droit d’accès aux données des noms de domaine afin de garantir l’application du droit national comme du droit de l'Union.

[1] Voir, par exemple, l'étude de la Commission européenne de janvier 2022 sur les abus des systèmes de noms de domaine, pp. 158-159, qui quantifie une réduction de 85 % des sites web malveillants vendant des produits de contrefaçon dans le TLD grâce à l'amélioration des pratiques de vérification des données du registre.

Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

L’extraterritorialité de certaines législations étrangères constitue aujourd’hui un risque majeur pour

la souveraineté numérique et la sécurité des systèmes d’information nationaux. De nombreuses lois,

notamment celles adoptées par les États-Unis (comme le Cloud Act, le Foreign Intelligence

Surveillance Act ou encore le Patriot Act), permettent aux autorités de ces pays d’accéder à des

données hébergées à l’étranger dès lors que l’entreprise qui les détient est de droit national,

indépendamment du lieu d’hébergement ou du traitement des données.

Cette situation crée une zone de vulnérabilité juridique pour les entités essentielles et importantes

définies par la directive NIS 2. Ces structures, soumises à des exigences de cybersécurité accrues,

sont parfois tentées de recourir à des solutions étrangères sans mesurer pleinement les risques

induits par le cadre juridique applicable à leurs prestataires.

Il est donc impératif que les entités régulées prennent en compte l'extraterritorialité des droits

auxquels sont soumis leurs prestataires lorsqu'elles choisissent des fournisseurs de services de

cybersécurité, d’hébergement, de cloud ou de traitement de données. Ne pas le faire expose à des

risques concrets d’ingérence, d’espionnage économique, voire de rupture de service en cas de

conflit géopolitique ou de contentieux extrajudiciaire.

L’objectif de cet amendement est d’introduire une référence explicite à l’extraterritorialité dans le

cadre des obligations de cybersécurité des entités assujetties, afin de renforcer la vigilance sur ce  point et d’inciter au recours à des solutions européennes ou française

Le présent article prévoit que le référentiel d’exigences techniques et organisationnelles pourra

imposer le recours à des produits, services ou processus certifiés au titre du règlement (UE)

2019/881, dit Cybersecurity Act. Cette faculté vise à renforcer le niveau de sécurité des entités

assujetties à la directive NIS 2, en favorisant l’usage de solutions certifiées selon un standard

européen reconnu. Cependant, une incertitude demeure quant à l’intégration, dans ces schémas de

certification – notamment le futur EUCS - de critères relatifs à l’immunité des fournisseurs aux

droits extraterritoriaux. Plusieurs versions préliminaires du schéma ont montré des hésitations sur ce

point crucial, sous la pression de certains États membres et d’acteurs économiques favorables à une

approche plus souple. Or, l’absence de garanties sur l’immunité aux législations extraterritoriales

(comme le Cloud Act américain) affaiblirait l’ambition même du dispositif. Elle exposerait

potentiellement les données stratégiques d’entités essentielles ou importantes à des ingérences

étrangères. Dans ce contexte, le présent amendement, reprenant la définition du Secnumcloud, vise

à introduire explicitement un critère d’établissement en Europe pour les services certifiés que le

gouvernement peut prescrire pour les entités régulées par Nis 2.

Amendement rédactionnel. Cet amendement corrige une erreur de syntaxe dans la définition de résilience. "Prévenir contre type d'incident" est une formulation incorrecte. 

Amendement rédactionnel. Cet amendement reformule la définition du plan particulier de résilience en remplaçant le pluriel par du singulier s'agissant de la mention de l'opérateur d'importance vitale. 

Si un opérateur d'importance vitale peut être en charge de plusieurs points d'importance vitale, c'est bien l'opérateur qui doit rédiger individuellement un plan particulier de résilience pour chaque point d'importance vitale.  

Cet amendement corrige une erreur de renvoi. 

L'article L. 114-1 du code de la sécurité intérieure ne prévoit pas les conditions dans lesquelles s'exerce l'avis de l'autorité administrative compétente mais les conditions dans lesquelles s'exercent une enquête administrative. 

L'amendement ainsi rédigé rétablit l'objectif de l'article, à savoir qu'un avis peut être demandé à l'autorité administrative compétente à la suite d'une enquête administrative, conduite selon des conditions fixées par le code de la sécurité intérieure. 

Amendement rédactionnel. 

Cet amendement corrige une erreur de formulation juridique. Une entité peut être exonérée d'une taxe ou d'un impôt par l'autorité administrative mais elle est dispensée d'une obligation.   Or ici, il s'agit bien de dispenser les opérateurs du secteur de la défense de certaines obligations selon des modalités fixées par décret en Conseil d'Etat. 

Cet amendement renforce l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. 

Le mandat des membres de la commission des sanctions sera unique plutôt que renouvelable une fois, afin de garantir le caractère désintéressé et impartial des décisions prises par la commission.    

L’article 8 du présent projet de loi précise les entités essentielles les entités essentielles concernées par les mesures de la directive NIS2 selon notamment des critères de taille de l’effectif et du chiffre d’affaires annuel.

Cet amendement vise à aligner la rédaction du présent projet de loi sur la directive NIS2 afin d'obtenir une transposition stricte.

Cet amendement corrige une erreur matérielle. C'est le produit des sanctions pécuniaires qui est versé au Trésor public et non la sanction elle-même. 

Amendement rédactionnel. Cet amendement tire les conséquences du remplacement du "plan particulier de protection" par le "plan particulier de résilience", prévue par le présent projet de loi, en modifiant une référence à l'article L. 1411-2 du code de la défense. 

Amendement rédactionnel. 

Au premier alinéa des articles L. 285-1, L. 286-1, L. 287-1 et L. 288-1 du code de la sécurité intérieur, la référence à la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense a été remplacée par la référence à la loi n° 2025-532 du 13 juin 2025 visant à sortir la France du piège du narcotrafic. 

Dès lors, cet amendement en tire les conséquences en substituant la référence à remplacer par la référence à la présente loi. 

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d’une véritable stratégie en faveur de la souveraineté numérique. c’est le sens de notre amendement.

Le présent amendement propose d’introduire un délai de 5 ans pour appliquer les dispositions du titre II.

Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.

Ainsi, un autre calendrier pourrait être envisagé selon un cadencement plus réaliste :

1) un état des lieux et une feuille de route (avec la mesure des impacts et l’évaluation des moyens nécessaires) à établir (années 1 et 2) ;

2) Contractualiser avec l’ANSSI sur un délai de mise en conformité adapté à la situation de la collectivité, qui donnerait une trajectoire pouvant aller potentiellement au-delà de 3 ans, avec des jalons contractuels pour respecter les termes du contrat ;

3) Vérifier l’avancement des jalons intermédiaires jusqu’à la mise en conformité.

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.

Cet amendement vise à solliciter un avis de la CNIL sur le décret d’application encadrant les enquêtes administratives de sécurité. Cet avis est essentiel dans la mesure où les enquêtes peuvent impliquer la consultation de données sensibles. 

Cet amendement vise à instaurer un délai minimal de trois mois pour les TPE / PME avant toute application de mesures correctives imposées par l’ANSSI. En effet, selon l’INSEE, les TPE / PME employaient un peu moins de 6 millions de personnes en 2021, soit près de la moitié de l’effectif salarié en France. Or, selon le Baromètre de la conformité RGPDdes TPE / PME de 2024, 59 % d’entre elles manquaient de temps pour gérer leur conformité, 57 % signalaient un manque de compétences juridiques et 31 % ont du mal à maintenir leur conformité dans les temps. Leur imposer des délais trop courts reviendrait à les placer face à une injonction irréalisable, accentuant le fossé avec les grandes entreprises bien mieux armées.

Cet amendement est donc indispensable pour garantir une application proportionnée et socialement équitable de la loi. Il préserve donc des entreprises qui représentent près de la moitié du tissu salarial en France, le tout en les accompagnant plutôt qu’en les sanctionnant.

Cet amendement limite l’intervention des experts privés au seul rôle consultatif en conférant à l’ANSSI la responsabilité finale de constater un manquement. Étant donné que la cybersécurité relève d’une mission régalienne intimement liée à la souveraineté nationale, confier à des acteurs privés, parfois liés aux GAFAM et/ou aux BATX, la mission de relever les manquements reviendrait à privatiser la souveraineté numérique de la France avec un risque de conflits d’intérêts et de dilution des responsabilités.

Externaliser ces missions engendrerait davantage de coûts et fragiliserait l’indépendance de l’État dans un domaine qui lui fait largement écho au regard des nombreuses cyberattaques dont il fait l’objet depuis plusieurs années. En effet, elles ont coûté environ 119 milliards d’euros à la France rien qu’en 2024 et leur coût est exponentiel. Depuis 2016, année où ce chiffre n’était évalué qu’à 5,1 milliards de dollars, il connait une augmentation moyenne de 30 % par an.

À l’inverse, s’appuyer sur l’expertise des agents de l’ANSSI permet de renforcer la confiance des acteurs économiques dans l’action publique et assurer une application juste des règles.

Le présent amendement vise à intégrer, dans les règles encadrant le recours à des prestataires non européens, la possibilité de travailler avec des entreprises établies dans des pays ayant un accord de commerce et de coopération avec l’Union européenne, à condition qu’elles acceptent explicitement d’être soumises aux normes européennes en matière de cybersécurité et de protection des données.

Il s’agit de trouver un équilibre entre la protection de la souveraineté numérique et l’ouverture à des partenaires fiables, tout en renforçant l’attractivité d’une conformité aux standards européens à l’échelle internationale.

La notion de vulnérabilité est d’ores et déjà définie en droit européen, notamment à l’article 3 du règlement UE 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 (Règlement sur la cyber-résilience) concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (Union européenne) n°68/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828.

Cette définition ne prend pas en compte le facteur humain comme pouvant représenter une faille exploitable. Par ailleurs, la prise en compte du facteur humain serait particulièrement disproportionnée, notamment quand il s’agit d’analyser les vulnérabilités « humaines », liées aux chaînes d’approvisionnement et de sous-traitance. Cela est également vrai pour la notification des vulnérabilités critiques potentielles d’origine humaine. Il n’est pas possible d’apprécier à quel moment le facteur humain est susceptible de présenter une vulnérabilité critique.

Cet amendement propose donc de supprimer la notion d’utilisateur afin d’aligner cette définition de vulnérabilité avec le droit européen, et au nom du principe de réalité.

Amendement travaillé avec la Fédération Française des Télécoms. 

L’article 22 du présent projet de loi vient transposer l’article 28 de la Directive NIS 2, notamment pour organiser les modalités d’accès aux données d’enregistrement des noms de domaine collectées par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser le champ des « demandeurs d’accès légitimes » conformément à la Directive.
 
En l’état du présent article, l’accès aux informations est limité aux agents habilités « par l’autorité judiciaire pour les besoins des procédures pénales » ainsi qu’à l’ANSSI. Il s’agit d’une restriction de la portée de l’article 28 de la Directive et singulièrement de son Considérant 110 qui définit les demandeurs d’accès légitimes comme « toute personne physique et morale qui formule une demande en vertu du droit de l’Union ou du droit national » sur demande motivée.
 
Le présent amendement précise que, dans le cadre d’infractions au droit de la propriété intellectuelle, certains agents spécialement habilités sont légitimes à solliciter un accès aux données d’enregistrement des noms de domaines. Il s’agit en particulier (outre les agents déjà désignés par le présent article) : 
- des agents assermentés mentionnés à l’article L.331.2 du code de la propriété intellectuelle, c’est-à-dire des agents d’organismes autorisés par la loi à dresser des procès-verbaux constatant des faits susceptibles d’une qualification pénale au titre de leur mission de lutte contre la contrefaçon ;
- des commissaires de justice de l’article 1 de l’ordonnance 2016-728 du 2 juin 2016 modifiée par la loi n° 2023-1059 du 20 novembre 2023, c’est-à-dire des auxiliaires de justice qualifiés par la loi à dresser ces mêmes procès-verbaux, dans le cas présent, en matière d’atteinte aux droits de la propriété intellectuelle.
 
Cette précision du champ ne saurait se traduire par une charge disproportionnée dès lors qu’il s’agit pour les offices et bureaux d’enregistrement de communiquer des informations qui figurent dans leur base et au bénéfice de personnes qui sont habilitées par la loi à agir.
 
La finalité de cet amendement est bien de combattre les utilisations abusives du système d’enregistrement de noms de domaine pour mener des activités illégales et préjudiciables [1] : il vise donc à permettre une effectivité du droit d’accès aux données des noms de domaine afin de garantir l’application du droit national comme du droit de l'Union.

---
[1] Voir, par exemple, l'étude de la Commission européenne de janvier 2022 sur les abus des systèmes de noms de domaine, pp. 158-159, qui quantifie une réduction de 85 % des sites web malveillants vendant des produits de contrefaçon dans le TLD grâce à l'amélioration des pratiques de vérification des données du registre.

Cet amendement vise à revenir à la rédaction initiale du texte et à inclure l’ensemble des communautés d’agglomération dans la catégorie des « entités essentielles ». 

En effet, les communautés d’agglomération ont comme compétence obligatoire de plein droit, la gestion de l’eau potable et des eaux usées, en régie ou gestion directe. 

Ces activités étant considérées au titre de l’article 7 du présent texte comme des secteurs hautement critiques pour le fonctionnement de l’économie et de la société, exclure certaines de nos collectivités ayant en charge ces secteurs reviendrait à fragiliser la sécurité des réseaux qu’elles utilisent dans le cadre de leurs activités, et à créer des zones de vulnérabilité. Une telle exclusion introduirait en outre une inégalité de traitement entre collectivités territoriales, alors même qu’elles font face à des menaces similaires et qu’elles doivent garantir la continuité de services essentiels à la population. 

Face à la multiplication des attaques visant les collectivités territoriales, et aux conséquences opérationnelles, financières et sociales qui en résultent, les bénéfices d’une mise en conformité apparaissent largement supérieurs à son coût. 

Afin de garantir l’efficience et la cohérence de ce texte, il est donc indispensable que les communautés d’agglomération soient reconnues comme des entités essentielles, afin d’assurer la sécurité des secteurs hautement critiques, la protection de nos réseaux et la continuité des services publics. 

Cet amendement, en lien avec l’amendement déposé sur l’article 8 du présent texte, vise à revenir à la rédaction initiale du texte et garantir sa cohérence. 

La directive NIS2 prévoit que les exigences techniques et méthodologiques applicables aux acteurs numériques sont fixées par le règlement d’exécution (Ue) 2024/2696)de la Commission du 17 octobre 2024. 

La rédaction actuelle de cet alinéa pourrait être source de confusion et entretenir un doute sur les règles applicables aux acteurs du numérique. Par conséquent, cet amendement propose de faire explicitement référence à ce règlement d’exécution pour éviter toute ambiguïté et interprétations divergentes parmi les acteurs assujettis. Une telle rédaction permettrait de garantir une meilleure sécurité juridique et de limiter les risques de surtransposition.

Amendement travaillé avec Numeum. 

Amendement de clarification travaillé avec la Fédération Française des Télécoms. 

Les activités d’importance vitale sont celles essentielles au potentiel économique et militaire ainsi que la survie de la nation. Le critère clé d’identification d’un opérateur est celui de la non redondance : en cas de défaillance, l’absence des activités de l’opérateur menacerait la continuité de la vie de la nation. A ce titre, la préservation de l’environnement devrait être inclus dans la définition d’une activité d’importance vitale pour souligner son caractère essentiel pour la survie de la nation. 

Le ministère de la Transition écologique, de la Biodiversité, de la Forêt, de la Mer et de la Pêche étant déjà responsable d’environ 50 % des opérateurs dans le dispositif actuel, le surcroît d’opérateur induit par cet ajout devrait être modéré. 

La définition d’activité d’importance vitale qui en résulte est conforme à celle de service essentiel utilisée en droit européen dans la directive REC. En effet, le point 5 de l’article 2 de la directive dispose qu’un service essentiel est crucial pour le maintien de « « l’environnement » ». Par ailleurs, la plupart des onze secteurs d’application de la directive REC, précisés en annexe, sont directement liés à la préservation de l’environnement (énergie, transports, eau potable, denrées alimentaires). 

« Cet amendement ajoute à la définition d’infrastructure critique la notion d’accès à l’information, pour souligner l’importance vitale pour la société des réseaux sociaux, de l’audiovisuel et de la presse. 

Cet ajout est conforme à la directive REC qui dispose qu’un service essentiel est crucial pour le « « maintien de fonctions sociétales ou d’activités économiques vitales » ». Or, sont considérés comme assujettis à la directive REC (secteur 8) les infrastructures numériques suivantes : (i) les réseaux de diffusion de contenu (point 32 de l’article 6 de la directive NIS 2 ) et (ii) les réseaux de communications électroniques public (point 8 de l’article 2 de la directive 2018/1972). »

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à garantir le fait que les informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier fait appel à un service tiers, soient bien récupérées par les bureaux et offices d’enregistrement au stade de la collecte. 

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute action judiciaire.

Précisément pour pallier l’opacité des registres actuels, l’article 28 de la Directive NIS 2 prévoit bien la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (art. 28.1(d)).

Le fait que la loi nationale vise bien les cas de recours à des services tiers est ainsi vital pour l’ensemble des personnes en situation de défendre leurs droits dans l’espace numérique, notamment les titulaires de droits de propriété intellectuelle (droit d’auteur, droits voisins, droit des marques, des dessins et modèles…).

Force est de tirer des conséquences concrètes du fait que certains bureaux d’enregistrement de noms de domaine font obstacle à une coopération avec les victimes d’infractions pénales ou d’attaques contre des systèmes informatiques en se fondant sur la confidentialité, privant de recours efficace les personnes en cas de conflit.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser la liste des données devant être collectées, en reprenant a minima la liste des informations mentionnées à l’article 28.2 de la Directive NIS 2 et en y ajoutant les « adresses postales » des titulaires et points de contact du nom de domaine.

Les États membres peuvent compléter le texte de la directive à l’occasion de sa transposition en droit national à la condition expresse que l’ajout soit conforme à l’objectif poursuivi par ladite directive. En tout état de cause, la liste des données collectées mentionnées à l’article 28 n’est pas limitative (Cf. art.28.2, « Ces informations comprennent notamment les éléments suivants »). Et de fait, la mention explicite de la collecte de l’adresse postale du titulaire ou du point de contact est absolument indispensable dès lors qu’elle constitue le seul moyen d’adresser officiellement une assignation pour agir en justice.

Cet amendement vise donc à donner une pleine effectivité à la loi.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à élargir le champ du décret auquel l’article renvoie, et ce afin de préciser les attendus des procédures de vérification des données collectées :

-        le fait que ces procédures soient bien « ex ante » au moment de l’enregistrement et « ex post » après l’enregistrement, notamment pour garantir le maintien des bases de données exactes et complètes, conformément à la directive et au présent article 19 ;

-        le fait que ces procédures tiennent compte des normes élaborées par les structures de gouvernance multiparties au niveau international et qu’elles visent les meilleures pratiques en matière d’identification électronique (conformément au Considérant 111) ;

-        le fait que ces procédures comprennent la vérification d’au moins un moyen de contact du titulaire ou du service tiers (conformément au même Considérant).

Conformément à ces attendus, les bureaux et offices d’enregistrement ne devraient pas pouvoir procéder à l’enregistrement en masse des noms de domaine au moyen d’algorithmes, de logiciels, de protocoles automatisés ou de toute autre méthode similaire.
 

L’article 22 du présent projet de loi vient transposer l’article 28 de la Directive NIS 2, notamment pour organiser les modalités d’accès aux données d’enregistrement des noms de domaine collectées par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser le champ des « demandeurs d’accès légitimes » conformément à la Directive.

En l’état du présent article, l’accès aux informations est limité aux agents habilités « par l’autorité judiciaire pour les besoins des procédures pénales » ainsi qu’à l’ANSSI. Il s’agit d’une restriction de la portée de l’article 28 de la Directive et singulièrement de son Considérant 110 qui définit les demandeurs d’accès légitimes comme « toute personne physique et morale qui formule une demande en vertu du droit de l’Union ou du droit national » sur demande motivée.

Le présent amendement précise que, dans le cadre d’infractions au droit de la propriété intellectuelle, certains agents spécialement habilités sont légitimes à solliciter un accès aux données d’enregistrement des noms de domaines. Il s’agit en particulier (outre les agents déjà désignés par le présent article) : 

-        des agents assermentés mentionnés à l’article L.331.2 du code de la propriété intellectuelle, c’est-à-dire des agents d’organismes autorisés par la loi à dresser des procès-verbaux constatant des faits susceptibles d’une qualification pénale au titre de leur mission de lutte contre la contrefaçon ;

-        des commissaires de justice de l’article 1 de l’ordonnance 2016-728 du 2 juin 2016 modifiée par la loi n° 2023-1059 du 20 novembre 2023, c’est-à-dire des auxiliaires de justice qualifiés par la loi à dresser ces mêmes procès-verbaux, dans le cas présent, en matière d’atteinte aux droits de la propriété intellectuelle.

Cette précision du champ ne saurait se traduire par une charge disproportionnée dès lors qu’il s’agit pour les offices et bureaux d’enregistrement de communiquer des informations qui figurent dans leur base et au bénéfice de personnes qui sont habilitées par la loi à agir.

La finalité de cet amendement est bien de combattre les utilisations abusives du système d’enregistrement de noms de domaine pour mener des activités illégales et préjudiciables : il vise donc à permettre une effectivité du droit d’accès aux données des noms de domaine afin de garantir l’application du droit national comme du droit de l'Union.

Cet amendement prévoit que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL. Cette garantie est essentielle, ces enquêtes couvrant un champ élargi et pouvant impliquer la consultation du bulletin n°2 du casier judiciaire ainsi que de traitements automatisés de données personnelles (article 26 de la loi n° 78‑17 du 6 janvier 1978).

"Le présent amendement vise à formaliser et encourager la coopération entre collectivités en leur permettant de conclure des conventions de coopération en matière de cybersécurité. Ces conventions permettront notamment :
La mise en commun d’expertises afin de pallier le manque de compétences en cybersécurité dans les petites collectivités ;
La mutualisation des équipements et infrastructures pour optimiser les investissements en matière de protection des systèmes d’information ;
La mise à disposition de personnels qualifiés entre collectivités, facilitant ainsi l’accès à des compétences spécialisées sans nécessiter de recrutement individuel.
Le présent amendement repose sur une logique de solidarité territoriale et d’optimisation des ressources, sans générer de charges nouvelles pour l’État ou les collectivités.
Enfin, cet amendement favorise une meilleure articulation avec les Centres de réponse aux incidents de sécurité informatique (CSIRT) régionaux, qui jouent un rôle clé dans l’accompagnement des collectivités. En facilitant la coopération entre collectivités et en renforçant les synergies locales, cette disposition contribue efficacement à l’objectif de sécurisation des infrastructures publiques face aux cybermenaces.
"

La directive (UE) 2022/2555 dite NIS 2 souligne le rôle central des politiques de cyberhygiène dans la prévention et la résilience face aux cybermenaces.Ces politiques reposent sur une base commune de pratiques telles que la mise à jour régulière des logiciels et matériels, le renouvellement des mots de passe, la sécurisation des nouvelles installations, la limitation des droits d’accès de niveau administrateur et la sauvegarde systématique des données. Elles constituent le socle d’un cadre proactif de préparation et de sûreté globale.
 
La directive rappelle également que la sensibilisation à la cybersécurité et à la cyberhygiène est indispensable, compte tenu de la multiplication des dispositifs connectés désormais exploités dans les cyberattaques. Des efforts particuliers doivent donc être déployés afin d’améliorer la prise de conscience des risques, de renforcer la culture de cybersécurité et d’harmoniser les évaluations au niveau européen.
 
Enfin, l’ENISA (Agence de l’Union européenne pour la cybersécurité) a pour mission de suivre et d’analyser les politiques des États membres en matière de cyberhygiène.
 
Au regard de ces éléments, il apparaît nécessaire d’intégrer explicitement à la stratégie nationale de cybersécurité des orientations en matière de cyberhygiène afin de garantir la cohérence avec les exigences européennes et de doter les acteurs publics comme privés des outils indispensables à la prévention des incidents et à la résilience collective.

De nombreux responsables sécurité des systèmes d’information (RSSI), en particulier dans le secteur hospitalier, alertent sur une faille majeure du dispositif actuel : les éditeurs de logiciels ne sont soumis à aucune obligation de sécurité ni à aucune autorité de contrôle. Ainsi, lorsqu’une vulnérabilité est découverte dans un logiciel utilisé par un établissement de santé, rien n’impose à l’éditeur de mettre en œuvre dans des délais raisonnables les correctifs nécessaires, exposant directement l’hôpital à des risques de cyberattaque et de paralysie de ses systèmes critiques.
 
Or, le considérant 85 de la directive NIS 2 souligne explicitement que les éditeurs de logiciels constituent un maillon essentiel de la chaîne d’approvisionnement numérique et que leurs produits sont régulièrement exploités par des acteurs malveillants pour compromettre la sécurité des réseaux et systèmes d’information.
 
Afin de répondre à cette vulnérabilité structurelle, le présent amendement propose d’étendre les obligations de cybersécurité prévues par la directive NIS 2 aux éditeurs de logiciels. Cette évolution permettra d’imposer des exigences minimales de sécurité dès la conception et le développement des produits, mais aussi de prévoir une capacité d’intervention et de contrôle par l’autorité compétente (ANSSI).
 
En intégrant les éditeurs de logiciels dans le champ d’application, il s’agit de protéger les établissements de santé et plus largement les entités essentielles contre des risques aujourd’hui avérés, en garantissant que les produits dont ils dépendent respectent un socle commun de sécurité et que les éditeurs assument pleinement leurs responsabilités en cas de faille critique.

Cet amendement du groupe socialistes et apparentés vise à introduire la définition de l’approche « tous risques » telle qu’énoncée au considérant 79 de la directive UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148, dite directive NIS 2. 

L’introduction de cette définition à cet article permettra sa mention à l’article 14 du présent projet de loi afin de l’aligner sur l’article 21 de la directive NIS 2 qui précise que les mesures techniques, opérationnelles et organisationnelles prises par les entités essentielles et importantes – de manière appropriée et proportionnée – pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents. 

Cet amendement du groupe Socialistes et apparentés vise à préciser le périmètre des « entités importantes », en excluant les communautés de communes dont la population regroupée est inférieure à 30 000 habitants. 

Comme l’a indiqué le Conseil d’État dans son avis N° 408329 rendu le 6 juin 2024, le Gouvernement a « mobilisé dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions (…) ». Le Conseil d’État précise que « ces choix trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité ». 

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des certaines collectivités territoriales, malgré les précisions apportées lors de l’examen au Sénat concernant les communautés d’agglomérations. 

Alors que les nouvelles obligations imposées par ce projet de loi entraîneront des charges supplémentaires pour les collectivités, le coût afférent n’a pas été évalué. En effet, aucune étude d’impact n’a pu proposer jusqu’à aujourd’hui d’évaluation chiffrée des conséquences sur le plan financier et celui des ressources humaines pour les entités concernées. Dans le même temps, les collectivités sont appelées à maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières. 

Par ailleurs, généralement situées en zone rurale, les communautés de communes regroupant moins de 30 000 habitants sont particulièrement confrontées à la « pénurie de main d’oeuvre dans le secteur de la cybersécurité » (RNS 2025) ; pénurie marquée par un manque de près de 40 000 voire 60 000 personnels dans ce domaine. 

C’est pourquoi le présent amendement propose d’exclure du périmètre des « entités importantes » les communautés de communes qui regroupent un ensemble de moins de 30 000 habitants. Dans cette hypothèse, 211 (sur 990) communautés de communes resteraient assujetties au statut d’ « entité importante ». 

Le groupe Socialistes et apparentés sera également particulièrement attentifs à ce que la stratégie nationale en matière de cybersécurité précise les modalités de soutien – opérationnel et budgétaire – aux collectivités territoriales et à leurs groupements, comme mentionné à l’article 5bis du présent projet de loi. 

Cet amendement du groupe Horizons & Indépendants vise à préciser que le soutien apporté par l’État aux entités soumises à la directive NIS 2 pourra inclure des moyens financiers. De nombreuses collectivités territoriales et petites entités concernées par le texte ont des moyens humains et techniques limités pour renforcer leur cybersécurité. Sans appui budgétaire, elles risqueraient d’avoir des difficultés à se mettre en conformité. En exprimant que le soutien puisse être aussi financier, l’amendement garantit que la stratégie nationale prévoira tous les outils nécessaires pour accompagner les acteurs locaux dans la mise en œuvre de leurs obligations.

Cet amendement du groupe Horizons & Indépendants vise à compléter la stratégie nationale de cybersécurité par la prise en compte des perspectives de coopération européenne. Les cyberattaques ne connaissent pas de frontières : elles touchent simultanément plusieurs États membres et appellent une réponse collective. La directive NIS 2 et la directive sur la résilience des entités critiques encouragent déjà cette coopération via les réseaux européens (CSIRTs Network, CyCLONe).

Il est donc pertinent que la stratégie nationale inclue explicitement la dimension européenne afin de renforcer l’autonomie stratégique de l’Europe, en capitalisant sur les échanges d’informations, les bonnes pratiques et les coopérations opérationnelles. Cette orientation est cohérente avec le rapport annexé à la loi de programmation militaire 2024‑2030, qui souligne que « la solidarité européenne dans le domaine de la cyberdéfense permet actuellement l’échange de bonnes pratiques, l’assistance aux nations en difficulté et le partage d’information. Avec un degré de maturité suffisante de ses capacités nationales de cyberdéfense et de celles de ses partenaires, la France pourra pleinement participer à doter l’Europe d’un « bouclier cyber » ».

Cet amendement du groupe Horizons & Indépendants propose de transposer directement une disposition prévue à l’article 7 de la directive (UE) 2022/2555 (NIS 2), qui invite les États membres à promouvoir la formation, l’éducation, la sensibilisation et la diffusion des bonnes pratiques en matière de cybersécurité. Il renforce le rôle de la stratégie nationale de cybersécurité dans la montée en compétences de l’ensemble des acteurs, condition indispensable à la résilience collective de notre pays face aux cybermenaces.

Il s’agit de promouvoir et développer l’éducation et la formation en cybersécurité, la recherche et l’innovation, mais aussi la sensibilisation des citoyens et la diffusion de bonnes pratiques de « cyberhygiène ». La cybersécurité n’est plus seulement l’affaire des spécialistes : elle concerne tout autant les grandes entreprises que les collectivités, associations, PME ou particuliers.

La Revue nationale stratégique 2025 souligne avec force que la résilience doit devenir un réflexe partagé par l’ensemble de la Nation. Elle appelle à la mobilisation de toutes les compétences – publiques comme privées, nationales comme locales – pour renforcer notre capacité de résistance et de rebond face aux menaces hybrides, dont les cyberattaques constituent un volet majeur. En cohérence avec ces préconisations, le présent amendement vise à embarquer l’ensemble de la société dans l’effort de cybersécurité, en diffusant une véritable culture de la résilience numérique. Il permet de faire de la stratégie nationale non seulement un outil de régulation, mais aussi un vecteur de pédagogie et d’appropriation citoyenne des enjeux de sécurité numérique.

Cet amendement du groupe Horizons & Indépendants vise à permettre au Premier ministre, par arrêté, d’exempter certaines entités exerçant des missions régaliennes – sécurité nationale, sécurité publique, défense, répression pénale – de certaines obligations prévues par la loi en matière de cybersécurité, lorsqu’elles agissent dans le cadre de ces activités.

L’objectif est de concilier l’application de la directive (UE) 2022/2555 dite NIS 2 avec les impératifs de souveraineté et de sécurité nationale. Certaines obligations générales de notification ou de supervision peuvent, dans ce cadre spécifique, entrer en tension avec des nécessités opérationnelles ou de confidentialité liées à la défense ou à la répression pénale.

Cette faculté d’exemption, strictement encadrée par arrêté du Premier ministre, permet de préserver la résilience des entités stratégiques de l’État, sans remettre en cause le niveau global de protection prévu par la directive. Elle s’inscrit pleinement dans les marges de flexibilité reconnues aux États membres par NIS 2 en matière de sécurité nationale.

Cet amendement du groupe socialistes vise à aligner l’article 14 du projet de loi avec l’article 21 de la directive NIS 2, en mentionnant la notion d’approche « tous risque » ; approche définie au considérant 79 de la directive NIS 2, et qui vise protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents. 

L’article 9 du présent projet de loi définit les entités importantes qui seront concernées par les mesures prévues par la directive NIS2.

Pour définir les entreprises considérées comme des entités importantes, il est pris en compte plusieurs critères. Dans la rédaction actuelle du projet de loi, celui de la taille de l’effectif et du chiffre d’affaires annuel sont alternatifs. 

Or, selon la directive NIS2, qui s’appuie sur les seuils d’application de la recommandation 2003/361/CE, ce sont les critères du chiffre d’affaires annuel et du total du bilan annuel qui sont alternatifs, en sus de celui de la taille de l’effectif.

C’est pourquoi, afin d’effectuer une transposition stricte, il est proposé d’aligner la rédaction du présent projet de loi sur la directive NIS2.

Cet amendement du groupe Socialistes et apparentés vise à garantir le fait que l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au stade de la collecte, en cohérence avec l’article 28 de la Directive NIS 2 qui prévoit la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (art. 28.2 (d)). 

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute action judiciaire. 

L’article 8 du présent projet de loi définit les entités essentielles qui seront concernées par les mesures prévues par la directive NIS2.

Pour définir les entreprises considérées comme des entités essentielles, il est pris en compte plusieurs critères. Dans la rédaction actuelle du projet de loi, celui de la taille de l’effectif et du chiffre d’affaires annuel sont alternatifs. 

Or, selon la directive NIS2, qui s’appuie sur les seuils d’application de la recommandation 2003/361/CE, ce sont les critères du chiffre d’affaires annuel et du total du bilan annuel qui sont alternatifs, en sus de celui de la taille l’effectif.

C’est pourquoi, afin d’effectuer une transposition stricte, il est proposé d’aligner la rédaction du présent projet de loi sur la directive NIS2.

Cet amendement renforce la résilience des infrastructures critiques en imposant aux entités essentielles et importantes la réalisation d’un audit complet de cybersécurité tous les quatre ans, réalisé par un organisme qualifié.
L’ANSSI peut demander la transmission des résultats des audits et vérifier leur conformité. En cas de non-conformité, elle peut adresser un avis de mise en conformité avec un délai pour régulariser la situation, puis exiger un plan de correction et sa preuve de mise en œuvre si les déficiences persistent.
Cette disposition s’inspire de l’Allemagne, où les audits peuvent être exigés tous les trois ans, et de l’Italie, qui prévoit une procédure graduée de régularisation avant sanction, assurant ainsi un contrôle efficace et une correction progressive des vulnérabilités.

Cet amendement du groupe Socialistes et apparentés vise à prévoir que les relais désignés par l’autorité nationale de sécurité des systèmes d’information puissent, sous condition d’agrément, assurer la délivrance du label de confiance attestant de la mise en œuvre par les entités importantes et les entités essentielles mentionnées aux articles 8 et 9 des mesures de sécurité prévues par décret en application de la présente loi, et ayant pour objet de reconnaître le respect effectif des exigences techniques, organisationnelles et opérationnelles permettant d’assurer un niveau élevé de cybersécurité. 

Cette disposition pourra notamment permettre aux Campus Cyber régionaux et aux CSIRT territoriaux qui choisiront l’agrément, d’affirmer leur rôle de tiers de confiance dans les territoires, en complément de leurs missions existantes de sensibilisation, de soutien opérationnel et d’accompagnement à la mise en conformité des entités publiques et privées. Le label deviendra ainsi un outil structurant au service des écosystèmes régionaux de cybersécurité.

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS2 du 14 décembre 2022, qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’Etat.

Ainsi, dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Les nouvelles obligations imposées par ce projet de loi entraîneront des charges supplémentaires importantes pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées -, alors que dans le même temps, les déclarations récentes du Gouvernement appellent à un effort très important des collectivités locales au déficit public (chiffrés à 5,3 milliards hors CNRACL), tout comme les rapports de la Cour des Comptes qui invitent à contraindre davantage l’augmentation des dépenses de fonctionnement du bloc communal.

Imposer de nouvelles normes couteuses dans ce contexte relève d’une injonction contradictoire, quel qu’en soit le caractère légitime de l’intention.
 
Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communautés de communes et de leurs communes membres et du contexte financier actuel afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.
L'absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière Cyber peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Ces préoccupations touchent particulièrement les communautés de communes, situées en zone rurale, où l’accès à un certain niveau d’ingénierie est souvent difficile. Elles couvrent de vastes territoires peu denses et leur centralité repose généralement sur de petits bourgs dont les capacités techniques et les ressources financières sont limitées. Les structures de mutualisation numérique de plus grande envergure (GIP, syndicats mixtes, etc.) ne sont pas encore présents partout et leurs moyens sont variables.
 
C’est pourquoi et afin de tenir compte de ces situations et des ressources disponibles sur le territoire des communautés de communes tant en ingénierie que financière, le présent amendement propose :
 
1/ de retenir dans le périmètre des « Entités importantes » les communautés de communes dont la population totale regroupée est égale ou supérieure à 20 000 habitants. Cela concernerait 475 communautés de communes qui seraient alors soumises aux règles applicables aux « Entités importantes ».

2/ d’exclure les communautés de communes de moins de 20 000 habitants du périmètre des « entités importantes », considérant que leurs moyens sont trop insuffisants pour appliquer les exigences du texte et du projet de référentiel. Il s’agit ainsi de leur laisser le temps nécessaire pour mettre en place une nouvelle organisation de la cybersécurité, laquelle doit être adaptée à leur réalité. Cela concernerait 515 communautés de communes.

Cette mesure a également pour objectif de ne pas créer une pression supplémentaire dans la mise en œuvre des règles de cybersécurité alors que le marché est déjà sous tension (les communautés de communes entreront dans ce marché en même temps que de très nombreuses entreprises).

Pour autant, il est primordial d’assurer l’information et la formation des élus comme des agents, ainsi que de promouvoir la diffusion des bonnes pratiques dans ces collectivités comme dans les communes ; des enjeux que le projet de loi gagnerait à mieux intégrer (soutien et programme d’actions de l’Etat et de ses opérateurs).
Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS2 du 14 décembre 2022, qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’Etat.

Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au-delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. »

Les nouvelles obligations imposées par ce projet de loi entraîneront des charges supplémentaires importantes pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées -, alors que dans le même temps, les déclarations récentes du Gouvernement appellent à un effort très important des collectivités locales au déficit public (chiffrés à 5,3 milliards hors CNRACL), tout comme les rapports de la Cour des Comptes qui invitent à contraindre davantage l’augmentation des dépenses de fonctionnement du bloc communal.

Imposer de nouvelles normes couteuses dans ce contexte relève d’une injonction contradictoire, quel qu’en soit le caractère légitime de l’intention.
 
Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communautés de communes et de leurs communes membres et du contexte financier actuel afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée.

L'absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière Cyber peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension.

Ces préoccupations touchent particulièrement les communautés de communes, situées en zone rurale, où l’accès à un certain niveau d’ingénierie est souvent difficile. Elles couvrent de vastes territoires peu denses et leur centralité repose généralement sur de petits bourgs dont les capacités techniques et les ressources financières sont limitées. Les structures de mutualisation numérique de plus grande envergure (GIP, syndicats mixtes, etc.) ne sont pas encore présents partout et leurs moyens sont variables.
 
C’est pourquoi et afin de tenir compte de ces situations et des ressources disponibles sur le territoire des communautés de communes tant en ingénierie que financière, le présent amendement propose :
 
1/ de retenir dans le périmètre des « Entités importantes » les communautés de communes dont la population totale regroupée est égale ou supérieure à 30 000 habitants. Cela concernerait 211 communautés de communes qui seraient alors soumises aux règles applicables aux « Entités importantes ».

2/ d’exclure les communautés de communes de moins de 30 000 habitants du périmètre des « entités importantes », considérant que leurs moyens financiers et en ingénierie sont trop insuffisants pour appliquer les exigences du texte et du projet de référentiel dans le contexte actuel.

Il s’agit ainsi de leur laisser le temps nécessaire pour mettre en place de nouvelles règles de cybersécurité, lesquelles doivent être adaptées à leur réalité, comme pour les communes de moins de 30 000 habitants.

Cette mesure a également pour objectif de ne pas créer une pression supplémentaire dans la mise en œuvre des règles de cybersécurité alors que le marché est déjà sous tension (les communautés de communes entreront dans ce marché en même temps que de très nombreuses entreprises).

Pour autant, il est primordial d’assurer l’information et la formation des élus comme des agents, ainsi que de promouvoir la diffusion des bonnes pratiques dans ces collectivités comme dans les communes ; des enjeux que le projet de loi gagnerait à mieux intégrer (soutien et programme d’actions de l’Etat et de ses opérateurs).
Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités des collectivités.

Pourtant, comme l’indiquait M. le sénateur Cédric Perrin, Président de la commission des affaires étrangères, de la défense et des forces armées, dans l’exposé des motifs de l’amendement qu’il portait sur ce sujet dans le cadre de la « PPL Narcotrafic » : « Les réseaux de narcotrafiquants, les groupes terroristes et, au-delà, toutes les organisations criminelles tirent profit de la généralisation des messageries chiffrées et des difficultés pour les services de renseignement à accéder aux informations qui sont échangées sur ces plateformes. »

S’il est nécessaire que des garanties de sécurité soient données aux utilisateurs et aux messageries cryptées, il est également nécessaire que l’État puisse accéder aux contenus illicites et dangereux pour la sécurité publique. Ceci permet une lutte efficace contre le terrorisme, l'ingérence, la pédocriminalité ou encore la criminalité organisée.

Aussi, le présent amendement vise à supprimer l’article 16 bis.

Des dispositions équilibrées doivent être trouvées pour garantir à la fois la sécurité des messageries cryptées et l’action de l’État.

Cet article expose les définitions sur lesquelles reposeront la transposition de la directive (UE) 2022/2557 sur la résilience des entités critiques (REC). Il s’agit à cet alinéa de définir la notion d’infrastructure critique comme un équipement, un réseau ou un système dont une perturbation pourrait mettre gravement en cause la santé de la population ou l’environnement, ou nécessaire à une activité vitale. Or il n’est pas explicitement, ni dans le premier, ni dans le deuxième cas, fait référence à la protection des institutions, fondement de notre société démocratique et de facto cibles d’ingérences, de tentatives de déstabilisation ; il est ainsi proposé d’insérer cette notion dans la définition.

Le présent amendement vise à compléter la liste des définitions figurant à l’article 1er du projet de loi en y intégrant celle de la souveraineté numérique, notion centrale du texte.

Alors que le terme de souveraineté numérique irrigue l’ensemble des travaux parlementaires et des politiques publiques en matière de cybersécurité et de résilience numérique, aucune définition légale n’en est à ce jour donnée. Or, pour assurer la cohérence de la stratégie nationale et sécuriser son application juridique, il est essentiel de cadrer ce concept.

La définition proposée s’inspire de celle avancée par M. Thomas Courbe, alors directeur général des entreprises, dans le rapport parlementaire « Bâtir et promouvoir une souveraineté numérique nationale et européenne »  de juillet 2021. Elle intègre également les enjeux contemporains identifiés dans de nombreux rapports, notamment ceux du SGDSN, de la Cour des comptes, ou encore de la commission d’enquête sénatoriale sur la commande publique et la souveraineté économique.

Elle insiste sur les trois piliers de la souveraineté numérique la capacité normative, pour réguler l’espace numérique, l’autonomie technologique, indispensable face à la domination des grandes puissances extra-européennes (États-Unis, Chine), la protection contre les ingérences, notamment par le biais de l’espionnage, de l’extraterritorialité juridique ou de la dépendance à des technologies critiques.

L’obligation initialement prévue par le projet de loi, imposant aux opérateurs d’importance vitale d’analyser les dépendances et vulnérabilités de leurs chaînes de sous-traitance, constituait un progrès majeur en matière de sécurité nationale et de résilience des infrastructures critiques. Pourtant, cette disposition a été supprimée lors de l’examen au Sénat, affaiblissant le niveau d’exigence prévu par le texte. Or, il est aujourd’hui largement reconnu — et confirmé par les retours des services de renseignement et de cybersécurité — que les chaînes de sous-traitance constituent l’un des principaux vecteurs de risque, notamment dans les domaines cyber, logistique et technologique. Les cyberattaques récentes démontrent que les attaquants ciblent de plus en plus les fournisseurs de second ou troisième rang, souvent moins protégés, pour compromettre l’ensemble de l’écosystème.

Dans le domaine du numérique, l’exemple de l’attaque SolarWinds, qui a permis à un acteur russe d’infiltrer des milliers d’organisations via un fournisseur logiciel, ou encore celui du ransomware NotPetya propagé par la compromission d’un prestataire comptable ukrainien, illustrent le risque systémique que peuvent représenter des dépendances mal maîtrisées. L’ANSSI, dans son panorama 2024, évoque l’exemple de la compromission d’un sous-traitant informatique étranger intervenant au profit de plusieurs grandes entreprises françaises, permettant à des attaquants de pénétrer les SI de ces dernières, au moyen d’accès légitimes.  La suppression de cette obligation va donc à rebours d’une approche rigoureuse de la résilience des activités d’importance vitale. Il s’agit ici de mettre en place une exigence de cartographie et d’évaluation des risques liés aux maillons essentiels de la chaîne de valeur. 

En rétablissant cette obligation, le présent amendement contribue directement aux objectifs de la loi : renforcer la résilience nationale face aux menaces complexes et multiformes qui pèsent sur nos infrastructures critiques.

Cet amendement vise à rendre obligatoire la consultation de l’autorité administrative par les OIV sur le point d’accorder une autorisation d’accès physique ou à distance à ses points d’importance vitale. Etant donné l’importance stratégique de ces points, il semble adapté d’y renforcer les contrôles

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser la liste des données devant être collectées, en reprenant a minima la liste des informations mentionnées à l’article 28.2 de la Directive NIS 2 et en y ajoutant les « adresses postales » des titulaires et points de contact du nom de domaine.

Les États membres peuvent compléter le texte de la directive à l’occasion de sa transposition en droit national à la condition expresse que l’ajout soit conforme à l’objectif poursuivi par ladite directive. En tout état de cause, la liste des données collectées mentionnées à l’article 28 n’est pas limitative (Cf. art.28.2, « Ces informations comprennent notamment les éléments suivants »). Et de fait, la mention explicite de la collecte de l’adresse postale du titulaire ou du point de contact est absolument indispensable dès lors qu’elle constitue le seul moyen d’adresser officiellement une assignation pour agir en justice.

Si cet amendement ne devait pas être adopté, il serait crucial que le décret d’application fasse état de la collecte de l’adresse postale des titulaires et points de contact pour donner une effectivité à la loi.

 Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

Le projet de loi exclut les administrations de l’État et ses établissements publics administratifs, les collectivités territoriales, leurs groupements et leurs établissements publics administratifs du champ des sanctions administratives applicables aux opérateurs d’importance vitale. 
 
Le Conseil d’État estime qu’une telle différence de traitement avec les opérateurs privés n’est pas justifiée et méconnait à la fois le principe d’égalité et les objectifs de la directive, qui prévoit à son article 22 que les États membres : « déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions » qui « doivent être effectives, proportionnées et dissuasives ».
 
De plus, le Conseil d’État a assez justement noté que « certaines activités d’importances vitales, telles que celles relatives à la fourniture d’eau potable, peuvent être assurées soit par des opérateurs privés dans le cadre d’une concession, soit en régie par des collectivités. »

Cet amendement vise à rendre obligatoire la consultation de l’autorité administrative par les OIV sur le point de recruter une personne à un poste pour l’exercice duquel il aura accès aux points d’importance vitale. Etant donné l’importance stratégique de ces points, il semble adapté d’y renforcer les contrôles.

Amendement d’appel

Le présent amendement vise à supprimer les dispositions relatives aux entités critiques d’importance européenne particulière, introduites par les articles L.1332-8 et L.1332-9 du code de la défense.

Ces articles prévoient notamment la possibilité pour la Commission européenne d’intervenir, sous certaines conditions, auprès d’opérateurs d’importance vitale (OIV) français identifiés comme fournissant des services essentiels au fonctionnement du marché intérieur de l’Union.

Cette disposition soulève une atteinte manifeste à la souveraineté nationale. Elle ouvre la voie à l’ingérence d’une autorité supranationale dans l’identification, l’évaluation ou l’accompagnement de structures françaises stratégiques, relevant de compétences souveraines essentielles telles que la sécurité des infrastructures critiques.

Même encadrée par l’accord préalable de l’État membre, cette intervention consacre une forme de mise sous surveillance européenne de certaines entités vitales, dont la protection doit demeurer exclusivement de la compétence des autorités nationales. Il n'appartient pas à la Commission de s’immiscer, directement ou indirectement, dans la gouvernance ou l’évaluation de nos OIV, a fortiori dans des secteurs aussi sensibles que la défense, l’énergie ou les communications – car l’exonération prévue pour ces secteurs n’est pas obligatoire, dans la rédaction actuelle.

Le présent amendement propose d’ajouter explicitement le secteur de la santé à la liste des domaines pouvant bénéficier d’une dérogation aux dispositions applicables aux entités critiques d’importance européenne particulière (ECIEP), prévues aux articles L.1332-8 et L.1332-9 du code de la défense.

En l’état, ce dispositif permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d’opérateurs d’importance vitale (OIV) français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Ce classement ouvre en effet la voie à une forme de surveillance technico-administrative par une autorité extérieure à l’État, sur des structures relevant pourtant d’enjeux de sécurité et de résilience nationale. En permettant à la Commission d’intervenir le texte introduit un risque de perte de maîtrise stratégique.

Le secteur de la santé, au même titre que la défense ou la sécurité publique, doit être exclu de ce périmètre. Il constitue un levier essentiel de souveraineté : maîtrise des systèmes hospitaliers, contrôle des données sensibles, réponse aux crises sanitaires, autonomie dans la production de médicaments ou de matériel médical. Cet amendement de repli vise ainsi à garantir que la France conserve l’entière maîtrise de la gouvernance, de la protection et du pilotage de ses infrastructures critiques dans le domaine de la santé, en les excluant du champ des ECIEP. Il s’inscrit dans une démarche de défense de la souveraineté nationale face à des mécanismes d’influence de la Commission européenne pouvant se transformer en instruments de pression ou de contrôle à long terme.

Le présent amendement propose d’ajouter explicitement le secteur du numérique à la liste des domaines pouvant bénéficier d’une dérogation aux dispositions applicables aux entités critiques d’importance européenne particulière (ECIEP), prévues aux articles L.1332-8 et L.1332-9 du code de la défense.

En l’état, ce dispositif permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d’OIV français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Ce classement ouvre en effet la voie à une forme de surveillance technico-administrative par une autorité extérieure à l’État, sur des structures relevant pourtant d’enjeux de sécurité et de résilience. En permettant à la Commission d’intervenir, même à des fins consultatives, le texte introduit un risque de perte de maîtrise stratégique. 

Le secteur du numérique, tout comme la défense ou la sécurité publique, doit être exclu de ce périmètre. Il est devenu une composante essentielle de la souveraineté nationale, tant il conditionne le fonctionnement de l’ensemble des institutions, des entreprises et des services publics. L’infrastructure des réseaux, la cybersécurité, le traitement et le stockage des données sensibles, la maîtrise des technologies critiques ou encore le développement d’une intelligence artificielle souveraine sont des enjeux de sécurité et d’indépendance nationale. L’amendement vise ainsi à garantir que la France conserve l’entière maîtrise de la gouvernance, de la protection et du pilotage de ses infrastructures critiques dans le domaine numérique, en les excluant du champ des ECIEP. Il s’inscrit dans une démarche de défense de la souveraineté nationale face à des mécanismes de normalisation ou d’influence européens.

Le dispositif prévu par le présent article permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d'OIV français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Ce classement ouvre en effet la voie à une forme de surveillance technico-administrative par une autorité extérieure à l’État, sur des structures relevant pourtant d’enjeux de sécurité, de résilience nationale et de continuité des services essentiels. En permettant à la Commission d’intervenir, même à des fins consultatives, le texte introduit un risque de perte de maîtrise stratégique. Les secteurs les plus sensibles tels que le nucléaire, la sécurité publique ou la défense doivent en être exclus. Tel est le sens de cet amendement.

Le dispositif prévu par cet article permet à la Commission européenne de diligenter des missions d’évaluation ou de conseil auprès d’opérateurs d’importance vitale (OIV) français classés ECIEP, sous couvert de coopération et d’harmonisation à l’échelle européenne. Si cette intervention est formellement soumise à l’accord préalable de l’État membre, elle n’en constitue pas moins une brèche significative dans le principe fondamental de souveraineté nationale. Il est donc proposé de supprimer ces nouveaux pouvoirs confiés à la Commission européenne.

Le présent amendement vise à instaurer un principe de priorité européenne dans le traitement, le recueil et la conservation des données issues de drones utilisés par les services de l’Etat (police, gendarmerie…)dans le cadre de la protection des opérateurs d’importance vitale (OIV).

Ces drones, employés à des fins de surveillance ou de sécurisation de sites stratégiques, sont susceptibles de capter, enregistrer et transmettre des images ou des informations particulièrement sensibles, tant sur le plan technologique que sécuritaire. Or, les données qu’ils produisent peuvent relever, directement ou indirectement, de la défense nationale, de la sécurité publique ou des intérêts fondamentaux de la Nation.

Dès lors, il est indispensable d’encadrer strictement le traitement de ces données, notamment en veillant à ce qu’elles ne soient pas confiées à des prestataires exposés à des législations extraterritoriales ou à des logiques de puissance étrangères potentiellement hostiles. Certaines entreprises non-européennes, bien que compétitives, peuvent en effet être soumises à des obligations de transmission d’informations à leur État d’origine, comme le permet le Cloud Act aux États-Unis ou des dispositifs comparables dans d’autres pays.

Prioriser les entreprises européennes permettrait de réduire la dépendance technologique de la France à l’égard d’acteurs non-européens dans des domaines sensibles, de favoriser l’émergence et la consolidation d’un tissu industriel européen, et de garantir une meilleure maîtrise des risques de sécurité nationale, en limitant l’exposition à des prestataires soumis à des puissances étrangères

À l’heure où la menace pesant sur les infrastructures critiques se renforce, il est impératif que les OIV, ainsi que l’État, puissent s’appuyer sur des industriels relevant de l’espace européen, soumis aux mêmes exigences de sécurité juridique, politique et technique.

Actuellement, de nombreux marchés stratégiques échappent à tout critère de préférence géographique, exposant les systèmes vitaux de la Nation à des dépendances à l’égard d’acteurs extérieurs à l’Union européenne. Certaines de ces entreprises, peuvent être soumises à des législations extraterritoriales (comme le Cloud Act américain dans le domaine numérique), ou à des logiques de puissance étrangères incompatibles avec les intérêts fondamentaux de notre pays.

Prioriser les entreprises européennes permettrait de réduire la dépendance technologique de la France à l’égard d’acteurs non-européens dans des domaines sensibles, de favoriser l’émergence et la consolidation d’un tissu industriel européen, et de garantir une meilleure maîtrise des risques de sécurité nationale, en limitant l’exposition à des prestataires soumis à des puissances étrangères.

Cet amendement vise donc à instaurer un principe de priorité européenne pour les marchés publics nécessaires à la conception, la fabrication, la modification, la maintenance ou le retrait des structures, systèmes, matériels nécessaires à la protection des infrastructures critiques de l’opérateur.

Le présent amendement vise à améliorer sensiblement le degré de préparation des collectivités territoriales face à la menace cyber en intégrant explicitement le risque de cyberattaque au sein du Plan Communal de Sauvegarde (PCS).

Alors que les collectivités jouent un rôle essentiel dans la continuité des services publics et la gestion des crises locales, elles sont devenues ces dernières années des cibles privilégiées des cybercriminels et d'acteurs étatiques hostiles. Selon l’ANSSI, plus de 350 collectivités ont été victimes d'une cyberattaque en 2023, dont une majorité de communes de taille moyenne, souvent démunies en matière de protection informatique.

Les exemples concrets abondent. En septembre 2024, la mairie de Caen a été victime d'une attaque par rançongiciel paralysant plusieurs de ses services administratifs pendant plusieurs jours. À la même période, la ville de Chaville (Hauts-de-Seine) a vu son système d'information compromis, entraînant la perte d'accès à des documents sensibles et des données personnelles. En 2022, la ville de La Rochelle avait également subi une cyberattaque majeure, impactant la gestion de ses services numériques.

Ces incidents démontrent la vulnérabilité des collectivités et l'impact potentiel de ces attaques : paralysie administrative, interruption des services aux usagers, atteinte à la confidentialité des données des citoyens, voire mise en danger de la sécurité des populations en cas d'atteinte aux systèmes d'alerte ou de gestion de crise.

Or, le Plan Communal de Sauvegarde, prévu par l'article L.731-3 du Code de la sécurité intérieure, constitue l'outil de référence permettant d'organiser la réponse opérationnelle de la commune en cas d'événement grave : catastrophes naturelles, risques technologiques, sanitaires… Il apparaît aujourd'hui indispensable que les risques cyber soient explicitement intégrés à ce dispositif, au même titre que les autres menaces susceptibles de désorganiser la vie locale. Le présent amendement vise donc à améliorer sensiblement le degré de préparation des collectivités en ajoutant le risque cyber au sein du plan communal de sauvegarde. Cet amendement a été travaillé avec Hexatrust.

Le rapport public thématique de la Cour des comptes sur la cybersécurité publié en juin 2025 a mis en lumière la dispersion et le cloisonnement de la production d’études, de rapports et d’analyses portant sur la menace cyber en France. Ces travaux, souvent réalisés par différents ministères, opérateurs publics, agences et cabinets privés dans le cadre de missions financées sur fonds publics, ne font l’objet d’aucune consolidation coordonnée, ce qui nuit à la lisibilité globale de la menace.

Afin de remédier à cette lacune, la Cour des comptes recommande de créer un véritable observatoire de la menace cyber au sein de l’ANSSI, dont la mission serait de centraliser ces informations, d’en dégager des tendances utiles à la décision publique, et de contribuer à l’élaboration d’une stratégie fondée sur une connaissance complète et actualisée des vulnérabilités et des acteurs malveillants.

Le présent amendement vise donc à inscrire dans la loi cette mission essentielle de centralisation des données et analyses cyber au sein de l’ANSSI. Il s’agit ainsi de doter la puissance publique d’un pilotage stratégique fondé sur une connaissance consolidée, actualisée et partagée des menaces, utile à l’ensemble des ministères, des collectivités territoriales, des OIV, des entités NIS2 et du tissu industriel.

.

Cet amendement vise à transposer fidèlement la directive NIS2 en mettant en cohérence la dénomination des vulnérabilités.

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à élaborer une stratégie de cyber nationale. Il ressort des auditions et de plusieurs rapports récents, notamment de la cour des comptes, qu’une déclinaison par ministère de la stratégie serait nécessaire.

En effet, chaque ministère fait face à des risques spécifiques, à des systèmes d'information hétérogènes, à des niveaux de maturité cyber très variables, et à des obligations propres liées à ses missions. Plusieurs ministères ont commencé à formaliser leur propre doctrine cyber, tandis que d’autres peinent encore à structurer leurs dispositifs. Cette situation nuit à la cohérence d’ensemble et freine l’élévation du niveau global de sécurité au sein de l’État.

Le présent amendement vise donc à prévoir que la stratégie nationale fasse l’objet de déclinaisons sectorielles ou ministérielles obligatoires. Ces déclinaisons permettront une meilleure appropriation opérationnelle par chaque administration.

Cet amendement vise à associer pleinement les acteurs de terrain à la définition et à la mise en œuvre de la stratégie nationale en matière de cybersécurité, en intégrant dans le cadre de gouvernance les associations d’élus (comme l’AMF, l’ADF ou Régions de France) ainsi que les représentants des professionnels du secteur (telles que l’Alliance pour la Confiance Numérique, Hexatrust, le CESIN ou le Clusif). La cybersécurité est une responsabilité partagée. Elle repose non seulement sur des arbitrages stratégiques nationaux, mais aussi sur la mobilisation des acteurs locaux et des compétences industrielles réparties sur le territoire. Or, les collectivités territoriales sont souvent la cible de cyberattaques — près d’un incident sur deux les concerne selon l’ANSSI — et les TPE-PME spécialisées dans la cybersécurité sont en première ligne pour les accompagner. Intégrer ces parties prenantes dans la gouvernance permettra d’ancrer la stratégie nationale dans les réalités opérationnelles et de renforcer l’adhésion à sa mise en œuvre, tout en favorisant l’émergence d’un écosystème français et européen résilient.

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à élaborer une stratégie de cyber nationale. Cette dernière doit notamment permettre une approche intégrée des enjeux de cybersécurité et de souveraineté numérique.

La commande publique est l’un des principaux leviers de cette souveraineté. En 2022, la commande publique représentait 10,4 % du PIB national, soit environ 187 milliards d’euros. Elle constitue donc un levier stratégique massif pour orienter les choix technologiques, favoriser l’émergence de champions français et européens, et limiter les dépendances critiques à des acteurs extra-européens. Pourtant, comme l’a montré le rapport d’information sénatorial de juillet 2025 sur la commande publique et la souveraineté, ce levier reste sous-utilisé : les critères de sécurité ou de souveraineté sont peu mobilisés dans les appels d’offres, notamment dans le secteur numérique.

Ce même rapport met en lumière plusieurs failles préoccupantes, notamment l’attribution de marchés sensibles à des entreprises soumises à des régimes juridiques extraterritoriaux (comme le Cloud Act américain), ou l’incapacité de nombreuses entités publiques à identifier les solutions souveraines disponibles. Il recommande explicitement d'intégrer des considérations de souveraineté dans la stratégie cyber de l’État, et de former les acheteurs publics à ces enjeux.

En conséquence, le présent amendement propose d’intégrer explicitement la commande publique parmi les dimensions structurantes devant figurer dans la stratégie nationale de cybersécurité, afin qu’elle soit pleinement mobilisée au service de la résilience, de la sécurité et de l’indépendance technologique de la France.

Le présent projet de loi a été enrichi au Sénat d’un nouvel article obligeant le gouvernement à élaborer une stratégie de cyber nationale. cette dernière doit notamment permettre une approche intégrée des enjeux de cybersécurité et de souveraineté numérique. Toutefois, l’ambition stratégique affichée gagnerait à être explicitement adossée à un soutien clair et volontariste aux acteurs industriels français et européens du numérique. En effet, notre cyberrésilience ne peut durablement reposer sur des solutions dépendantes de technologies ou de prestataires soumis à des législations extraterritoriales, ou à des intérêts étrangers potentiellement divergents de ceux de la Nation. Dans ce contexte, il est proposé de préciser que la stratégie nationale de cybersécurité devra intégrer un axe prioritaire de soutien, de structuration et de montée en puissance de l’offre française et européenne.

La stratégie nationale en matière de cybersécurité ne saurait faire l’impasse sur le soutien à la recherche, pourtant absente de la rédaction actuelle de l’article 5 bis. Dans un contexte d’innovation accélérée, marqué par l’émergence de menaces nouvelles (IA générative, cryptographie post-quantique, deepfakes, etc.), la recherche fondamentale et appliquée constitue un pilier de notre souveraineté numérique. Il est donc indispensable que la stratégie nationale intègre les modalités de soutien à la recherche, en lien avec les laboratoires publics, les universités, les écoles d’ingénieurs, ainsi que les start-ups deeptech du secteur.

Les entités essentielles ou importantes au titre de la directive NIS2 représentent les cibles les plus sensibles pour des puissances étrangères ou des groupes malveillants. Or, une grande partie de leurs systèmes critiques repose aujourd’hui sur des technologies extra-européennes, souvent soumises à des législations extraterritoriales incompatibles avec les exigences de sécurité nationale.

Le présent amendement vise donc à renforcer le contrôle parlementaire et la transparence en instaurant l’obligation, pour le Gouvernement, de remettre chaque année un rapport au Parlement sur le niveau d’exposition des entités régulées à ces dépendances critiques. Ce rapport devra également documenter les efforts de relocalisation industrielle engagés, les partenariats stratégiques, et l’évolution du tissu industriel national et européen dans les secteurs clés de la cybersécurité, du numérique et des infrastructures critiques. Un tel suivi permettra d’évaluer l’efficacité des politiques publiques de souveraineté, d’identifier les failles persistantes, et d’orienter les futures actions législatives ou budgétaires de soutien à l’écosystème industriel européen.

Le présent projet de loi prévoit une mise à jour tous les deux ans des listes des entités essentielles et importantes. Cet amendement vise à réduire le délai afin qu’il devienne annuel. Un rythme annuel de mise à jour permettrait d’éviter les angles morts liés à des activités émergentes ou à la transformation rapide des opérateurs, d’assurer une couverture plus fine et plus réactive du périmètre des entités assujetties, et surtout de coordonner plus efficacement l'application de la directive NIS 2, qui demande une évaluation régulière de la criticité.

Le projet de loi prévoit un modèle déclaratif, où les entités concernées s’auto-identifient auprès de l’autorité nationale compétente, en l’occurrence l’ANSSI. Cette modalité vise à responsabiliser les opérateurs tout en facilitant l’identification à grande échelle des entités assujetties (plus de 15 000 en France selon les estimations).

Cependant, rien dans le texte n’oblige actuellement l’administration à notifier officiellement aux entités concernées la bonne prise en compte de leur déclaration et leur statut effectif d’entité essentielle ou importante (EE ou EI). Cette absence de retour d’information peut générer de l’incertitude juridique et un flou opérationnel, notamment pour les entités intermédiaires ou nouvellement créées.

Le présent amendement vise donc à prévoir une notification formelle de l’enregistrement des entités déclarées, ce qui permettrait de sécuriser la situation juridique des opérateurs (preuve de l’assujettissement), déclencher les délais de mise en conformité à partir d’un point de départ clair, améliorer le suivi par les autorités compétentes. Cette mesure renforce la transparence administrative et la qualité du processus déclaratif, sans alourdir les procédures pour l’État ni pour les entités déclarantes.

Le présent amendement vise à intégrer explicitement un objectif de souveraineté technologique et d’autonomie stratégique dans la mise en œuvre des mesures de conformité à la directive NIS 2.

Avec près de 15 000 entités françaises nouvellement assujetties à cette directive, la transposition de NIS 2 va générer un marché structurant dans le domaine de la cybersécurité. Il est donc essentiel de veiller à ce que ce marché ne soit pas capté de manière massive par des acteurs non-européens, au risque d’accroître notre dépendance technologique et d’affaiblir notre autonomie stratégique.

Le recours à des solutions ou services proposés par des entreprises soumises à des législations extraterritoriales (comme le Cloud Act américain) pourrait, dans certains cas, compromettre la sécurité des systèmes d’information sensibles, exposer des données critiques à des risques d’ingérence ou d’espionnage, et aller à l’encontre des intérêts fondamentaux de la Nation.

Cet amendement vise donc à faire de la souveraineté un critère structurant de la politique de mise en conformité à NIS 2, en incitant les entités assujetties à privilégier des solutions françaises ou européennes, offrant un niveau de confiance et de contrôle conforme aux exigences de sécurité nationale. Cet amendement a été travaillé avec Jizo AI.

L’extraterritorialité de certaines législations étrangères constitue aujourd’hui un risque majeur pour la souveraineté numérique et la sécurité des systèmes d’information nationaux. De nombreuses lois, notamment celles adoptées par les États-Unis (comme le Cloud Act, le Foreign Intelligence Surveillance Act ou encore le Patriot Act), permettent aux autorités de ces pays d’accéder à des données hébergées à l’étranger dès lors que l’entreprise qui les détient est de droit national, indépendamment du lieu d’hébergement ou du traitement des données.

Cette situation crée une zone de vulnérabilité juridique pour les entités essentielles et importantes définies par la directive NIS 2. Ces structures, soumises à des exigences de cybersécurité accrues, sont parfois tentées de recourir à des solutions étrangères sans mesurer pleinement les risques induits par le cadre juridique applicable à leurs prestataires.

Il est donc impératif que les entités régulées prennent en compte l’extraterritorialité des droits auxquels sont soumis leurs prestataires lorsqu’elles choisissent des fournisseurs de services de cybersécurité, d’hébergement, de cloud ou de traitement de données. Ne pas le faire expose à des risques concrets d’ingérence, d’espionnage économique, voire de rupture de service en cas de conflit géopolitique ou de contentieux extrajudiciaire.

L’objectif de cet amendement est d’introduire une référence explicite à l’extraterritorialité dans le cadre des obligations de cybersécurité des entités assujetties, afin de renforcer la vigilance sur ce point et d’inciter au recours à des solutions européennes ou françaises offrant un haut niveau de confiance et de conformité avec les exigences de sécurité nationale.

Le présent article prévoit que le référentiel d’exigences techniques et organisationnelles pourra imposer le recours à des produits, services ou processus certifiés au titre du règlement (UE) 2019/881, dit Cybersecurity Act. Cette faculté vise à renforcer le niveau de sécurité des entités assujetties à la directive NIS 2, en favorisant l’usage de solutions certifiées selon un standard européen reconnu. Cependant, une incertitude demeure quant à l’intégration, dans ces schémas de certification – notamment le futur EUCS - de critères relatifs à l’immunité des fournisseurs aux droits extraterritoriaux. Plusieurs versions préliminaires du schéma ont montré des hésitations sur ce point crucial, sous la pression de certains États membres et d’acteurs économiques favorables à une approche plus souple. Or, l’absence de garanties sur l’immunité aux législations extraterritoriales (comme le Cloud Act américain) affaiblirait l’ambition même du dispositif. Elle exposerait potentiellement les données stratégiques d’entités essentielles ou importantes à des ingérences étrangères. Dans ce contexte, le présent amendement, reprenant la définition du Secnumcloud, vise à introduire explicitement un critère d’établissement en Europe pour les services certifiés que le gouvernement peut prescrire pour les entités régulées par Nis 2.

Le présent article prévoit que l’ANSSI pourra prescrire la réalisation d’audits à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les OIv.

Toutefois, la nature hautement sensible des contrôles en question implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères.

Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient français.

Amendement de repli – Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra prescrire la réalisation d’audits à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les organismes d’importance vitales (OIV). Toutefois, la nature hautement sensible des contrôles en question implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères. Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient exclusivement européens.

 Le présent article vise à protéger les communications électroniques en interdisant l’intégration de dispositifs affaiblissant la sécurité des systèmes de chiffrement. Toutefois, l’audition d’acteur du secteur a mis en lumière que le terme « chiffrement » est trop restrictif, car il ne renvoie qu’à une seule dimension de la sécurité numérique : la confidentialité.

Or, la cybersécurité repose sur un socle plus large, qui inclut non seulement la confidentialité, mais également l’intégrité des données, leur authentification et la non-répudiation des échanges. Ces différentes fonctions relèvent toutes de la cryptographie, terme plus englobant et mieux reconnu dans les textes juridiques français et européens.

Ainsi, le code de la défense (article L. 2321‑2) et l’article 29 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique définissent les « moyens de cryptologie » comme l’ensemble des matériels et logiciels permettant d’assurer la confidentialité, l’authentification et le contrôle d’intégrité des données. De même, au niveau européen, le règlement eIDAS (n° 910/2014) recourt explicitement au terme cryptographie pour encadrer les dispositifs de signature électronique et les services de confiance.

En substituant le terme « cryptographie » à celui de « chiffrement », le présent amendement garantit une protection complète des communications électroniques contre toute tentative d’affaiblissement des mécanismes de sécurité. Il aligne par ailleurs le texte sur la terminologie en vigueur dans le droit français et européen, et offre aux autorités de contrôle et aux juridictions une base plus claire et robuste pour prévenir et sanctionner de telles pratiques.

Cet amendement vise à renforcer la réactivité de l’ANSSI lorsqu’une entité essentielle ou importante signale un incident de sécurité. L’alinéa 11 prévoit actuellement que l’ANSSI accuse réception de la notification de l’incident si possible dans les 24h. Cette formulation est trop permissive. Dans le contexte d’une cyberattaque, chaque heure compte. Il est donc essentiel que l’acteur attaqué bénéficie rapidement d’un retour, ne serait-ce qu’une simple confirmation de réception, afin de déclencher au plus vite les mesures d’assistance et de coordination.

Le présent article encadre les échanges d’informations entre les entités régulées et les autorités compétentes, notamment dans le cadre du contrôle, de l’accompagnement ou de la réponse aux incidents. Toutefois, la rédaction actuelle mentionne la nécessité de préserver les « intérêts commerciaux des entités concernées », une formule imprécise qui peut être source de confusion juridique.

Sans remettre en cause la légitime protection du secret des affaires ou des droits de propriété intellectuelle, il apparaît plus rigoureux de s’appuyer sur des notions déjà reconnues et encadrées par le droit, telles que les « secrets protégés par la loi » (secret des affaires, secret industriel ou commercial, secret de la défense nationale, etc.).

C’est ce que cherche à faire cet amendement ; cette clarification est par ailleurs conforme aux observations formulées par la CNIL lors de son audition devant la commission spéciale.

Le présent article encadre les échanges d’informations entre les entités régulées et les autorités compétentes, notamment dans le cadre du contrôle, de l’accompagnement ou de la réponse aux incidents. Ces échanges auront lieu entre l’ANSSI et divers organismes comme la CNIL, la Commission européenne ou encore les CSIRT. Il convient ici de s’assurer que ces informations, ces données sensibles souvent couvertes par un secret protégé par la loi, soient échangées dans un cadre sécurisé et souverain, immunisé contre les lois extraterritoriales extra européennes.

Cet amendement vise à garantir le maintien des exigences en matière de sécurité et de confiance des systèmes et prestataires des détections des incidents de sécurité des Opérateurs d’Importance Vitale au niveau équivalent à celui en vigueur. En effet, depuis la loi de programmation militaire de 2013, les OIV doivent avoir recours à des systèmes et prestataires de service de détection des incidents de sécurité et les prestataires qualifiés par l’ANSSI. Ces systèmes doivent par ailleurs être exploités sur le sol national. Actuellement, l’ANSSI délivre aux produits et prestataires qualifiés un Visa de sécurité, accessible après une procédure de qualification particulièrement exigeante. Or à l’article 16 du projet de loi, ces dispositions sont remplacées par des exigences spécifiques qui ne concernent plus uniquement les systèmes de détection mais plus généralement tout dispositif matériel ou logiciel ou prestataire de service dont le recours peut être prescrit aux OIV. Surtout, les critères retenus ne sont pas aussi exigeants que le dispositif en vigueur : il peut s’agir de dispositifs et prestataires certifiés ou agréés (et non plus uniquement qualifiés) et ces derniers ne doivent plus obligatoirement être exploités sur le sol national. Pour des raisons de sécurité nationale, nous proposons donc de maintenir les exigences pour les systèmes et prestataires de détection des incidents de sécurité des OIV en reprenant la rédaction actuellement en vigueur à l’article L1332‑6-1 (article qui sera supprimé par les aliénas 55 et suivants de l’article premier du présent projet de loi). Cet amendement a été travaillé avec Sesame IT.

Cet amendement vise à prendre en compte le rôle stratégique des systèmes de détection des menaces en permettant, comme pour les OIV, la définition d’exigences spécifiques pour ces services et solutions. En effet, contrairement à la loi française qui prévoit un traitement spécifique pour les solutions de détection eu égard à leur caractère stratégique, NIS 2 ne procède pas à une hiérarchie explicite en fonction des technologies utilisées. Pourtant, les obligations strictes qu’elle impose en matière de notification des incidents rend en pratique obligatoire l’utilisation de systèmes de détection des menaces performants.

Dans ce contexte, cet amendement prévoit la définition par l’État d’exigences spécifiques pour les systèmes de détection des menaces. Celles-ci pourraient être mises en place via la qualification déjà existante de l’ANSSI pour les OIV (Visa de Sécurité) ou un référencement par une fédération professionnelle représentative du secteur. Cet amendement a été travaillé avec Jizo AI.

Les activités d'importance vitale sont celles essentielles au potentiel économique et militaire ainsi que la survie de la nation. Le critère clé d’identification d’un opérateur est celui de la non redondance : en cas de défaillance, l’absence des activités de l’opérateur menacerait la continuité de la vie de la nation. A ce titre, la préservation de l'environnement devrait être intégrée à la définition d'une activité d'importance vitale pour souligner son caractère essentiel pour la survie de la nation. 

Le ministère de la Transition écologique, de la Biodiversité, de la Forêt, de la Mer et de la Pêche étant déjà responsable d'environ 50% des opérateurs dans le dispositif actuel, le surcroît du nombre d'opérateurs induit par cet ajout devrait être modéré. 

La définition d'activité d'importance vitale qui en résulte est conforme à celle de service essentiel utilisée en droit européen dans la directive REC. En effet, le point 5 de l'article 2 de la directive dispose qu'un service essentiel est crucial pour le "maintien de l'environnement". Par ailleurs, la plupart des onze secteurs d'application de la directive REC, précisés en annexe, sont directement liés à la préservation de l'environnement (énergie, transports, eau potable, denrées alimentaires).   

Cet amendement propose d'ajouter à la définition d'infrastructure critique la notion d'accès à l'information, pour souligner l'importance vitale pour la société des médias, de l'audiovisuel et de la presse.  

La libre communication de l'information est un droit fondamental, garanti par l'article 11 de la déclaration des droits de 1789. La protection du pluralisme de la presse et de l'audiovisuel, notamment public, sont nécessaires au bon fonctionnement de la démocratie et de notre société. Dès lors, doivent être considérées comme critiques les infrastructures nécessaires à la diffusion de l'information aux citoyens. Il s'agit ainsi d'assurer la résilience des réseaux indispensables à la transmission de l'information. 

Cet ajout est conforme à la directive REC qui dispose qu'un service essentiel est crucial pour le "maintien de fonctions sociétales ou d’activités économiques vitales". Or, sont considérés comme assujettis à la directive REC, au secteur 8, les infrastructures numériques suivantes : (i) les réseaux de diffusion de contenu (point 32 de l'article 6 de la directive NIS 2 ) et (ii) les réseaux de communications électroniques public (point 8 de l'article 2 de la directive 2018/1972). 

Cet amendement vise à préciser la définition d’agent agissant pour le compte des bureaux d’enregistrement afin de clarifier les agents soumis au présent projet de loi. La définition vise notamment à dresser une liste non exhaustive de ces agents qui inclurait les revendeurs de noms de domaine ainsi que les fournisseurs de services d’anonymisation ou d’enregistrement fiduciaire comme la prévoit la directive.

Rédactionnel.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Rédactionnel.

L’article 27 du projet de loi confère aux agents de l’ANSSI la faculté, lors de contrôles, d’accéder aux systèmes d’information et aux données d’une entité, sans que celle-ci puisse invoquer le secret des affaires. Une telle prérogative touche pourtant des éléments sensibles, essentiels à la compétitivité et à la stratégie des entreprises. Il apparaît donc indispensable d’encadrer davantage ce droit d’accès afin de préserver la confidentialité des informations commerciales les plus critiques.

Cet amendement vise à par conséquent d’introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.

Rédactionnel.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Rédactionnel.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Rédactionnel.

Rédactionnel.

Cet amendement a pour objet de clarifier le rôle et les compétences de l’ensemble des acteurs de l’écosystème cyber, parmi lesquelles les CSIRT et le GIP ACYMA. Cette clarification fait notamment suite au rapport du 16 juin 2025 de la Cour des Comptes relatif à “La réponse de l’État aux cybermenaces sur les systèmes d’information civils » et dans lequel il était recommandé de préciser le rôle, les compétences et l’articulation des différents acteurs de l’écosystème cyber. 

Rédactionnel.

Rédactionnel.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Le présent amendement a pour but d'inscrire dans la loi le rôle stratégique du logiciel libre et des standards ouverts pour l'atteinte des objectifs de résilience, de sécurité et de souveraineté que ce projet de loi ambitionne. L'article 5 bis définit les piliers de la future stratégie nationale en matière de cybersécurité. Il est impératif que cette stratégie, qui orientera l'action de l'État pour les années à venir, reconnaisse formellement les outils qui permettent le mieux de garantir notre autonomie et notre maîtrise technologique.

Le logiciel libre et les standards ouverts constituent un levier fondamental pour trois raisons principales :

1. Pour la sécurité : La transparence du code source est une garantie essentielle de confiance. Elle permet l'auditabilité des solutions déployées sur nos infrastructures critiques, et facilite la détection et la correction collaborative des failles de sécurité. La directive NIS 2, que ce texte transpose, souligne d'ailleurs en son considérant 52 que « Les politiques qui promeuvent l’introduction et l’utilisation durable d’outils de cybersécurité en sources ouvertes revêtent une importance particulière ».

2. Pour la résilience : Le recours aux standards ouverts et aux logiciels libres est le meilleur rempart contre le risque d'« enfermement propriétaire ». Cette dépendance vis-à-vis d'un unique fournisseur est une vulnérabilité stratégique majeure pour la continuité d'activité de nos opérateurs critiques. En effet, par la nature même de leurs licences, les logiciels libres garantissent la possibilité de changer de fournisseur pour la maintenance, le support ou l'évolution de la solution, sans avoir à abandonner la technologie elle-même. Cette liberté assure la pérennité et l'interopérabilité qui sont des conditions intrinsèques de la résilience.

3. Pour la souveraineté numérique : Promouvoir le logiciel libre, c'est investir dans le développement de compétences nationales et européennes, renforcer notre filière technologique, et s'assurer que nos infrastructures critiques ne dépendent pas de technologies soumises à des législations extraterritoriales.

Cet amendement ne crée pas une obligation d'usage, mais il donne une orientation politique claire et forte. Il garantit que la stratégie nationale de cybersécurité, ainsi que le rapport bisannuel qui sera remis au Parlement, intègreront la promotion du logiciel libre comme un axe majeur de l'action du Gouvernement, conformément aux dispositions de l'article 16 de la loi République numérique.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Rédactionnel.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Cet amendement définit la notion de résilience en reprenant celle retenue à l'article 1er du projet de loi.

Par mesure de clarification et de simplification de la rédaction, le présent amendement tend, d’une part, à utiliser directement au sein du 5° de l’article les définitions prévues aux 1° et 2° du même article et, d’autre part, à ajouter les agents agissant pour le compte de bureaux d’enregistrement dans la définition prévue au même 5°.

Amendement d’appel à définition :

Suivant en cela la recommandation contenue dans l’avis du Conseil d’État, le Sénat a défini la résilience dans le Titre I du projet de loi.

Toutefois, la rédaction retenue pour cette définition ne porte que sur l’acception de ce mot dans le chapitre du code de la défense relatif à la résilience des activités d’importance vitale.

Le Titre II, qui porte sur le renforcement de la lutte contre la cybercriminalité et qui crée pour les entités des obligations en matière de résilience, ne propose pas de définition de ce mot, ce qui pourrait créer une certaine incertitude dans l’application de la loi.

Rédactionnel.

La définition de la notion de vulnérabilité figure déjà à l’article 3 du règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 relatif à la cyber-résilience. Cette définition n’intègre pas le facteur humain comme élément susceptible de constituer une faille exploitable.

Inclure les comportements ou erreurs des utilisateurs reviendrait à introduire une approche disproportionnée et inapplicable, notamment s’agissant des vulnérabilités dites « humaines » liées aux chaînes d’approvisionnement et à la sous-traitance. De même, la notification de vulnérabilités critiques potentielles d’origine humaine se révèle impossible, faute de critères objectifs permettant d’en apprécier l’existence.

Le présent amendement propose donc de supprimer la référence à l’« utilisateur » dans la définition de la vulnérabilité, afin d’assurer la cohérence avec le droit européen et de retenir une approche réaliste et opérationnelle.

Cet amendement a pour objectif de définir la notion de cybermenace en reprenant la définition donnée à cette notion dans le règlement (UE) 2019/881 du 17 avril 2019 relatif à l’ENISA.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à élargir le champ du décret auquel l’article renvoie, et ce afin de préciser les attendus des procédures de vérification des données collectées :

-        le fait que ces procédures soient bien « ex ante » au moment de l’enregistrement et « ex post » après l’enregistrement, notamment pour garantir le maintien des bases de données exactes et complètes, conformément à la directive et au présent article 19 ;

-        le fait que ces procédures tiennent compte des normes élaborées par les structures de gouvernance multipartites au niveau international et qu’elles visent les meilleures pratiques en matière d’identification électronique (conformément au Considérant 111) ;

-        le fait que ces procédures comprennent la vérification d’au moins un moyen de contact du titulaire ou du service tiers (conformément au même Considérant).

Conformément à ces attendus, les bureaux et offices d’enregistrement ne devraient pas pouvoir procéder à l’enregistrement en masse des noms de domaine au moyen d’algorithmes, de logiciels, de protocoles automatisés ou de toute autre méthode similaire.

Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

L’article 27 du projet de loi prévoit que les agents de l’ANSSI peuvent accéder en cas de contrôle aux systèmes d’informations, aux logiciels, aux programmes informatiques et aux données stockées d’une entité, sans que cette dernière ne puisse y opposer le secret des affaires. Cette disposition concerne des informations confidentielles et hautement stratégiques pour les entités concernées : un encadrement accru de ce pouvoir d’accès apparait nécessaire pour garantir aux entités concernées un haut niveau de protection de leurs secrets commerciaux.

Le présent amendement propose par conséquent d’introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.

Cet amendement a été travaillé avec NUMEUM.

Rédactionnel.

Rédactionnel.

Cet amendement vise à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales.

La directive NIS 2 prend en compte cette possibilité au niveau de son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la règlementation relative à la sécurité nucléaire, mentionnées à l’article L. 1333‑2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services.

Rédactionnel.

Rédactionnel.

Cet amendement a pour objectif d’inclure clairement les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux dans le périmètre du projet de loi. Si le périmètre de la directive NIS 2 évoque bien le domaine de la santé, il parait important de citer explicitement ces établissement afin de lever toute ambiguité. Au regard des nombreuses cyberattques dont ils sont la cibles, il est important qu’ils soient clairement identifiés comme des entités soumises à la directive NIS 2.

Rédactionnel.

Rédactionnel.

Cet amendement vise à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales.

La directive NIS 2 prend en compte cette possibilité au niveau de son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L. 1333‑2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services

Cet amendement a pour objectif d’inclure clairement les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux dans le périmètre du projet de loi. Si le périmètre de la directive NIS 2 évoque bien le domaine de la santé, il parait important de citer explicitement ces établissement afin de lever toute ambiguité. Au regard des nombreuses cyberattques dont ils sont la cibles, il est important qu’ils soient clairement identifiés comme des entités soumises à la directive NIS 2.

Rédactionnel.

Rédactionnel.

Cet amendement vise à ce que la liste des entités essentielles et importantes soit la plus conforme possible à la réalité des secteurs d’activités concernés. Les opérateurs d’importance vitale mentionnés au titre I du projet de loi sont désignés par les ministères coordonnateurs du secteur auxquels ils appartiennent. Les acteurs visés par le titre III sont notamment désignés par les ministères économiques et financiers.

En cohérence, cet amendement vise à apporter l’expertise les ministères coordonnateurs des secteurs d’activités mentionnés par le projet de loi afin que les listes élaborées d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.

Ainsi, certaines entités ne correspondant pas aux critères prédéfinis d’entité importante ou essentielle pourraient être intégrées à la liste des entités concernées pour des critères stratégiques, économiques, technologiques ou sociaux relevant de l’analyse des ministères coordonnateurs. D’autres entités connues des ministères coordonnateurs pourraient omettre de s’enregistrer.

Amendement travaillé avec le Cybercercle.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à s’assurer de l’intégration des agents agissant pour le compte des bureaux d’enregistrement à la liste des entités établie par l’autorité nationale de sécurité des systèmes d’information, en conformité avec la directive tout en tenant compte de l’adaptation de terminologie entre la directive et le projet de loi.

Amendement d’appel :

La directive NIS 2 prévoit que les nouvelles entités importantes doivent s’auto-déclarer auprès de l’autorité de tutelle. Il est à craindre qu’un certain nombre d’entre elles, nouvellement concernées par ces obligations de cybersécurité, tardent à identifier leur nouvelle obligation et y répondent. Bien au fait de la pleine conscience de l’ANSSI de l’enjeu de sensibilisation, un travail d’identification croisé doit cependant être opéré, via le code NAF ou NACE, sur les critères édictés (filière, CA, effectifs) et par les acteurs publics, pour s’assurer de bien identifier et présensibiliser les entreprises nouvellement destinataires de nouvelles obligations afin de les informer et accompagner au mieux.

La durée de 3 ans doit permettre d’être en cohérence avec les annonces récentes de l’ANSSI sur l’entrée en application des contrôles à venir par l’autorité.

Le présent amendement tend à clarifier les dispositions qui ne trouvent pas à s’appliquer dans le cas d’un acte sectoriel de l’Union européenne reconnu comme lex specialis qui prévoit des dispositions équivalentes. Il tend ainsi à préciser que sont uniquement concernées les dispositions relatives à l’application de mesures de sécurité, à la notification des incidents ainsi qu’à celles de la supervision permettant d’en vérifier le respect. En dehors de ces dispositions, les entités restent soumises au projet de loi, comme par exemple, l’obligation d’enregistrement issue de l’article 12 dont elles ne sont pas déliées.

Amendement d’appel :

De nombreuses réglementations numériques, sectorielles et non sectorielles, viennent s’imposer aux entreprises.

Le projet de loi Résilience numérique dispose actuellement, au travers de l’article 13, que l’entreprise devra se conformer au texte le plus contraignant : cette formulation laisse la place à une appréciation individuelle desdites entreprises. De fait, afin de s’assurer de l’usage systématique de la réglementation la plus exigeante, l’État devrait proposer un référentiel, piloté par l’ANSSI, permettant de s’assurer du respect de la hiérarchie des exigences. 

L’idée ici n’est pas d’alourdir la charge de l’ANSSI en communiquant individuellement la hiérarchisation des normes qui s’impose pour chaque entreprise mais bien de poser des lignes directrices auxquelles chacun pourra se référer pour faciliter la mise en conformité. In fine, cet amendement tend à limiter la charge de l’ANSSI en réduisant les possibilités d’erreurs de mise en conformité.

Proposition de modification substantielle de l’article 14.

Le présent amendement vise à renforcer les objectifs de sécurité et de résilience numérique inscrits dans ce projet de loi en s’assurant que les mesures de cybersécurité prises par les entités critiques reposent sur des fondations techniques saines, maîtrisées et souveraines. Cet amendement s’inscrit dans la continuité de l’article 16 de la loi n° 2016‑1321 pour une République numérique, qui dispose déjà que les administrations doivent veiller « à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information ». Il propose d’étendre cette exigence à l’ensemble des entités essentielles et importantes et de la traduire en critères techniques objectifs. En effet, une sécurité effective et une résilience durable ne peuvent être atteintes avec des solutions opaques ou qui créent une dépendance excessive. C’est pourquoi cet amendement propose d’introduire cinq critères fondamentaux pour guider le choix des technologies et services :

1. Auditabilité et transparence : Une entité ne peut sécuriser efficacement une « boîte noire ». La capacité d’auditer le fonctionnement d’un logiciel est indispensable pour s’assurer de l’absence de vulnérabilités cachées ou de portes dérobées. La directive NIS 2 elle-même, dans son considérant 52, souligne que « Les sources ouvertes peuvent conduire à un processus de vérification plus transparent ».

2. Interopérabilité et pérennité : La résilience d’une infrastructure est compromise si elle est dépendante d’une technologie propriétaire unique (« enfermement propriétaire »). Cette notion est au cœur de l’analyse des dépendances exigée pour les OIV à l’article L. 1332‑4 du code de la défense, tel que modifié par le présent projet de loi.

3. Maîtrise : Ce critère est la condition de notre souveraineté numérique. Le rapport d’information de l’Assemblée Nationale « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (dit « rapport Latombe », n°4299, 2021) insiste sur les trois grands principes pour l’État que sont la liberté de choix, la maîtrise technologique et la réversibilité. Le présent amendement traduit directement ces principes en obligations pour les entités critiques.

En introduisant ces critères, cet amendement dote les entités concernées et l’autorité de contrôle (ANSSI) d’une boussole claire pour le choix des solutions, sans imposer une technologie particulière. Il encourage une approche vertueuse de la sécurité, fondée sur la confiance et la vérification, et aligne la France sur les ambitions maintes fois réaffirmées par le Parlement en matière de souveraineté numérique.

Cet amendement a pour objet de préciser que les mesures techniques et organisationnelles garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de résilience adapté et proportionné au risque.

Face à la multiplication des cyberattaques ciblant les collectivités territoriales, y compris les plus petites, cet amendement introduit l’obligation pour les communautés de communes de se doter d’un RSSI.
Le RSSI est un acteur clé de la gouvernance de la cybersécurité. Il est en capacité de piloter une stratégie de sécurité des systèmes d'information cohérente, adaptée aux enjeux de protection des données, de continuité d'activité et de conformité réglementaire.
La possibilité de mutualisation permet d'assurer cette compétence, y compris pour les structures de taille modeste, tout en instaurant un niveau d’exigence clair et homogène sur l’ensemble du territoire.

Rédactionnel.

Rédactionnel.

Cet amendement vise à exclure explicitement du champ d’application de la directive NIS 2 les activités liées à la sécurité nucléaire, pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales tout en conservant leur assujettissement à un niveau d’exigence rigoureusement équivalent à celui prévu par la directive NIS 2.

La directive NIS 2 prend en compte cette possibilité à son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L. 1333‑2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services. Ces entités pourront également faire l’objet de contrôles de l’autorité nationale de sécurité des systèmes d’information et faire l’objet des sanctions prévues à l’article 37

Le présent amendement vise à instaurer une saine gestion des risques technologiques pour les systèmes d’information les plus critiques de la Nation, en application du principe « appliquer ou expliquer ». Le projet de loi renforce à juste titre les obligations de cybersécurité. Cependant, une part majeure du risque provient des briques logicielles elles-mêmes, notamment lorsqu’elles sont des « boîtes noires » dont le fonctionnement interne est inaccessible à l’entité qui les utilise et aux autorités de contrôle. Cet amendement ne vise pas à interdire le recours aux logiciels propriétaires, mais à s’assurer que leur choix pour un usage critique soit une décision éclairée et documentée. En exigeant une analyse de risques spécifique pour les solutions à code source fermé, cet amendement contraint les entités essentielles et importantes à évaluer objectivement :

1. La dépendance technologique (vendor lock-in) : Le risque de se retrouver prisonnier d’un fournisseur unique, souvent soumis à des législations étrangères, est une vulnérabilité stratégique majeure. L’analyse devra porter sur les stratégies de réversibilité et de sortie.

2. Les limitations en matière d’audit de sécurité : L’impossibilité de réaliser ou de faire réaliser un audit complet du code source constitue un risque de sécurité intrinsèque. L’entité devra formaliser la manière dont elle entend pallier cette opacité.

3. La souveraineté des données et des systèmes : Cet amendement s’inscrit dans la continuité de l’article 16 de la loi pour une République numérique, qui demande aux administrations de préserver la « maîtrise, la pérennité et l’indépendance de leurs systèmes d’information ». Il précise cette exigence de maîtrise dans le cas des infrastructures critiques du pays.

Amendement de cohérence avec le 4˚ de cet article (alinéa 5).

Le projet de loi prévoyait dans sa version initiale que les entités devaient mettre en place un pilotage de la sécurité des réseaux et systèmes d’information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques.

Le Sénat, considérant que ce texte « sous-transposait » l’art. 20 de NIS2, a voulu à juste titre renforcer ces dispositions afin que les mesures prévues garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné aux risques existants.

Cependant la rédaction adoptée par le Sénat, non homogène avec le reste de l’article, et notamment avec le 4˚ (alinéa 5), risque de créer une ambiguïté, d’obliger à des formations ne prenant pas en compte le degré d’exposition aux risques des personnes concernées et d’entraîner ainsi des coûts inutiles de formation du personnel, alors que l’objectif tel que décrit dans le rapport du Sénat est de former les dirigeants comme les personnels exposés aux risques cyber aux grands enjeux en matière de cybersécurité.

L’objectif de cet amendement est de rappeler l’objectif de souveraineté numérique dans le processus de certification.

Rédactionnel.

Rédactionnel.

L’objectif de cet amendement est d'assurer la résilience des réseaux et systèmes d’information, en plus de la protection.

L’objectif de cet amendement est :

– D’intégrer des notions de : auditabilité, transparence, portabilité et interopérabilité des technologies choisies par les entités essentielles et les entités importantes afin notamment de réduire le risque de dépendance numérique, de maximiser la résilience des réseaux et systèmes, de permettre la continuité des activités.

– Rappeler l’objectif de souveraineté numérique dans le processus de certification.

amendement de repli 

Cet amendement vise à garantir une présence minimale de compétence en cybersécurité au sein des communautés de communes, sans imposer une structuration trop lourde ni des exigences disproportionnées.
La désignation d’un référent en cybersécurité, même mutualisé, constitue une première étape essentielle pour renforcer la résilience numérique des collectivités, tout en tenant compte des moyens humains et financiers souvent limités de ces entités.
Le référent agit comme point de contact local, capable de relayer les consignes nationales, d’identifier les failles, et de sensibiliser les agents. Cette approche pragmatique est adaptée à la diversité des réalités territoriales.

L’objectif de cet amendement est :

– D’intégrer des notions de : auditabilité, transparence, portabilité et interopérabilité des technologies choisies par les entités essentielles et les entités importantes afin notamment de réduire le risque de dépendance numérique, de maximiser la résilience des réseaux et systèmes, de permettre la continuité des activités.

– Rappeler l’objectif de souveraineté numérique dans le processus de certification.

Cet amendement de réécriture conséquent vise à s’assurer que la définition des objectifs de sécurité et des référentiels d’exigences pour y répondre sont élaborés par l’ensemble des parties prenantes.

 Dans le texte d’origine, seules l’élaboration, la modification et la publication d’un référentiel d’exigences techniques et organisationnelles sont soumises à la concertation des parties prenantes auxquelles manquent par ailleurs les ministères coordonnateurs.

La concertation des ministères est essentielle dans ce processus de définition en raison notamment de leur connaissance du secteur, des réglementations spécifiques, des acteurs qui le composent et de leur éventuelle articulation avec d’autres secteurs, de leur capacité à évaluer le degré d’exposition aux risques des entités relevant de ce texte ainsi que des impacts métiers et de leurs conséquences.

Par ailleurs, l’article 25 de la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 prévoit spécifiquement que les « États membres encouragent le recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information ».

Non seulement de telles normes internationales, telles que la norme ISO 27001, sont fréquemment mises en œuvre dans de grands groupes ayant des filiales dans plusieurs pays de l’Union européenne, mais elles sont également reconnues, par d’autres États membres ayant transposé le même texte, comme équivalentes au référentiel national, parfois avec certains compléments ou sous certaines conditions.

De plus, les normes et les spécifications techniques pour la sécurité des réseaux et des systèmes d’information issues d’autres pays européens ayant transposé la directive NIS 2 susvisée peuvent également servir de point de référence utile en harmonisant les règles au sein d’un groupe dans la mesure où, par exemple, des filiales auraient déjà à respecter un référentiel national applicable par un État membre ayant transposé la directive susmentionnée depuis de nombreux mois.

Le guide de l’ENISA pour la mise en œuvre du règlement d’exécution (UE) 2024/2690 du 17 octobre 2024 applicable à certaines entités régulées telles que les fournisseurs de services d’informatique en nuage, les fournisseurs de réseaux de diffusion de contenus ou de prestataires de services de confiance, constitue de fait un standard de sécurité numérique reconnu par l’UE qui peut être le référentiel pour toute entité régulée, notamment celles disposant de sites dans différents états membres, évitant le risque de distorsion, optimisant les coûts de mise en conformité pour les entités régulées et simplifiant les opérations de contrôle.

Enfin, la conformité d’une entité à DORA dont le niveau de sécurité est supérieur à NIS2, doit être reconnue comme une preuve de conformité à NIS2.

Afin de « favoriser la mise en œuvre convergente de l’article 21, paragraphes 1 et 2 » comme le prévoit le 1 de l’article 25 de la directive précitée, la rédaction proposée permet la reconnaissance à l’identique du référentiel national, de normes pouvant permettre une approche cohérente et permettant de disposer du même niveau de preuve de conformité que celui prévu à l’article 15 du présent projet.

Amendement travaillé avec le Cybercercle.

Amendement d’appel.

Depuis sa création l’ANSSI a produit de nombreuses certifications permettant aux utilisateurs d’identifier les produits, solutions et prestataires les plus sécurisées et conformes à l’état de l’art dans le champ de la cybersécurité.

Il est essentiel de s’appuyer sur ces derniers pour faciliter la mise en conformité des entités dont le niveau de connaissance en cybersécurité qui peut s’avérer partiel, tout en assurant une nécessaire cohérence avec nos voisins européens en privilégiant les référentiels de l’ENISA.

Cet équilibre entre norme européenne de l’ENISA et savoir-faire reconnu de l’ANSSI nécessite une discussion parlementaire.

Cet amendement conditionne la prescription au recours à des produits, des services ou des processus après la réalisation d’une étude des risques de dépendance stratégique liés au choix de ces produits, services ou processus.

Cet amendement précise que les produits, services ou processus mentionnés à l'alinéa 7 de l'article 14 du projet de loi peuvent faire l’objet d’un audit et répondent à des critères de transparence.

Il précise en outre qu'à ce titre, une priorité est donnée aux solutions présentant le plus haut niveau de transparence, d’ouverture et de réversibilité.

Cet amendement vise à clarifier le présent alinéa en faisant référence explicitement au référentiel européen défini par le règlement d’exécution (UE) n°2024/2690, pris en application de la directive (UE) 2022/2555 dite « NIS2 ».

Cette clarification garantit la cohérence entre le cadre européen et le dispositif national élaboré par l’ANSSI, prévu par décret en Conseil d’État, pour les entités concernées.

Elle permet en outre d’écarter toute ambiguïté d’interprétation et de prévenir les risques de surtransposition.

Le présent amendement a pour objectif d’offrir la possibilité pour les entités régulées de se prévaloir du recours à certaines prestations de services qualifiés, pour faciliter la démonstration de leur respect à tout ou partie des objectifs de sécurité. Cet amendement répond aux préoccupations émises par la commission spéciale relative à l’encadrement du recours aux prestataires qualifiés.

Il permet en ce sens de valoriser le recours par les entités assujetties aux prestations qualifiées par l’ANSSI et de favoriser le développement de l’offre de confiance sans pour autant l’imposer aux entités régulées. L’approche incitative qu’il porte constitue une manière équilibrée de répondre à ces préoccupations. Les entités régulées pourront en fonction de leurs besoins identifier les solutions qu’elles considèrent comme adéquates à leurs enjeux. Les conditions d’application des dispositions introduites par le présent amendement seront prévues par décret en Conseil d’État.

Rédactionnel.

Rédactionnel.

La rédaction actuelle issue des travaux du Sénat de l’article 15 prévoit que les personnes mentionnées à l’article 14 qui mettent en œuvre les exigences du référentiel mentionné au sixième alinéa du même article 14 ou qui mettent en œuvre tout autre référentiel reconnu comme équivalent par l’autorité nationale de sécurité des systèmes d’information peuvent s’en prévaloir auprès de celle‑ci lors d’un contrôle, le cas échéant au moyen d'un label de confiance approuvée par elle.

La rédaction actuelle ne permet donc pas aux assujettis respectant le ou les référentiels définis à l’alinéa 6 de l’article 14 :

– ni d’inverser explicitement la charge de la preuve – ce sera toujours à eux de démontrer ce respect ;

– ni de se prévaloir d’une position favorable à cet égard de l’autorité nationale de sécurité des systèmes d’information devant les tribunaux si une action en responsabilité est engagée par un tiers contre l’assujetti du fait du non-respect des obligations prévues au titre de la présente loi et lui ayant causé un préjudice.

Le respect du ou des référentiels définis à l’alinéa 6 de l’article 14 doit permettre d’inverser la charge de la preuve du respect des objectifs de sécurité et de ne pas la faire reposer sur l’assujetti, conformément d’ailleurs à la position d’autres pays européens ayant transposé la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148.

L’inversion de la preuve permet également des gains financiers à la fois pour les entités régulées, mais aussi pour l’État lors des opérations de contrôle qui sont de fait simplifiées.

Amendement travaillé avec le Cybercercle.

Amendement de repli.

Amendement de repli

Afin d’assurer la cohérence entre le point 4° de l’article 14 et cet article 15, « les référentiels reconnus comme équivalents » doivent l’être par les mêmes entités que celles ayant élaboré les référentiels cités au point 4° de l’article 14. Par ailleurs, les référentiels reconnus équivalents pouvant être sectoriels, l’implication des ministères coordonnateurs, des associations d’élus ainsi que des représentants des entités concernées est essentielle.

La directive dans son article 25 consacré à la normalisation, précise, qu’afin de favoriser la mise en œuvre convergente de l’article 21 (…) les États membres encouragent (…) le recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information.

Pour les entités visées par la directive ayant une activité dans un autre pays de l’Union européenne et plus largement dans la perspective de l’évolution de la réglementation européenne et l’avènement probable d’un futur règlement européen, cette proposition d’amendement permet aux acteurs concernés de choisir le référentiel technique d’implémentation de la directive NIS2 publié par l’agence européenne le 26 juin ou des normes internationales telles que l’ISO 27001 comme référentiels reconnus équivalents aux référentiels cités à l’article 14.

L’utilisation d’un label de confiance pour attester de la conformité à des référentiels ne relève pas de la loi. Le recours à des labels pour attester de la conformité à des référentiels n’est qu’un moyen parmi d’autres. De plus, le sujet des labels est aujourd’hui complexe, peu lisible et constitue une source de délais et de coûts importants supplémentaires pour les organisations. Indépendamment du projet de transposition de NIS 2, un moratoire sur le sujet serait nécessaire.

Amendement travaillé avec le Cybercercle.

Amendement de repli

L’ENISA a publié le 26 juin un guide technique d’implémentation de la directive NIS2. Pour les entités visées par la directive ayant une activité dans un autre pays de l’Union européenne et plus largement dans la perspective de l’évolution de la réglementation européenne et l’avènement probable d’un futur règlement européen, il est proposé que le référentiel technique produit par l’agence européenne puisse être utilisé comme référence par les personnes visées à l’alinéa 1 de l’article 14.

Amendement de repli sur la reconnaissance d’équivalence délivrées par les autorités européennes (Enisa, BSI, CCB, CCN…).

Amendement de clarification permettant de préciser que les entités bénéficient d’une présomption de conformité aux exigences de l’article 14 lorsqu’elles ont obtenu un label de confiance approuvé par l’ANSSI. L’approbation par l’ANSSI des labels permettant de bénéficier de cette présomption de conformité ouvre la possibilité de reconnaissance de labels d’autres États membres. Cette possibilité répond au besoin d’harmonisation au sein de l’Union Européenne sans pour autant instaurer une reconnaissance automatique de labels qui ne présenteraient pas un niveau de sécurité au moins équivalent.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Cet amendement propose une harmonisation terminologique entre la directive et la loi de transposition en ce qui concerne la dénomination des vulnérabilités.
 
En effet la notion de « vulnérabilités critiques » n’existe pas dans la directive NIS2 qui utilise le qualificatif « important ». Il est important de rester fidèle à la dénomination de la directive pour assurer la lisibilité du texte en France et éviter une asymétrie de transposition entre les différents pays de l’Union Européenne.

Cet amendement a été travaillé avec NUMEUM.

Rédactionnel.

Rédactionnel.

Cet amendement vise à corriger une erreur rédactionnelle suite à la reprise textuelle de l’article 14 du projet de loi. En tant qu’établissement public à caractère industriel et commercial, le CEA, notamment pour ses activités dans le domaine de la défense, n’est en effet pas concerné par ces exigences spécifiques fixées par le Premier ministre à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations.

Ces exigences ne concernent en effet que les administrations qui sont entités essentielles ou importantes, les administrations de l’État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale, ou des missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d’information, et enfin les juridictions administratives et judiciaires.

Cet amendement vise à prendre en compte le rôle stratégique des systèmes de détection des menaces en permettant, comme pour les OIV, la définition d’exigences spécifiques pour ces services et solutions. En effet, contrairement à la loi française qui prévoit un traitement spécifique pour les solutions de détection eu égard à leur caractère stratégique, NIS 2 ne procède pas à une hiérarchie explicite en fonction des technologies utilisées. Pourtant, les obligations strictes qu’elle impose en matière de notification des incidents rend en pratique obligatoire l’utilisation de systèmes de détection des menaces performants. Dans ce contexte, cet amendement prévoit la définition par l’État d’exigences spécifiques pour les systèmes de détection des menaces. Celles-ci pourront être mises en place via la qualification déjà existante de l’ANSSI pour les OIV (Visa de Sécurité) ou un référencement par une fédération professionnelle représentative du secteur (comme l’Alliance pour la Confiance Numérique.)

Amendement travaillé avec des entreprises de cybersécurité membres de fédération ad hoc.

Cet amendement a pour objectif de garantir que la promotion de solutions de cybersécurité certifiées, prévue par l’article 16, ne crée pas d’effets pervers en défavorisant l’écosystème français et européen de l’innovation, notamment les acteurs du logiciel libre et les PME.

 L’article 16 permet à juste titre au Premier ministre de prescrire le recours à des produits ou services certifiés ou qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour les systèmes les plus sensibles de la Nation. Cette démarche est un gage de sécurité. Toutefois, il existe un risque avéré que les processus de certification, par leur complexité ou leur coût, favorisent de facto les grands éditeurs, souvent extra-européens, au détriment d’alternatives innovantes et souveraines. Le rapport d’information de l’Assemblée nationale « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (n°4299, 2021) souligne la nécessité de « faire confiance à nos entreprises technologiques » et de « privilégier, en matière de commande publique, le recours aux solutions d’acteurs technologiques français ou européens » (Proposition n°26). Cet amendement vise à prévenir ce risque en inscrivant dans la loi une obligation pour l’ANSSI de concevoir des processus de qualification équitables et ouverts. Il s’agit de s’assurer que :

 1. L’évaluation est fondée sur le mérite technique : Les critères doivent être objectifs et basés uniquement sur la robustesse et la sécurité de la solution, indépendamment du modèle économique (libre, propriétaire) ou de la taille du fournisseur.

2. Les barrières à l’entrée sont réduites : Les modalités ne doivent pas constituer un obstacle insurmontable pour les PME et les structures (associations, fondations) qui portent de nombreux projets de logiciels libres, en cohérence avec l’esprit de l’article 16 de la loi pour une République numérique qui en encourage l’utilisation.

 3. La souveraineté numérique est renforcée : En garantissant une compétition équitable, nous permettons aux solutions françaises et européennes les plus performantes, y compris celles issues du logiciel libre, d’obtenir les qualifications nécessaires pour être déployées sur nos infrastructures critiques, renforçant ainsi notre filière technologique.

Cet amendement est une mesure de sauvegarde pragmatique qui garantit que le renforcement de notre cybersécurité se fera en s’appuyant sur l’ensemble de nos forces vives, favorisant ainsi l’émergence d’une filière de confiance diversifiée et véritablement souveraine.

Rédactionnel.

Rédactionnel.

Cet amendement vise à garantir le maintien des exigences en matière de sécurité et de confiance des systèmes et prestataires des détections des incidents de sécurité des Opérateurs d’Importance Vitale au niveau équivalent à celui en vigueur. En effet, depuis la loi de programmation militaire de 2013, les OIV doivent avoir recours à des systèmes et prestataires de service de détection des incidents de sécurité et les prestataires qualifiés par l’ANSSI. Ces systèmes doivent par ailleurs être exploités sur le sol national. Actuellement, l’ANSSI délivre aux produits et prestataires qualifiés un Visa de sécurité, accessible après une procédure de qualification particulièrement exigeante.

Or à l’article 16 du projet de loi, ces dispositions sont remplacées par des exigences spécifiques qui ne concernent plus uniquement les systèmes de détection mais plus généralement tout dispositif matériel ou logiciel ou prestataire de service dont le recours peut être prescrit aux OIV. Surtout, les critères retenus ne sont pas aussi exigeants que le dispositif en vigueur : il peut s’agir de dispositifs et prestataires certifiés ou agréés (et non plus uniquement qualifiés) et ces derniers ne doivent plus obligatoirement être exploités sur le sol national.

Pour des raisons de sécurité nationale, nous proposons donc de maintenir les exigences pour les systèmes et prestataires de détection des incidents de sécurité des OIV en reprenant la rédaction actuellement en vigueur à l’article L1332‑6‑1 (article qui sera supprimé par les aliénas 55 et suivants de l’article premier du présent projet de loi).

Amendement travaillé avec des entreprises de cybersécurité membres de fédérations ad hoc.

Cet amendement élargit le champ de l'article 16 bis pour inclure, au-delà des outils techniques tels que les portes dérobées ou les clés maitresses, des pratiques telles que la création d'un accès non consenti aux données protégées ou la mise en place d'un protocole de remise systématique de copies de clés privées qui, in fine, auraient le même effet que les outils techniques précités.

Rédactionnel.

Tout incident entraîne « des pertes financières » de quelques centaines d’euros (ou heures de travail) à plusieurs dizaines de millions d’euros.

Il est souhaitable de qualifier ces pertes financières comme « importantes » ou « significatives ».

Les alinéas 3 et 4 de l’article 17 imposent la notification à l’ANSSI de tout incident, qu’il entraîne ou non une perturbation opérationnelle ou des dommages matériels, corporels ou moraux.

Si l’objectif de couvrir l’ensemble des incidents significatifs est compréhensible, la rédaction actuelle reste éloignée des réalités opérationnelles auxquelles sont confrontées les entités importantes et essentielles en cas de crise cyber. En pratique, tout incident déclenche immédiatement une réponse interne visant prioritairement le rétablissement du service.

Or, à ce stade, les entités ne disposent pas des moyens d’évaluer avec précision l’impact réel de l’incident ni d’anticiper d’éventuelles conséquences sur des tiers. La définition retenue apparaît donc trop large, disproportionnée et génératrice d’insécurité juridique.

Le présent amendement propose de limiter l’obligation de notification aux seuls incidents dont l’impact opérationnel est avéré et incontestable.

Pour les entités opérant dans les secteurs critiques et hautement critiques mentionnés aux annexes I et II de la directive (UE) 2022/2555 dite « NIS2 », l’évaluation des incidents doit s’appuyer sur le cadre précis défini par le règlement d’exécution (UE) 2024/2690.

Ce texte européen, plus complet que les seuls critères généraux énoncés aux alinéas 2 à 4 du projet de loi, garantit une méthodologie claire, détaillée et harmonisée applicable dans l’ensemble des États membres.

Aussi, cet amendement vise à assurer une articulation claire entre le droit national et les exigences européennes en matière de cybersécurité en ce qui concerne la qualification des incidents importants.

Rédactionnel.

Cet amendement vise essentiellement à reprendre la rédaction du 2. de l’article 23 de la directive NIS 2 qui régit les obligations des États-Membres et des entités en matière d’information aux destinataires des services lorsque l’entité essentielle ou importante identifie qu’une vulnérabilité critique est susceptible de les affecter.

Il vise à clarifier le champ des informations devant leur être communiquées en s’alignant sur le 2. de l’article 23 de la directive NIS 2, qui limite le champ des informations communiquées aux destinataires aux mesures et corrections que les utilisateurs peuvent appliquer, et, le cas échéant, les informations relatives à la vulnérabilité elle-même.

L’amendement vise également à préciser la rédaction du texte actuel qui n’indique pas à qui sont notifiés les incidents importants et les vulnérabilités critiques.

Cet amendement propose une harmonisation terminologique entre la directive et la loi de transposition en ce qui concerne la dénomination des vulnérabilités.

En effet la notion de « vulnérabilités critiques » n’existe pas dans la directive NIS2 qui utilise le qualificatif « important ». Il est important de rester fidèle à la dénomination de la directive pour assurer la lisibilité du texte en France et éviter une asymétrie de transposition entre les différents pays de l’Union Européenne.

Rédactionnel.

Rédactionnel.

Comme le souligne l’alinéa 14 de cet article, un incident important peut avoir des conséquences graves, ce qui justifie que les autorités compétentes du secteur d’activité concerné et éventuellement la CNIL en soient informées afin de prendre les mesures nécessaires.

Selon le principe du « dites-le nous une fois » et afin que l’entité victime de l’incident important se concentre sur son traitement, l’autorité nationale de sécurité des systèmes d’information, première destinatrice de la notification doit assurer la transmission des notifications aux administrations ou autorités concernées.

L’entité victime sera réputée avoir rempli les obligations légales de notification propres à son activité par la notification de l’incident au guichet unique opéré par l’autorité nationale de sécurité des systèmes d’information.

Amendement travaillé avec le Cybercercle.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations en matière de protection des données prévues à l’alinéa 2 de l’article 19 du projet de loi.

Le présent amendement vise à clarifier le fait que les procédures de vérification des données n’ont pas pour objectif de s’assurer de l’exactitude de ces données au moment de leur collecte. En effet, les offices et bureaux d’enregistrement n’ont pas les capacités d’effectuer une telle vérification au moment même de la collecte pour l’ensemble des noms de domaine.

Rédactionnel.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations prévues à l’article 20 du projet de loi portant sur la durée de conservation des données relatives à chaque nom de domaine.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement l’obligation de publication des données d’enregistrement qui n’ont pas de caractère personnel prévue à l’article 21 du projet de loi.

Rédactionnel.

L’article 22 transpose l’article 28 de la directive NIS2 en matière d’accès aux données d’enregistrement des noms de domaine. Or, sa rédaction actuelle restreint cet accès aux seuls agents habilités par l’autorité judiciaire pour les procédures pénales ainsi qu’à l’ANSSI, ce qui réduit la portée prévue par la directive et par son considérant 110, qui vise « toute personne physique ou morale formulant une demande en vertu du droit de l’Union ou du droit national ».

Le présent amendement élargit donc le champ des « demandeurs d’accès légitimes » aux agents assermentés expressément habilités par la loi (notamment en matière de propriété intellectuelle, de protection de l’enfance ou des consommateurs), ainsi qu’aux commissaires de justice, en plus de l’ANSSI et des forces publiques d’enquête.

Cette clarification sécurise les conditions d’accès, aligne le droit national sur le cadre européen et garantit l’effectivité du droit d’accès aux données de noms de domaine pour lutter contre les usages frauduleux ou illicites, sans imposer de charge disproportionnée aux offices d’enregistrement.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations prévues à l’article 22 du projet de loi, portant sur la communication des données relatives aux noms de domaine aux agents habilités à cet effet par l’autorité judiciaire.

Rédactionnel.

Rédactionnel.

Rédactionnel.

Cet amendement est destiné à éviter l’introduction d’une notion dont les contours ne sont pas déterminés en droit français, lequel connaît en revanche celle de secret des affaires. L’objectif étant que le partage d’information puisse avoir lieu entre les autorités compétentes dans la mesure nécessaire à l’exercice des missions qui leur sont confiées par les textes, les garanties de confidentialité et de partage limité à ce qui est justifié figurent dans le texte et sont de nature à répondre aux prescriptions de la directive NIS 2.

Rédactionnel.

Aujourd’hui, les petites et moyennes entreprises peuvent se tourner vers une multitude d’acteurs publics comme l’ANSSI, les CSIRT territoriaux, la plateforme Cybermalveillance.gouv.fr ou encore le COMCYBER-MI pour répondre aux menaces cyber dont elles doivent faire face. Dans un souci de clarté, la directive NIS 2 mentionne la création d’un point de contact au niveau national ou régional qui leur permettrait de naviguer plus facilement dans cet univers fragmenté.
 
Un décret pourrait préciser l’organisme qui assurera ce rôle et les modalités d’articulations avec les acteurs existants.

Dans des objectifs précis, il s’agit de s’assurer que les entités essentielles et importantes puissent être destinatrices des informations concernant les menaces et qu’elles-mêmes puissent partager des informations relatives à une menace (une adresse IP par exemple) sans que l’on puisse leur opposer une autre réglementation (RGPD).

Cet amendement vise à transposer les dispositions de l’article 29 de la directive NIS 2, qui prévoient l’existence d’accords de partage d’informations en matière de cybersécurité, permettant aux entités essentielles, aux entités importantes et à leurs prestataires en matière de cybersécurité d’échanger des informations détaillées et opérationnelles sur les menaces cyber, afin de mieux y faire face.

Les considérants 119 et 120 de la directive NIS 2 rappellent l’importance de ce dispositif « : « le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. […] Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité.

« À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données. »

Si les échanges de données qui ne sont pas des données personnelles semblent possibles au regard du droit actuel, l’amendement en question lève toute interrogation concernant les échanges de données personnelles qui seraient contenues ou qui seraient l’objet même de ce partage, conformément au considérant 121 de la directive, qui décrit le recours à la base légale de l’intérêt légitime pour fonder les traitements de données à caractère personnel qui pourraient être effectués à cette occasion et reconnaît que le partage de données concernées est conforme aux exigences du règlement général sur la protection des données (RGPD).

Amendement travaillé avec le Cybercercle.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à étendre aux agents agissant pour le compte des bureaux d’enregistrement les dispositions de l’article 25, en cohérence avec l’intégration des bureaux d’enregistrement au sein de cet article. Cette intégration se justifie par ailleurs par le besoin opérationnel de l’autorité nationale de sécurité des systèmes d’information pour éviter ou remédier à un incident.

Rédactionnel.

Le présent amendement tend à supprimer la certification par l’ANSSI des services de coffre-fort numérique, pour trois raisons.

Premièrement, les dispositions prévues aux 1° à 5° de cet article et précisées dans les décrets no 2018‑418[1] et no 2018‑853[2] permettent de garantir un niveau de sécurité minimal, jugé suffisant par l’ANSSI, pour les services de coffre-fort numérique s’accompagnant d’un régime de sanction porté par l’article L. 122‑22 du code de la consommation.

De plus, la certification de ces services de coffre-fort numérique, introduite à l’avant-dernier alinéa de l’article L. 103 du code des postes et des communications électroniques, n’est pas obligatoire pour les fournisseurs de tels services. Par ailleurs, aucun cas d’usage nécessitant le recours à un service de coffre-fort numérique certifié n’est identifié. Par conséquent, aucun autre cadre légal ou règlementaire ne prévoit d’imposer le recours à de tels services certifiés.

Enfin, la mise en place d’une telle certification représente un coût aussi bien pour l’administration que pour les fournisseurs de services de coffre-fort numérique qui souhaiterait bénéficier de cette certification. En effet, c’est l’administration et particulièrement l’ANSSI qui a la responsabilité, en lien avec le COFRAC, de mettre en œuvre le schéma lié à la certification des services de coffre-fort numérique et, une fois ce schéma mis en œuvre, de procéder à la certification desdits services. Pour les fournisseurs de ces services, la certification représente un coût significatif lié à la mise en conformité aux exigences prévues par le cahier des charges mentionné par l’avant-dernier alinéa de l’article L. 103 du CPCE d’une part et un coût lié au processus de certification d’autre part.

[1] Décret no 2018‑418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique

[2] Décret no 2018‑853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique

La certification des services de coffre-fort numérique ayant été abrogée par l’article 26A du projet de loi, cet amendement de cohérence vise à supprimer corrélativement la compétence de l’ANSSI à contrôler le respect de cette certification.

Il s’agit d’un amendement de cohérence permettant de soumettre au contrôle de l’autorité nationale de sécurité des systèmes d’information les opérateurs d’importance vitale qui ne sont pas déjà soumis à son contrôle en tant qu’entité essentielle ou importante. En effet, la rédaction actuelle de l’article 26 ne couvre que les OIV des secteurs prévus par les directives NIS2 et REC soumis au contrôle en vertu des chapitre II et III du projet de loi alors que les OIV hors du champ des directives relèvent uniquement de l’article L. 1332‑11 du code de la défense portant les obligations qui leur sont applicables.

L’amendement a pour objectif d’appliquer le règlement UE n° 2024/2847, dit CRA (CyberResilienceAct) visant à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique, qui entrera prochainement en vigueur en droit national. 

Il ouvre en particulier la possibilité aux agents de l’ANSSI d’effectuer des contrôles pour rechercher les manquements au règlement CRA.

Rédactionnel.

Afin de rendre plus lisible l’action de l’ANSSI et de limiter les litiges, il importe de clarifier les conditions de choix de l’opérateur des contrôles ainsi que les raisons qui pourraient permettre d’exonérer les entités contrôlées du coût du contrôle.

En 2024, l’ANSSI indique, dans son panorama de la cybermenace, avoir traité 4 386 événements de sécurité, soit une hausse de 15 % par rapport à 2023. Cet amendement vise donc à intégrer au sein de la stratégie nationale en matière de cybersécurité, les besoins spécifiques des petites et moyennes entreprises afin de les aider à répondre aux exigences que leur impose l’accroissement des menaces cyber, notamment des rançongiciels qui constituent leur principale menace.
 
Selon plusieurs estimations, le coût moyen de mise en conformité pour une entité soumise aux exigences cyber de la directive NIS 2, oscillerait entre 200 000 et 400 000€.

Cet amendement supprime la mention « , qui doit comporter les questions auxquelles il est répondu » de l'alinéa 6 de l'article 27 du projet de loi. En effet, imposer lors d’un contrôle la rédaction des questions auxquelles les entités correspond dans les faits à une exigence prévue dans le cadre des procédures pénales et non en contrôle de nature administrative. Cette exigence est, en outre, source de complexité voire irréaliste tant pour les contrôleurs que pour l’entité contrôlée au regard du déroulement pratique d’un contrôle en matière de système d’informations où les demandes et échanges se succèdent. L’entité peut par ailleurs en tout état de cause faire des observations de procès-verbal. La lecture du procès-verbal se retrouve de la même manière en procédure pénale et introduit une exigence inutile au niveau de la loi.

Conformément à la directive NIS 2, cet amendement vise à inscrire dans la stratégie nationale de cybersécurité un volet « gestion des vulnérabilités » incluant la promotion et la facilitation de la divulgation coordonnée des vulnérabilités.
 
L’augmentation de la menace cyber nous oblige à donner un cadre clair et lisible à une pratique permettant d’accélérer la correction des failles, réduisant ainsi le risque d’attaques cyber sur les entreprises, les administrations et les collectivités.
 
Aujourd’hui, il nous faut par exemple davantage encadrer et protéger l’activité des hackers éthiques qui participent à renforcer la sécurité des systèmes d’information en divulguant des vulnérabilités. De même, pour arriver à une standardisation encouragée européenne, il est nécessaire que la France se mette à jour des référentiels ISO en matière de divulgation coordonnée des vulnérabilités et de gestion des vulnérabilités.

Par cet amendement, le groupe parlementaire de la France insoumise souhaite inclure la prise en compte des risques psychosociaux et organisationnels des agents en situation de stress élevé en précisant les obligations prévues à l’article L. 2151 4 du code de la défense, élargissant explicitement le périmètre des plans de continuité ou de rétablissement d’activité exigés des opérateurs. Il s’agit d’y intégrer, aux côtés des éléments techniques et matériels déjà requis, une dimension humaine et organisationnelle, indispensable à la résilience effective des entités critiques.

Dans un contexte d’intensification des menaces – qu’il s’agisse d’attaques cyber, de déstabilisation géopolitique, de catastrophes naturelles ou de défaillances en chaîne – les crises mettent à l’épreuve non seulement les systèmes mais aussi les structures humaines qui les soutiennent. L’expérience récente (crise sanitaire, événements climatiques extrêmes) a démontré que l’absentéisme, la désorganisation managériale ou l’épuisement professionnel peuvent gravement compromettre la continuité de services pourtant techniquement robustes.

L’amendement vise ainsi à imposer aux opérateurs d’importance vitale (OIV) et aux entités critiques des dispositifs visant à protéger les personnes travaillant en leur sein.

Il s’inscrit dans une logique de résilience globale, conforme aux standards internationaux en matière de gestion de crise, et en cohérence avec les recommandations émises par plusieurs autorités de régulation et agences nationales de sécurité.

Par cet amendement, le groupe LFI souhaite que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL.

Le présent PJL modifie l’article L. 1332‑6 du code de la défense dans une nouvelle rédaction qui prévoit l’élargissement du champ des enquêtes administratives de sécurité aux accès à distance aux Point d’Importance Vitale (PIV), ainsi qu’aux Systèmes d’Information d’Importance Vitale (SIIV). Il prévoit ainsi qu’avant d’accorder une autorisation d’accès physique ou informatique à un PIV ou un SIIV, un OIV peut demander l’avis de l’autorité administrative compétente dans les conditions prévues par l’article L. 114‑1 du code de la Sécurité Intérieure, selon des modalités précisées par décret.

Les enquêtes administratives prévues par l’article L. 114‑1 du CSI prévoient notamment la possiblité de consulter du bulletin n° 2 du casier judiciaire et de traitements automatisés de données à caractère personnel relevant de l’article 31 de la loi n° 78‑17 du 6 janvier 1978, qui contient une partie des condamnations pénales des personnes visées et est généralement demandé pour les emplois amenant à être en contact avec des personnes mineures.

L’avis de la CNIL permettrait ainsi de motiver davantage les demandes d’enquêtes administratives, qui peuvent entraîner la consultation de données personnelles à caractère sensible.

Par cet amendement, le groupe LFI souhaite intégrer au sein de la commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense, des représentants du Parlement. Cette disposition vise à renforcer la légitimité démocratique, la transparence et le contrôle parlementaire dans les processus de sanction relatifs à la sécurité des infrastructures critiques.

La commission des sanctions, instituée dans le cadre du renforcement du régime de cybersécurité des opérateurs d’importance vitale (OIV) et des entités essentielles à la continuité de l'État, est investie d’un pouvoir administratif substantiel. Elle peut en effet prononcer des sanctions lourdes à l’égard d’acteurs économiques ou d’opérateurs stratégiques, en cas de manquements graves aux obligations de cybersécurité ou de résilience. Ces décisions, bien que de nature administrative, peuvent avoir des répercussions significatives sur la sécurité nationale, la stabilité économique, la souveraineté technologique ou encore la continuité des services publics.

Dans ce contexte, la présence de parlementaires au sein de la commission permettrait en outre de renforcer la confiance des citoyens et des opérateurs concernés dans l’impartialité et l’équité des décisions rendues.

Enfin, cette mesure s’inscrit dans une logique de renforcement des mécanismes de contrôle institutionnel. À l’heure où les autorités administratives indépendantes et les agences techniques exercent des prérogatives croissantes, parfois en marge du contrôle politique, il est fondamental de réaffirmer le rôle du Parlement dans les décisions touchant à la souveraineté, à la sécurité collective et aux droits des opérateurs économiques.

Cet amendement intègre les vulnérabilités des sous-traitants à l'analyse des dépendances réalisée par les opérateurs d'importance vitale. 

Conformément aux dispositions prévues par la directive REC, l'interdépendance croissante de l'économie nécessite de la part des opérateurs d'importance vitale une analyse détaillée des vulnérabilités de leur chaîne d'approvisionnement pour limiter les risques d'incidents. Or, cette analyse ne peut être complète sans prendre en compte les sous-traitants, dans une démarche analogue à celle prévue par la directive de 2022 sur le devoir de vigilance des entreprises. 

Afin d'éviter de surcharger les opérateurs, il est proposé que cette analyse soit réalisée selon un délai supplémentaire aux 9 mois prévus pour l'analyse des dépendances par la directive REC. Ce délai sera fixé par voie réglementaire 

Le présent amendement propose de clarifier la notion d’infrastructure critique, utilisée en droit européen dans la directive REC transposée au titre Ier. 

La directive REC adopte une définition de la notion d’infrastructure critique plus large que celle couvrant le périmètre actuel de la notion de point d’importance vitale (PIV), utilisée en droit national et bien appréhendée par les opérateurs.

Par conséquent, le projet de loi avait fait le choix initial de conserver le périmètre actuel des PIV, et de concevoir ces derniers comme une catégorie spécifique d’infrastructure critique au sens de la directive, au même titre que les Systèmes d’information d’importance vitale (SIIV). Cela réservait la possibilité d’avoir des infrastructures critiques ne correspondant ni à des PIV, ni à des SIIV, d'où l’emploi de l’adverbe « notamment ».

Toutefois, la multiplication, récente, des textes européens faisant référence à la notion d’infrastructure critique telle qu’elle apparaît dans la directive REC rend de moins en moins pertinente et intelligible la distinction entre, d’une part, des infrastructures critiques qui correspondraient aux PIV ou aux SIIV, et d’autre part, des infrastructures critiques qui n’en seraient pas.

Pour des raisons de lisibilité, de clarté du champ d’application des textes européens au niveau national et de simplification, il apparaît souhaitable de lever toute ambiguïté en prévoyant d’élargir le périmètre de la notion de PIV en rendant le caractère non substituable de l’infrastructure comme un élément d’appréciation de son caractère sensible, pour qu’elle couvre entièrement celui des infrastructures critiques physiques. Les infrastructures non physiques (SIIV) ne nécessitent en revanche pas un même ajustement

Concrètement, cette précision, qui étend le champ de la notion de PIV, ne devrait pas conduire à une augmentation substantielle de leur nombre. Tout en étant plus large, la notion d’infrastructure critique demeure extrêmement proche de celle de PIV. 

Par cet amendement, le groupe LFI souhaite modifier les critères de désignation des membres de la commission des sanctions afin de renforcer son indépendance et son impartialité. Le groupe LFI souhaite également renforcer l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. En privant l'exécutif de la possibilité de renouveler le mandat des membres de la commission des sanctions, le caractère désintéressé des décisions prises par elle s'en trouvera renforcé.

L'avis des commissions des lois de l'Assemblée nationale et du Sénat permet en effet aux deux assemblées d'exercer leur pouvoir de contrôle sur les nominations décidées par l'exécutif, et ainsi prévenir d'éventuels conflits d'intérêt qui pourraient déboucher de ces nominations.

Lorsque la commission des sanctions est saisie par l’ANSSI, les 3 personnes qualifiées nommées par le Premier Ministre et les Présidents du Sénat et de l’Assemblée nationale ne peuvent avoir été membre dans les 3 dernières années d’un opérateur concerné par les sanctions, ni avoir été membre de l’ANSSI durant la même période (article 36 du PJL). Le présent amendement vise également à étendre cette condition à tous les membres de la commission des sanctions, et pas seulement lors d’une saisine par l’ANSSI.

Cet amendement vise à préciser le périmètre de l'analyse des risques de dépendance que doivent conduire les opérateurs d'importance vitale (OIV), afin de prendre en compte la nature de plus en plus numérique de nos infrastructures critiques. L'article L. 1332-4, dans sa rédaction issue du projet de loi, impose une analyse des dépendances à l'égard des tiers et des vulnérabilités des chaînes d'approvisionnement. 

Le présent amendement vient utilement clarifier que cette analyse doit explicitement inclure l'un des risques stratégiques majeurs du XXIe siècle : la dépendance technologique vis-à-vis de fournisseurs de solutions logicielles et matérielles propriétaires. Cette démarche s'inscrit dans la continuité des travaux du Parlement. Le rapport d'information de l'Assemblée nationale « Bâtir et promouvoir une souveraineté numérique nationale et européenne » (n°4299, 2021) souligne que la maîtrise technologique et la réversibilité sont des principes fondamentaux de la souveraineté de l'État. De même, cet amendement étend aux OIV l'esprit de l'article 16 de la loi pour une République numérique, qui impose déjà aux administrations de veiller à la « maîtrise, la pérennité et l'indépendance de leurs systèmes d'information ». En effet, l'enfermement propriétaire constitue une vulnérabilité critique pour la Nation. 

Cet amendement demande donc que l'analyse des risques évalue spécifiquement trois aspects clés lors du choix d'une solution propriétaire :

1. La continuité de service : Quelle est la pérennité de la solution si le fournisseur disparaît ou cesse de la maintenir ? Existe-t-il une stratégie de réversibilité ?

2. Le coût à long terme : Au-delà du coût d'acquisition, quel est le coût total de possession, incluant les montées en version et les frais de maintenance imposés par des fournisseurs en situation de monopole ?

3. La capacité d'audit indépendant : Est-il possible pour l'OIV ou pour un tiers de confiance mandaté par l'État de vérifier en profondeur le fonctionnement de la solution pour y déceler d'éventuelles failles de sécurité ou des fonctionnalités non documentées ?

Imposer cette analyse de risque, c'est s'assurer que les OIV prennent des décisions éclairées, qui garantissent non seulement leur propre résilience, mais aussi la sécurité et l'autonomie stratégique de la France.

Historiquement, dans le dispositif français, ce sont les ministères compétents des secteurs d’activité qui désignent les OIV. Il serait donc justifié qu’un représentant du ministère compétent de l’OIV mis en cause participe aux délibérations de la commission des sanctions.

Il serait ainsi en mesure d’apporter d’éventuels éléments non techniques (politiques publiques, économiques, sociaux, etc.) à charge ou à décharge susceptibles d’influer sur la décision de la commission des sanctions.

Amendement travaillé avec le Cybercercle

Amendement de précision.

L'opérateur d'importance vitale relevant de la catégorie d'entité critique doit garantir l’activité régulière de chaque point d’importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs qui peuvent s’avérer indispensables pour assurer leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver.

Cet amendement prévoit que les entités listées à l’alinéa premier de l’article 14 mettent en œuvre à leurs frais les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services.

Cet amendement complète l’alinéa 5 de l’article 14 du projet de loi pour préciser que les entités listées à l’alinéa 1 de ce même article prennent les mesures nécessaires pour garantir la résilience des réseaux et des systèmes d’information.

Cet amendement, d'une part, ajoute les ministères à la liste des personnes avec lesquelles l'ANSSI se concertera pour l'élaboration, la modification et la publication du référentiel d'exigences techniques et organisationnelles, et d'autre part, procède à des modifications d'ordre rédactionnelles dans un but de clarification.

Cet amendement procède à une réécriture quasi complète de l'article 15 afin de clarifier les conditions dans lesquelles seront reconnues les normes et spécifications techniques, européennes ou internationales permettant aux entités régulées de démontrer leur conformité toute ou partie aux objectifs visés. Il vise par ailleurs à faciliter, pour les entités établies dans plusieurs pays au sein de l’Union européenne, la reconnaisance de leur conformité de toute ou partie des objectifs visés lorsqu’elles appliquent un autre référentiel que celui de l’ANSSI.

Cet amendement vise à ce que la liste des entités essentielles et importantes soit la plus conforme possible à la réalité des secteurs d’activités concernés. Les opérateurs d’importance vitale visés par le titre I du projet de loi sont désignés par les ministères coordonnateurs du secteur auxquels ils appartiennent. Les acteurs visés par le titre III sont notamment désignés par les ministères économiques et financiers.

En cohérence, cet amendement vise à apporter l’expertise les ministères coordonnateurs des secteurs d’activités visés par le projet de loi afin que les listes élaborées d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.

Ainsi, certaines entités ne correspondant pas aux critères prédéfinis d’entité importante ou essentielle pourraient être intégrées à la liste des entités concernées pour des critères stratégiques, économiques, technologiques ou sociaux relevant de l’analyse des ministères coordonnateurs. D’autres entités connues des ministères coordonnateurs pourraient omettre de s’enregistrer.

Amendement travaillé avec le Cybercercle.

Par cet amendement, le groupe LFI souhaite modifier les critères de désignation des membres de la commission des sanctions afin de renforcer son indépendance et son impartialité. Le groupe LFI souhaite également renforcer l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. En privant l'exécutif de la possibilité de renouveler le mandat des membres de la commission des sanctions, le caractère désintéressé des décisions prises par elle s'en trouvera renforcé.

L'avis des commissions des lois de l'Assemblée nationale et du Sénat permet en effet aux deux assemblées d'exercer leur pouvoir de contrôle sur les nominations décidées par l'exécutif, et ainsi prévenir d'éventuels conflits d'intérêt qui pourraient déboucher de ces nominations.

Lorsque la commission des sanctions est saisie par l’ANSSI, les 3 personnes qualifiées nommées par le Premier Ministre et les Présidents du Sénat et de l’Assemblée nationale ne peuvent avoir été membre dans les 3 dernières années d’un opérateur concerné par les sanctions, ni avoir été membre de l’ANSSI durant la même période (article 36 du PJL). Le présent amendement vise également à étendre cette condition à tous les membres de la commission des sanctions, et pas seulement lors d’une saisine par l’ANSSI.

Par cet amendement, le groupe LFI souhaite modifier les critères de désignation des membres de la commission des sanctions afin de renforcer son indépendance et son impartialité. Le groupe LFI souhaite également renforcer l'indépendance de la commission des sanctions en supprimant la possibilité de renouveler le mandat de ses membres. En privant l'exécutif de la possibilité de renouveler le mandat des membres de la commission des sanctions, le caractère désintéressé des décisions prises par elle s'en trouvera renforcé.

L'avis des commissions des lois de l'Assemblée nationale et du Sénat permet en effet aux deux assemblées d'exercer leur pouvoir de contrôle sur les nominations décidées par l'exécutif, et ainsi prévenir d'éventuels conflits d'intérêt qui pourraient déboucher de ces nominations.

Lorsque la commission des sanctions est saisie par l’ANSSI, les 3 personnes qualifiées nommées par le Premier Ministre et les Présidents du Sénat et de l’Assemblée nationale ne peuvent avoir été membre dans les 3 dernières années d’un opérateur concerné par les sanctions, ni avoir été membre de l’ANSSI durant la même période (article 36 du PJL). Le présent amendement vise également à étendre cette condition à tous les membres de la commission des sanctions, et pas seulement lors d’une saisine par l’ANSSI.

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d’une véritable stratégie en faveur de la souveraineté numérique. c’est le sens de notre amendement.

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d’une véritable stratégie en faveur de la souveraineté numérique. c’est le sens de notre amendement.

Le présent amendement propose de clarifier la notion d’infrastructure critique utilisée dans la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (directive « REC »), dont la transposition est assurée par le présent projet de loi.

La directive « REC » adopte une définition de la notion d’infrastructure critique plus large que celle couvrant le périmètre actuel de la notion nationale de point d’importance vitale (PIV), bien connue et appréhendée par les opérateurs concernés.

Par conséquent, le Gouvernement avait fait le choix initial de conserver le périmètre actuel des PIV, et de concevoir ces derniers comme une catégorie spécifique d’infrastructure critique au sens de la directive, au même titre que les Systèmes d’information d’importance vitale (SIIV), tout en réservant la possibilité d’avoir des infrastructures critiques ne correspondant ni à des PIV, ni à des SIIV par l’emploi de l’adverbe « notamment ».

Toutefois, la multiplication, récente, des textes européens faisant référence à la notion d’infrastructure critique telle qu’elle apparaît dans la directive « REC » (Recommandation du Conseil du 25 juin 2024 relative à un schéma directeur visant à coordonner au niveau de l’Union la réponse en cas de perturbations des infrastructures critiques ayant une dimension transfrontière notable ; Règlement (UE) 2024/1309 du Parlement européen et du Conseil du 29 avril 2024 relatif à des mesures visant à réduire le coût du déploiement de réseaux gigabit de communications électroniques, modifiant le règlement (UE) 2015/2120 et abrogeant la directive 2014/61/UE (règlement sur les infrastructures gigabit) ; Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) ; Conclusions du Conseil portant sur la révision de la stratégie de sureté maritime de l’UE (SSMUE) et son plan d’action ; Recommandation (UE) 2024/779 de la Commission du 26 février 2024 pour des infrastructures de câbles sous-marins sûres et résilientes) rend de moins en moins pertinente et intelligible la distinction entre, d’une part, des infrastructures critiques qui correspondraient aux PIV ou aux SIIV, et d’autre part, des infrastructures critiques qui n’en seraient pas.

Pour des raisons de lisibilité, de clarté du champ d’application des textes européens au niveau national et de simplification, il apparaît souhaitable de lever toute ambiguïté en prévoyant d’élargir le périmètre de la notion de PIV en rendant le caractère non substituable de l’infrastructure comme un élément d’appréciation de son caractère sensible, pour qu’elle couvre entièrement celui des infrastructures critiques physiques. Les infrastructures non physiques (SIIV) ne nécessitent en revanche pas un même ajustement

Concrètement, cette précision qui étend sur le territoire national le champ de la notion de PIV ne devrait pas conduire à une augmentation substantielle de leur nombre, car tout en étant plus large, la notion d’infrastructure critique demeure extrêmement proche de celle de PIV, telle qu’actuellement définie dans le code de la défense.

L’amendement poursuit un objectif de cohérence en visant à soumettre l’ensemble des opérateurs d’importance vitale (OIV) aux obligations de notification d’incidents importants et de vulnérabilités critiques prévues à l’article 17. En effet, en ne visant que le premier alinéa de l’article 17 du projet de loi, la rédaction actuelle de l’article L. 1332-11 prévue à l’alinéa 60 omet l’obligation de notification par les OIV à leurs destinataires de services des incidents importants ayant un impact direct sur ceux-ci ainsi que des vulnérabilités critiques et de leurs mesures de correction.

D’autre part, l’amendement vise à clarifier l’articulation entre les obligations applicables aux opérateurs d’importance vitale (OIV) et celles qui leurs sont applicables en vertu d’un acte juridique sectoriel de l’Union européenne. En effet, il existe des OIV qui n’entrent pas dans le champ d’application de la directive NIS 2 et qui ne sont, ainsi, ni entité essentielle, ni entité importante. En revanche, ils peuvent entrer dans le champ d’application de règlementations sectorielles. Tel est le cas, par exemple, d’OIV qui relèvent du règlement DORA sans pour autant entrer dans la catégorie des entités essentielles ou des entités importantes. Il importe donc de ne pas multiplier les exigences de sécurité qui auraient une même finalité lorsque les opérateurs sont soumis à des dispositions d’effet au moins équivalent, lesquelles priment sur le régime général s’agissant d’une lex specialis.

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

Le présent amendement vise à améliorer sensiblement le degré de préparation des collectivités territoriales face à la menace cyber en intégrant explicitement le risque de cyberattaque au sein du Plan Communal de Sauvegarde (PCS).

Alors que les collectivités jouent un rôle essentiel dans la continuité des services publics et la gestion des crises locales, elles sont devenues ces dernières années des cibles privilégiées des cybercriminels et d'acteurs étatiques hostiles. Selon l’ANSSI, plus de 350 collectivités ont été victimes d'une cyberattaque en 2023, dont une majorité de communes de taille moyenne, souvent démunies en matière de protection informatique.

Les exemples concrets abondent. En septembre 2024, la mairie de Caen a été victime d'une attaque par rançongiciel paralysant plusieurs de ses services administratifs pendant plusieurs jours. À la même période, la ville de Chaville (Hauts-de-Seine) a vu son système d'information compromis, entraînant la perte d'accès à des documents sensibles et des données personnelles. En 2022, la ville de La Rochelle avait également subi une cyberattaque majeure, impactant la gestion de ses services numériques.

Ces incidents démontrent la vulnérabilité des collectivités et l'impact potentiel de ces attaques : paralysie administrative, interruption des services aux usagers, atteinte à la confidentialité des données des citoyens, voire mise en danger de la sécurité des populations en cas d'atteinte aux systèmes d'alerte ou de gestion de crise.

Or, le Plan Communal de Sauvegarde, prévu par l'article L.731-3 du Code de la sécurité intérieure, constitue l'outil de référence permettant d'organiser la réponse opérationnelle de la commune en cas d'événement grave : catastrophes naturelles, risques technologiques, sanitaires… Il apparaît aujourd'hui indispensable que les risques cyber soient explicitement intégrés à ce dispositif, au même titre que les autres menaces susceptibles de désorganiser la vie locale. Le présent amendement vise donc à améliorer sensiblement le degré de préparation des collectivités en ajoutant le risque cyber au sein du plan communal de sauvegarde. Cet amendement a été travaillé avec Hexatrust.

Le présent amendement vise à inscrire le devoir d'information des populations, sans préjuger que
cela doive être fait par les seuls Plans Communaux de Sauvegarde, prévus par le code de la sécurité
intérieure.
Il s'agit, comme le fait le GIP ACYMA au niveau national, que la prévention soit aussi locale et
territoriale.
En effet, il est économe de prévenir les risques et sensibiliser sur la cybersécurité avec la réalisation
de publications et de campagnes de sensibilisation et de prévention contre les cybermenaces, grâce
à des contenus sous différents formats, et très fortement localement.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer

la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et

bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à garantir le fait que

l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier

fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au

stade de la collecte.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de

« confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute

action judiciaire.

Précisément pour pallier l’opacité des registres actuels, l’article 28 de la Directive NIS 2 prévoit

bien la collecte des informations « du point de contact qui gère le nom de domaine, si ces

coordonnées sont différentes de celles du titulaire » (art. 28.1(d)).

Le fait que la loi nationale vise bien les cas de recours à des services tiers est ainsi vital pour

l’ensemble des personnes en situation de défendre leurs droits dans l’espace numérique, notamment

les titulaires de droits de propriété intellectuelle (droit d’auteur, droits voisins, droit des marques,

des dessins et modèles…), les associations de protection de l’enfance ou associations de

consommateurs.

Force est de tirer des conséquences concrètes du fait que certains bureaux d’enregistrement de noms

de domaine font obstacle à une coopération avec les victimes d’infractions pénales ou d’attaques

contre des systèmes informatiques en se fondant sur la confidentialité, privant de recours efficace

les personnes en cas de conflit.

L’État doit veiller, à l’instar de ce qui est pratiqué dans le domaine de la sécurité routière, à faire émerger une marque nationale de prévention du risque numérique, connue du grand public, en capitalisant sur le modèle du cyber moi/s européen.

Le développement de cette marque serait confiée au Groupement d’Intérêt Public Action contre la cybercriminalité (GIP ACYMA), qui deviendrait ainsi le maître d’oeuvre d’un programme ambitieux de prévention nationale en matière de cybersécurité.

Amendement de précision.

L’opérateur d’importance vitale relevant de la catégorie d’entité critique doit garantir l’activité régulière de chaque point d’importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs qui peuvent s’avérer indispensables pour assurer leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver.

L’article 1er institue une commission des sanctions contre les opérateurs qui manqueraient à leurs obligations. Cet amendement vise à consacrer l’application du principe du contradictoire tout au long de la procédure devant cette commission.

La commission pourra infliger des sanctions lourdes avec des amendes allant jusqu’à 2 % du chiffre d’affaires annuel mondial d’une entreprise. Dans ces conditions, il est nécessaire d’inscrire explicitement dans la loi le principe du contradictoire. Le décret d’application devra prévoir des garanties suffisantes, l’opérateur devra notamment pouvoir être à même de consulter le dossier établi à son encontre et il devra aussi pouvoir présenter des observations écrites et orales.

Cet amendement vise à ce que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et systèmes d’information d’importance vitale soit pris après avis de la CNIL.

Le présent PJL modifie l’article L. 1332‑6 du code de la défense dans une nouvelle rédaction qui prévoit l’élargissement du champ des enquêtes administratives de sécurité aux accès à distance aux Point d’Importance Vitale (PIV), ainsi qu’aux Systèmes d’Information d’Importance Vitale (SIIV). Il prévoit ainsi qu’avant d’accorder une autorisation d’accès physique ou informatique à un PIV ou un SIIV, un OIV peut demander l’avis de l’autorité administrative compétente dans les conditions prévues par l’article L. 114‑1 du code de la Sécurité Intérieure, selon des modalités précisées par décret.

Les enquêtes administratives prévues par l’article L. 114‑1 du CSI prévoient notamment la possiblité de consulter du bulletin n° 2 du casier judiciaire et de traitements automatisés de données à caractère personnel relevant de l’article 31 de la loi n° 78‑17 du 6 janvier 1978, qui contient une partie des condamnations pénales des personnes visées et est généralement demandé pour les emplois amenant à être en contact avec des personnes mineures.

L’avis de la CNIL permettrait ainsi de motiver davantage les demandes d’enquêtes administratives, qui peuvent entraîner la consultation de données personnelles à caractère sensible.

L’article 2 (2) de la directive 2022/2557, qui définit la notion de résilience, contient également le concept de rétablissement suite à incident.

Cet amendement a pour objectif d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Cet amendement vise à préciser la définition d’agent agissant pour le compte des bureaux d’enregistrement afin de clarifier les agents soumis au présent projet de loi. La définition vise notamment à dresser une liste non exhaustive de ces agents qui inclurait les revendeurs de noms de domaine ainsi que les fournisseurs de services d’anonymisation ou d’enregistrement fiduciaire comme la prévoit la directive.

Par mesure de clarification et de simplification de la rédaction, le présent amendement tend, d’une part, à utiliser directement au sein du 5° de l’article les définitions prévues aux 1° et 2° du même article et, d’autre part, à ajouter les agents agissant pour le compte de bureaux d’enregistrement dans la définition prévue au même 5°.

Cet amendement vise à reprendre la définition telle que prévue par la directive NIS 2 qui ne prévoit pas le facteur humain, dans un souci d’harmonisation de cette définition avec les autres Etats membres.

Cet amendement a pour objectif d’inclure les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux dans le périmètre du projet de loi.

Cet amendement vise à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales.

La directive NIS 2 prend en compte cette possibilité au niveau de son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la règlementation relative à la sécurité nucléaire, mentionnées à l’article L.1333-2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L.1333-2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services.

Cet amendement a pour objectif d’inclure les établissements publics de santé ainsi que les établissements et services sociaux et médico-sociaux dans le périmètre du projet de loi.

Par cet amendement, le groupe LFI souhaite étendre la protection des lanceurs d’alerte aux agents mentionnés à l’article L1332‑12. La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Sapin II », complétée par la loi du 21 mars 2022 transposant la directive européenne dite « Whistleblower » a consacré le principe et la légitimité de l’action des lanceurs d’alerte, et permis en partie de les protéger.

Les lanceuses et lanceurs d’alerte sont des vigies citoyennes, qui participent à l’intérêt général en révélant des scandales liés soit à des violations d’une norme, ou à des pratiques condamnables puisque contraires à l’intérêt général. Les OIV sont par essence essentielles au bon fonctionnement de notre société, de nos institutions et de notre économie. Une défaillance majeure de l’une d’entre elles pourrait avoir des conséquences extrêmement graves sur l’ensemble du pays. Dans le cadre de leurs missions, les agents habilités à rechercher et constater les manquements prévus à l’article 1 de ce PJL peuvent être confrontés à de telles situations ; il apparaît indispensable qu’ils puissent alerter publiquement et sans risques de poursuites l’opinion et les pouvoirs publics en cas de défaillance de leur hiérarchie, de manque de temps ou autre situation présentant un risque majeur à l’intérêt général du pays.

Cet amendement vise à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales.

La directive NIS 2 prend en compte cette possibilité au niveau de son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L. 1333‑2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services.

Cet amendement vise à transposer le 8. de l’article 2 de la directive dite NIS 2[1] qui permet aux Etats membres d’exempter des entités spécifiques qui exercent dans les domaines visés par cette disposition, de certaines obligations, notamment en matière de gestion des risques et de notification d’incidents importants. Cette disposition permettrait, de manière exceptionnelle, et lorsque le niveau d’exigences en matière de cybersécurité sera au moins équivalent pour ces entités qu’elles ne soient pas soumises à certaines obligations. 

[1] DIRECTIVE (UE) 2022/2555 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à s’assurer de l’intégration des agents agissant pour le compte des bureaux d’enregistrement à la liste des entités établie par l’autorité nationale de sécurité des systèmes d’information, en conformité avec la directive tout en tenant compte de l’adaptation de terminologie entre la directive et le projet de loi.

Le présent amendement tend à clarifier les dispositions qui ne trouvent pas à s’appliquer dans le cas d’un acte sectoriel de l’Union européenne reconnu comme lex specialis qui prévoit des dispositions équivalentes. Il tend ainsi à préciser que sont uniquement concernées les dispositions relatives à l’application de mesures de sécurité, à la notification des incidents ainsi qu’à celles de la supervision permettant d’en vérifier le respect. En dehors de ces dispositions, les entités restent soumises au projet de loi, comme par exemple, l’obligation d’enregistrement issue de l’article 12 dont elles ne sont pas déliées.

Le présent amendement tend à reconnaître l’importance que revêt la sécurité des systèmes d’information, à laquelle contribue le chiffrement des communications électroniques, du point de vue de l’intérêt général.

Ce faisant, il revient sur la rédaction initiale de l’article 16 bis, qui pose des difficultés désormais connues. Celle-ci percute en particulier un travail conduit par les services de l’État, qui exige une temporalité et une sérénité avec lesquelles il serait dommageable que le législateur interfère. Le présent amendement tend donc à reconnaître l’importance du chiffrement des moyens de communication électroniques tout en laissant à ces services le temps de mener à leur terme ces travaux.

Le fruit de ceux-ci serait en outre présenté au Parlement dans le cadre d’un rapport remis dans les douze mois suivant la promulgation de la loi, afin de garantir la pleine information des parlementaires pour légiférer ultérieurement sur un sujet particulièrement complexe.

Tel est l’objet du présent amendement.

Cet amendement vise à corriger une erreur rédactionnelle suite à la reprise textuelle de l’article 14 du projet de loi. En tant qu’établissement public à caractère industriel et commercial, le CEA, notamment pour ses activités dans le domaine de la défense, n’est en effet pas concerné par ces exigences spécifiques fixées par le Premier ministre à l’égard des systèmes d’information permettant des échanges d’informations par voie électronique avec le public et d’autres administrations.

Ces exigences ne concernent en effet que les administrations qui sont entités essentielles ou importantes, les administrations de l’Etat et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale, ou des missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d’information, et enfin les juridictions administratives et judiciaires.

Cet amendement vise essentiellement à reprendre la rédaction du 2. de l’article 23 de la directive NIS 2 qui régit les obligations des Etats-Membres et des entités en matière d’information aux destinataires des services lorsque l’entité essentielle ou importante identifie qu’une vulnérabilité critique est susceptible de les affecter.

Il vise à clarifier le champ des informations devant leur être communiquées en s’alignant sur le 2. de l’article 23 de la directive NIS 2, qui limite le champ des informations communiquées aux destinataires aux mesures et corrections que les utilisateurs peuvent appliquer, et, le cas échéant, les informations relatives à la vulnérabilité elle-même.

L’amendement vise également à préciser la rédaction du texte actuel qui n’indique pas à qui sont notifiés les incidents importants et les vulnérabilités critiques.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations en matière de protection des données prévues à l’alinéa 2 de l’article 19 du projet de loi.

Le présent amendement vise à clarifier le fait que les procédures de vérification des données n’ont pas pour objectif de s’assurer de l’exactitude de ces données au moment de leur collecte. En effet, les offices et bureaux d’enregistrement n’ont pas les capacités d’effectuer une telle vérification au moment même de la collecte pour l’ensemble des noms de domaine.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations prévues à l’article 20 du projet de loi portant sur la durée de conservation des données relatives à chaque nom de domaine.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à garantir le fait que l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au stade de la collecte.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute action judiciaire.

Précisément pour pallier l’opacité des registres actuels, l’article 28 de la Directive NIS 2 prévoit bien la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (art. 28.1(d)).

Le fait que la loi nationale vise bien les cas de recours à des services tiers est ainsi vital pour l’ensemble des personnes en situation de défendre leurs droits dans l’espace numérique, notamment les titulaires de droits de propriété intellectuelle (droit d’auteur, droits voisins, droit des marques, des dessins et modèles…), les associations de protection de l’enfance ou associations de consommateurs.

Force est de tirer des conséquences concrètes du fait que certains bureaux d’enregistrement de noms de domaine font obstacle à une coopération avec les victimes d’infractions pénales ou d’attaques contre des systèmes informatiques en se fondant sur la confidentialité, privant de recours efficace les personnes en cas de conflit.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement l’obligation de publication des données d’enregistrement qui n’ont pas de caractère personnel prévue à l’article 21 du projet de loi.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise, en conformité avec la directive, à appliquer aux agents agissant pour le compte des bureaux d’enregistrement les obligations prévues à l’article 22 du projet de loi, portant sur la communication des données relatives aux noms de domaine aux agents habilités à cet effet par l’autorité judiciaire.

Le projet de loi emploie, en lieu et place du terme « entité fournissant des services d’enregistrement de noms de domaine » utilisé dans la directive, le terme « bureau d’enregistrement » qui est utilisé dans le code des postes et des communications électroniques.

Cet amendement vise à étendre aux agents agissant pour le compte des bureaux d’enregistrement les dispositions de l’article 25, en cohérence avec l’intégration des bureaux d’enregistrement au sein de cet article. Cette intégration se justifie par ailleurs par le besoin opérationnel de l’autorité nationale de sécurité des systèmes d’information pour éviter ou remédier à un incident.

Le présent amendement tend à supprimer la certification par l’ANSSI des services de coffre-fort numérique, pour trois raisons.

Premièrement, les dispositions prévues aux 1° à 5° de cet article et précisées dans les décrets no 2018-418[1] et no 2018-853[2] permettent de garantir un niveau de sécurité minimal, jugé suffisant par l’ANSSI, pour les services de coffre-fort numérique s’accompagnant d’un régime de sanction porté par l’article L. 122-22 du code de la consommation.

De plus, la certification de ces services de coffre-fort numérique, introduite à l’avant-dernier alinéa de l’article L. 103 du code des postes et des communications électroniques, n’est pas obligatoire pour les fournisseurs de tels services. Par ailleurs, aucun cas d’usage nécessitant le recours à un service de coffre-fort numérique certifié n’est identifié. Par conséquent, aucun autre cadre légal ou règlementaire ne prévoit d’imposer le recours à de tels services certifiés.

Enfin, la mise en place d’une telle certification représente un coût aussi bien pour l’administration que pour les fournisseurs de services de coffre-fort numérique qui souhaiterait bénéficier de cette certification. En effet, c’est l’administration et particulièrement l’ANSSI qui a la responsabilité, en lien avec le COFRAC, de mettre en œuvre le schéma lié à la certification des services de coffre-fort numérique et, une fois ce schéma mis en œuvre, de procéder à la certification desdits services. Pour les fournisseurs de ces services, la certification représente un coût significatif lié à la mise en conformité aux exigences prévues par le cahier des charges mentionné par l’avant-dernier alinéa de l’article L. 103 du CPCE d’une part et un coût lié au processus de certification d’autre part.

[1] Décret no 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique

[2] Décret no 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique

Il s’agit d’un amendement de cohérence permettant de soumettre au contrôle de l’autorité nationale de sécurité des systèmes d’information les opérateurs d’importance vitale qui ne sont pas déjà soumis à son contrôle en tant qu’entité essentielle ou importante. En effet, la rédaction actuelle de l’article 26 ne couvre que les OIV des secteurs prévus par les directives NIS2 et REC soumis au contrôle en vertu des chapitre II et III du projet de loi alors que les OIV hors du champ des directives relèvent uniquement de l’article L. 1332‑11 du code de la défense portant les obligations qui leur sont applicables.

La certification des services de coffre-fort numérique ayant été abrogée par l’article 26A du projet de loi, cet amendement de cohérence vise à supprimer corrélativement la compétence de l’ANSSI à contrôler le respect de cette certification.

L’amendement a pour objectif d’appliquer le règlement UE n° 2024/2847, dit CRA (CyberResilienceAct) visant à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique, qui entrera prochainement en vigueur en droit national. 

Il ouvre en particulier la possibilité aux agents de l’ANSSI d’effectuer des contrôles pour rechercher les manquements au règlement CRA.

Le présent amendement tend à compléter les prérogatives des agents et personnels en charge des contrôles des entités assujetties en ouvrant la possibilité de prélever des échantillons de produits.

En effet, la mise en œuvre du règlement n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité) impose la pratique de prélèvements d’échantillons de produit. De même, le règlement (UE) n°2019/881 du règlement (UE) n ° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE nécessitent d’effectuer des prélèvements de produits afin de tester le respect des exigences techniques qui leur sont applicables. Dans ces conditions, le présent amendement tend à ouvrir la possibilité pour les agents contrôleurs de procéder à des prélèvements, dans des conditions directement inspirées de celles prévues aux articles L. 512-23 et L. 512-24 du code de la consommation.

Par cet amendement, les député.es du groupe LFI souhaitent mieux encadrer la collecte de données par les agents de l’Anssi.

Le contrôle effectué par l’Anssi – ainsi que par les organismes indépendants – est particulièrement intrusif (accès aux données sensibles et personnelles, secret professionnel non opposable, etc.). Dès lors, et dans la mesure où des organismes privés peuvent avoir accès à ces données, il paraît nécessaire d’ajouter une limite supplémentaire, restreignant les documents pouvant être stockés par les agents. Dès qu’il apparaît qu’un document ou élément n’est pas utile pour l’instruction, il ne peut être gardé ou retranscrit par l’Anssi.

Par cet amendement nous ne souhaitons pas protéger certains grands groupes en tant que tels. Nous souhaitons garantir un contrôle mieux encadré et respectueux des libertés fondamentales et notamment la vie privée en ce qui concerne l’accès à des données à caractère personnel.

Cet amendement vise à exclure explicitement du champ d’application de la directive NIS 2 les activités liées à la sécurité nucléaire, pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales tout en conservant leur assujettissement à un niveau d’exigence rigoureusement équivalent à celui prévu par la directive NIS 2.

La directive NIS 2 prend en compte cette possibilité à son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »

Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L.1333-2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.

Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L.1333-2 du code de la défense.

Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services. Ces entités pourront également faire l’objet de contrôles de l’autorité nationale de sécurité des systèmes d’information et faire l’objet des sanctions prévues à l’article 37.

Le présent amendement a pour objectif d’offrir la possibilité pour les entités régulées de se prévaloir du recours à certaines prestations de services qualifiés, pour faciliter la démonstration de leur respect à tout ou partie des objectifs de sécurité. Cet amendement répond aux préoccupations émises par la commission spéciale relative à l’encadrement du recours aux prestataires qualifiés.

Il permet en ce sens de valoriser le recours par les entités assujetties aux prestations qualifiées par l’ANSSI et de favoriser le développement de l’offre de confiance sans pour autant l’imposer aux entités régulées. L’approche incitative qu’il porte constitue une manière équilibrée de répondre à ces préoccupations. Les entités régulées pourront en fonction de leurs besoins identifier les solutions qu’elles considèrent comme adéquates à leurs enjeux. Les conditions d’application des dispositions introduites par le présent amendement seront prévues par décret en Conseil d’Etat.

Par cet amendement, les député.es du groupe LFI souhaitent garantir a minima le secret professionnel lors du contrôle.

L’article prévoit que le secret professionnel ne peut être opposé aux agents lors du contrôle. Si ce dispositif est nécessaire pour permettre un contrôle approfondi de la cybersécurité d’un organisme, il paraît nécessaire d’apporter une garantie supplémentaire au secret professionnel.

Ainsi, nous proposons d’inscrire dans la loi qu’aucun document qui relèvent du secret professionnel ne pourra être copié ou retranscrit par les agents. Ces derniers seront alors limités à leur seule consultation.

Cet amendement procède à une réécriture quasi complète de l'article 15 afin de clarifier les conditions dans lesquelles seront reconnues les normes et spécifications techniques, europénnes ou interationales permettant aux entités régulées de démontrer leur conformité toute ou partie aux objectifs visés. Il vise par ailleurs à faciliter, pour les entités établies dans plusieurs pays au sein de l’Union européenne, la reconnaisance de leur conformité de tout ou partie des objectifs visés lorsqu’elles appliquent un autre référentiel que celui de l’ANSSI.

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).

Par cet amendement, les député.es du groupe LFI souhaitent exclure les « organismes indépendants » du pouvoir de contrôle.

L’article 26 étend les pouvoirs de l’Anssi à la recherche et à la constatation des manquements à la réglementation et des infractions en matière de cybersécurité en l’étendant à l’ensemble des obligations concernant la supervision et la cyberrésilience. De plus, l’article permet à l’Anssi de faire appel à des « organismes indépendants » dont les agents seraient habilités par cette première, pour mener à bien ces missions de contrôle. Le contrôle qui est exercé est particulièrement intrusif, il permet d’accéder à des données sensibles et personnelles, le secret professionnel n’est pas opposable, etc.

Le recours à de tels organismes pose donc plusieurs problèmes :

Un risque d’indépendance et d’ingérence. Bien que Vincent Strubel assurait aux députés en juillet lors des auditions, que « l’Anssi [avait] recours à des prestataires qualifiés qui apportent l’ensemble des garanties nécessaires », un tel propos n’est pas suffisant. D’une part la gestion du risque d’ingérence est particulièrement lourde, et doit être permanente. Ainsi, en multipliant les acteurs, l’Anssi se retrouver à devoir contrôler les organismes indépendants en amont et régulièrement. C’est un non sens !

D’autre part, les données auxquelles ont accès les organismes indépendants sont particulièrement sensibles et il est impossible pour l’Anssi de contrôler à chaque instant l’usage qui sera fait par ces organismes de ces données.

Nous défendons une augmentation des moyens de l’Anssi, pour lui donner le personnel et le matériel nécessaire à assurer la mission de contrôle qui lui incombe. Le recours aux prestataires privés ne peut être une solution viable lorsque cela concerne des enjeux d’indépendance et de souveraineté.

Ainsi cet amendement vise à centraliser le pouvoir de contrôle aux seules mains de l’Anssi et des services étatiques compétents.

Par cet amendement, le groupe LFI souhaite s’assurer que les échanges d’informations couvertes par le secret soit limité au strict minimum et proportionnée à l’objectif du partage, afin d’assurer la meilleure protection possible des données qui en relèvent.

Cette précision légistique – qui reprend des dispositions déjà intégrées par voie d’amendement au Sénat à l’article 23 – est aujourd’hui d’autant plus nécessaire que nous assistons depuis de nombreuses années à une fragilisation de certains secrets protégés par la loi, comme celui de l’instruction et ce, toujours au nom d’un intérêt supposé supérieur qui justifierait de déroger aux principes les plus fondamentaux – dans ce cas, la lutte contre la cybermenace. Dans ce contexte, et puisque le paragraphe 13 de la directive NIS 2 prévoit une dérogation aux secrets protégés par la législation nationale dès lors que l’échange de ces informations est nécessaire à l’application de la directive, nous souhaitons encadrer le plus possible cette possibilité en prévoyant que cet échange se limite au strict nécessaire et soit proportionné au but recherché.

Par cet amendement, le groupe parlementaire LFI prévoit un système de sauvegarde sécurisé pour les données mentionnées à l’article 20, exclusivement pour répondre aux besoins spécifiques des procédures pénales et des enquêtes en cybersécurité.

Cette mesure répond à des enjeux majeurs liés à la nature même des incidents de cybersécurité, qui sont souvent complexes, dissimulés, et détectés avec un retard important, parfois plusieurs années après leur survenue. La capacité des autorités judiciaires et des organismes de sécurité à reconstituer les chaînes d’attaque, identifier les auteurs, et comprendre les mécanismes d’intrusion repose donc sur la disponibilité prolongée de données fiables et complètes.

Par ailleurs, dans le cadre des procédures pénales, la continuité probatoire est essentielle pour garantir l’efficacité des enquêtes et la sécurité juridique des actes réalisés. La conservation étendue des données permet d’éviter que des preuves essentielles soient détruites prématurément, ce qui pourrait compromettre la poursuite des infractions graves liées au cybercrime ou à d’autres formes de délinquance numérique.

Toutefois, conscient des enjeux de protection des données personnelles et des libertés fondamentales, cet amendement insiste sur la mise en place de conditions strictes encadrant l’accès, la traçabilité et la sécurisation de ces données prolongées. Cette organisation garantit que la conservation ne constitue pas un stockage généralisé injustifié, mais un outil ciblé, contrôlé et proportionné, respectant les exigences du droit à la vie privée et des règles applicables en matière de données personnelles.

En somme, cette disposition équilibre la nécessité impérieuse de disposer d’éléments probatoires suffisants dans le temps, tout en assurant un cadre transparent et rigoureux de gestion des données sensibles, contribuant ainsi à renforcer la confiance dans les dispositifs de cybersécurité et dans le système judiciaire.

Par cet amendement, le groupe LFI souhaite renforcer le contrôle exercé par l’État sur les contrats de concession relatifs à la gestion d’infrastructures critiques. Dans un contexte de montée des tensions géopolitiques, de menaces hybrides et de dépendances stratégiques, il est essentiel de garantir la souveraineté de la France sur les secteurs les plus sensibles.

Cet objectif suppose une vigilance particulière à l’égard des modalités de sous-traitance, afin d’écarter tout acteur ou toute technologie susceptible de compromettre la sécurité, la continuité d’activité ou la confidentialité des données. Il passe aussi par la favorisation d’acteurs économiques basés en France, mesure qui permettrait de réduire les vulnérabilités de la France vis-à-vis d’acteurs économiques étrangers.

En imposant l’intégration de clauses de sécurité dans ces contrats, le présent amendement permet de préserver les intérêts fondamentaux de la Nation, tout en favorisant une chaîne de sous-traitance compatible avec les exigences de loyauté, de transparence et d’autonomie stratégique. Il s’inscrit dans une démarche de consolidation de la résilience industrielle française et de protection de notre souveraineté économique.

Par cet amendement, le groupe LFI souligne la nécessité de recourir dans la mesure du possible aux logiciels libres et aux services de cloud réversibles afin de renforcer la sécurité des données collectées.

En effet, l’usage de logiciels libres présente de nombreux atouts : représentant un coût minime, voire nul, les logiciels libres sont très flexibles (ils peuvent être modifiés et personnalisés facilement pour répondre à des besoins spécifiques), plus transparents (code en libre accès), éthique (leurs utilisateurs peuvent s’assurer qu’ils ne contribuent pas à une propriété intellectuelle restrictive et à la surveillance des utilisateurs, ce qui peut être le cas dans les logiciels propriétaires) mais surtout plus sûrs, car ils sont souvent examinés par une communauté de développeurs spécialisée qui peut identifier et corriger les vulnérabilités signalées par les utilisateurs plus rapidement qu’avec les logiciels propriétaires. Quant aux services de cloud réversibles, ils permettent à ses utilisateurs de préserver leur autonomie technologique et d’assurer leur sécurité en leur donnant la faculté de récupérer les données stockées à tout moment, notamment d’un fournisseur de cloud qui ne respecterait pas les exigences minimums de protection des données personnelles collectées (comme les services clouds américains et la législation américaine qui permet au Gouvernement américain d’avoir accès à tout moment aux données stockées par ces derniers, même en Europe) à un autre qui les respecterait.

Dans ce contexte, nous considérons que les administrations publiques devraient s’appuyer sur ces outils libres et transparents pour assurer au mieux la protection des données personnelles qu’ils collectent dans le cadre de leurs activités, garantissant ainsi les droits fondamentaux des citoyens et la souveraineté technologique européenne.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser la liste des données devant être collectées, en reprenant a minima la liste des informations mentionnées à l’article 28.2 de la Directive NIS 2 et en y ajoutant les « adresses postales » des titulaires et points de contact du nom de domaine.

Les États membres peuvent compléter le texte de la directive à l’occasion de sa transposition en droit national à la condition expresse que l’ajout soit conforme à l’objectif poursuivi par ladite directive. En tout état de cause, la liste des données collectées mentionnées à l’article 28 n’est pas limitative (Cf. art. 28.2, « Ces informations comprennent notamment les éléments suivants »). Et de fait, la mention explicite de la collecte de l’adresse postale du titulaire ou du point de contact est absolument indispensable dès lors qu’elle constitue le seul moyen d’adresser officiellement une assignation pour agir en justice.

Si cet amendement ne devait pas être adopté, il serait crucial que le décret d’application fasse état de la collecte de l’adresse postale des titulaires et points de contact pour donner une effectivité à la loi.

Par cet amendement, le groupe LFI veut compléter les grandes missions de l’ANSSI. L’article 5 prévoit qu’elles seront précisées par décret ; toutefois, il en mentionne explicitement certaines, comme « l’accompagnement de la filière cybersécurité ». Cet amendement de précision vise donc à sanctuariser la présence de certaines missions de l’ANSSI dans la loi.

La directive NIS II enjoint les États à adopter des mesures des politiques de promotion de la cyberprotection active, qui consiste en la prévention, la détection, la surveillance, l’analyse et l’atténuation actives des violations de la sécurité du réseau, combinées à l’utilisation de capacités déployées à l’intérieur et en dehors du réseau de la victime. La directive enjoint également les États à développer des « services ou des outils gratuits à certaines entités, y compris des contrôles en libre-service, des outils de détection et des services de retrait. », arguant que « la capacité de partager et de comprendre rapidement et automatiquement les informations et les analyses sur les menaces, les alertes de cyberactivité et les mesures d’intervention est essentielle pour permettre une unité d’effort dans la prévention, la détection, le traitement et le blocage des attaques ciblant des réseaux et systèmes d’information ».

Le politiques de cyberhygiène comportent quant à elles « une base commune de pratiques incluant les mises à jour logicielles et matérielles, les changements de mot de passe, la gestion de nouvelles installations, la restriction des comptes d’accès de niveau administrateur et la sauvegarde de données, facilitent la mise en place d’un cadre proactif de préparation ainsi que de sécurité et de sûreté globales permettant de faire face aux incidents ou aux cybermenaces ».

L’ANSSI fournit quelques ressources et guides de bonnes pratiques en la matière sur son site internet. La numérisation de l’économie et de nos modes de vie a toutefois un impact majeur sur nos sociétés ; les enjeux d’éducation aux bonnes pratiques numériques et à la lutte contre l’illectronisme sont de ce fait devenus des enjeux de politiques publiques majeures, qu’il convient de traiter comme tels en les inscrivant formellement dans la loi le rôle de l’État en matière de cyberprotection et de cyberhygiène.

Par cet amendement, le groupe LFI souhaite s’assurer que la stratégie nationale de cybersécurité comprendra bien les missions de cyberprotection, de cyberhygiène et d’éducation aux bonnes pratiques numériques décrites plus haut.

La directive NIS II enjoint explicitement les États à inclure dans leur stratégie nationale en matière de cybersécurité des mesures de promotion de la cyberprotection active ainsi que la promotion et le développement de l’éducation et de la formation en matière de cybersécurité, des compétences en matière de cybersécurité, des initiatives de sensibilisation et de recherche et développement en matière de cybersécurité, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entité.

Ces mesures d’éducation et de sensibilisation citoyenne et populaire doivent être au coeur de la stratégie nationale de cybersécurité ; leur inscription dans la loi permettrait de les sanctuariser et les ériger en priorité afin de faire du numérique un bien commun émancipateur.

Par cet amendement, le groupe LFI réaffirme l’importance attachée à la protection des données sensibles et notamment les données à caractère personnel.

Autorité administrative indépendante, la commission nationale de l’informatique et des libertés (CNIL) joue un rôle de référence en matière de protection des données à caractère personnel contenues dans les fichiers et traitements informatiques ou papier, aussi bien publics que privés. L’une de ses principales missions est de conseiller les pouvoirs publics en matière de conformité au droit existant en la matière : dans ce contexte, il nous semble donc indispensable d’associer la CNIL à l’élaboration du décret en Conseil d’État prévoyant les informations à transmettre par les entités essentielles, entités importantes et bureaux d’enregistrement (dont de nombreuses données à caractère personnel telles que l’identité et les coordonnées de leurs responsables) afin d’assurer le meilleur niveau possible de protection de leurs données personnelles.

Le présent amendement vise à supprimer la possibilité offerte aux fournisseurs de services numériques critiques établis hors de l’Union européenne de se soustraire à l’obligation d’établissement réel sur le territoire national, en se limitant à la désignation d’un simple représentant local.

En effet, l’alinéa concerné autorise que des acteurs clés du numérique — tels que les fournisseurs de services de système de noms de domaine, d’informatique en nuage, d’hébergement, de diffusion de contenu, ou encore les plateformes de réseaux sociaux — puissent se conformer aux obligations réglementaires françaises sans disposer d’une implantation effective et contrôlable en France. Cette disposition fragilise la capacité des autorités à exercer un contrôle opérationnel sur ces services essentiels, en particulier dans un contexte où la souveraineté numérique et la protection des infrastructures critiques sont des priorités nationales.

La désignation d’un simple représentant local constitue un contournement déconnecté de la réalité opérationnelle, qui ne garantit ni la maîtrise directe des infrastructures, ni la responsabilité pleine et entière de l’opérateur face aux exigences françaises. Par ailleurs, elle peut servir à contourner les règles nationales, tout en maintenant ces acteurs soumis à des législations extraterritoriales, telles que le Cloud Act ou le Patriot Act américains, pouvant engendrer des risques de fuite de données ou d’ingérence.

Par conséquent, la suppression de cette possibilité est indispensable pour garantir une obligation d’établissement effectif en France, condition sine qua non à l’exercice d’un contrôle robuste, transparent et efficient sur ces acteurs numériques systémiques. Cette exigence favorise un cadre de régulation équitable, assurant que les opérateurs français, européens et étrangers respectent des normes comparables, dans un souci d’égalité de traitement et de protection renforcée des intérêts stratégiques nationaux.

Enfin, renforcer cette obligation constitue un levier majeur pour consolider la souveraineté numérique de la France, en assurant la disponibilité, la sécurité et la résilience des services numériques essentiels, et en évitant que des fournisseurs extérieurs échappent à la responsabilité pleine et entière que requiert leur rôle dans l’écosystème numérique national.

Par cet amendement, le groupe parlementaire de la France insoumise propose l’intégration d’un volet territorial à la stratégie nationale de cybersécurité, afin de mieux articuler l’ambition nationale avec les réalités locales et assurer les besoins de formation en accord avec l’augmentation des attaques et la nécessité de s’en prémunir.
Face à la multiplication des attaques numériques, les collectivités territoriales, notamment rurales ou périurbaines, demeurent sous-dotées en compétences, en ingénierie et en capacités de réponse. En l’absence d’une approche territorialisée, les inégalités d’accès aux dispositifs de protection et de formation risquent de s’aggraver, au détriment de la résilience collective.
Cet amendement propose ainsi de promouvoir un maillage territorial cohérent, via le soutien aux centres régionaux (CSIRT), la coordination avec les acteurs de la formation (régions, universités, lycées professionnels), et le renforcement des capacités locales. Il s’agit aussi de faire de la cybersécurité une filière d’avenir accessible dans tous les bassins d’emploi.
En inscrivant cette logique dans la stratégie nationale, il s’agit de répondre à un double enjeu : renforcer la sécurité numérique du pays et réduire les fractures territoriales, sociales et professionnelles dans un domaine stratégique.

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à élargir le champ du décret auquel l’article renvoie, et ce afin de préciser les attendus des procédures de vérification des données collectées :

– le fait que ces procédures soient bien « ex ante » au moment de l’enregistrement et « ex post » après l’enregistrement, notamment pour garantir le maintien des bases de données exactes et complètes, conformément à la directive et au présent article 19 ;

– le fait que ces procédures tiennent compte des normes élaborées par les structures de gouvernance multiparties au niveau international et qu’elles visent les meilleures pratiques en matière d’identification électronique (conformément au Considérant 111) ;

– le fait que ces procédures comprennent la vérification d’au moins un moyen de contact du titulaire ou du service tiers (conformément au même Considérant).

Conformément à ces attendus, les bureaux et offices d’enregistrement ne devraient pas pouvoir procéder à l’enregistrement en masse des noms de domaine au moyen d’algorithmes, de logiciels, de protocoles automatisés ou de toute autre méthode similaire.

Par cet amendement, le groupe LFI souhaite que l’éducation soit classée comme un « secteur critique » au sens du présent projet de loi, au vu des conséquences potentiellement dramatiques des cyberattaques à la fois sur les apprentissages des élèves, mais également sur l’intégrité des établissements concernés.

L’école est aujourd’hui une cible privilégiée des pirates informatiques, et ce, pour plusieurs raisons. Tout d’abord, les établissements scolaires du 1^er et du 2^nd degré sont amenés à traiter de nombreuses données personnelles (inscriptions scolaires, environnement numérique de travail, suivi infirmier des élèves...) dont le vol peut engendrer des conséquences dramatiques pour les personnes concernées. De plus, les établissements scolaires – faute de budget suffisant – ont des infrastructures numériques largement obsolètes, ce qui en fait des proies faciles. Cette situation, couplée à un manque de formation évident des personnels de l’Education nationale sur ces enjeux, transforment les établissements scolaires en cibles privilégiées. Ainsi, la presse ne cesse de se faire l’écho depuis de nombreuses années de la recrudescence des cyberattaques contre les écoles. Face à cette situation, les pouvoirs publics tentent de réagir : la CNIL a publié le 15 mai 2025 deux nouveaux guides à destination des délégués à la protection des données, des directeurs d’école, des chefs d’établissement et du personnel administratif pour les aider à réagir en cas de violation de données personnelles, et de nombreux exercices gouvernementaux (comme l’opération « CACTUS ») sont déployés pour sensibiliser les élèves à la nécessité de protéger leurs données scolaires personnelles. Néanmoins, cela ne saurait constituer à elle-seule une réponse suffisante au regard des enjeux. Dans ce contexte, l’inscription de l’éducation comme « secteur critique » impliquerait un renforcement significatif des mesures de cybersécurité au sein des établissements scolaires – indispensables pour protéger les élèves, les personnels de l’Education nationale et le bon fonctionnement des établissements scolaires.

Par cet amendement, le groupe parlementaire LFI souhaite intégrer explicitement le secteur de l’alimentation parmi les secteurs hautement critiques, et non pas seulement critiques, reconnus par la législation, au même titre que l’eau potable, les eaux usées, l'énergie, les transports, les télécommunications ou encore la santé. Cette reconnaissance est essentielle pour garantir une protection adaptée et prioritaire de ce secteur au regard des impératifs de sécurité nationale, de continuité des services essentiels, et de résilience collective face aux crises.

Le système alimentaire français repose aujourd’hui sur des chaînes d’approvisionnement numérisées, fortement interconnectées et vulnérables : agriculture de précision, plateformes logistiques automatisées, gestion centralisée des stocks et des flux, systèmes de paiement et de traçabilité informatisés, sans oublier les marchés en ligne et la grande distribution numérique. Une cyberattaque ciblée sur l’un de ces maillons peut provoquer des ruptures d’approvisionnement, une désorganisation logistique ou encore une perte de confiance dans la qualité et la sécurité des produits alimentaires.

Par ailleurs, le secteur alimentaire est également exposé à des campagnes de désinformation, de manipulation ou de déstabilisation, qui peuvent affecter la consommation, l’image des filières agricoles, voire provoquer des paniques collectives en cas de crise sanitaire réelle ou artificiellement déclenchée.

L’intégration de ce secteur dans la liste des secteurs hautement critiques permettrait :
– d’anticiper davantage les risques systémiques, en obligeant les opérateurs alimentaires vitaux à se doter de plans de résilience, de continuité d’activité et de protection cyber ;
– d’associer les acteurs agricoles, industriels et logistiques aux dispositifs de cybersécurité prévus dans le texte, notamment en matière de partage d’informations, d’alerte ou de réponse aux incidents ;
– de mieux outiller les collectivités territoriales et les services de l’État pour soutenir les chaînes d’approvisionnement alimentaire en situation de crise, en identifiant les opérateurs clés et en garantissant leur fonctionnement prioritaire.

La crise du Covid-19, les tensions géopolitiques récentes ou encore les attaques informatiques subies par des coopératives agricoles ou des centrales d’achat ont rappelé à quel point la sécurité alimentaire est un pilier de la sécurité nationale. Sa reconnaissance comme secteur hautement critique, au sens du présent texte, permettrait d’opérer un changement de paradigme en matière de prévention, de coordination et de gestion de crise dans ce domaine stratégique. Elle constitue une mesure de bon sens et de vigilance face à un risque encore trop souvent sous-estimé.

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite élargir à l’ensemble des communautés d’agglomération le statut d’entité importante.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner ces collectivités comme entité essentielle, les seuils ne paraissent pas pertinents pour entamer une véritable politique publique globale de résilience et de cybersécurité des structures publiques.

Le présent amendement vise à supprimer le seuil démographique de 30 000 habitants actuellement requis pour considérer une collectivité territoriale comme une entité importante dans le cadre de la cybersécurité et de la résilience nationale. Ce critère purement quantitatif se révèle inadapté à la réalité des risques contemporains, et à la diversité des contextes territoriaux.

Par cet amendement de coordination, le groupe LFI réaffirme son souhait de mieux protéger le secteur de l’éducation face aux nouvelles menaces de cybersécurité.

L’école est aujourd’hui une cible privilégiée des pirates informatiques, et ce, pour plusieurs raisons. Tout d’abord, les établissements scolaires du 2^nd degré sont amenés à traiter de nombreuses données personnelles (inscriptions scolaires, environnement numérique de travail, suivi infirmier des élèves...) dont le vol peut engendrer des conséquences dramatiques pour les personnes concernées. De plus, les établissements scolaires – faute de budget suffisant – ont des infrastructures numériques largement obsolètes, ce qui en fait des proies faciles. Cette situation, couplée à un manque de formation évident des personnels de l’Éducation nationale sur ces enjeux, transforment les établissements scolaires en cibles privilégiées. Ainsi, la presse ne cesse de se faire l’écho depuis de nombreuses années de la recrudescence des cyberattaques contre les écoles. Face à cette situation, les pouvoirs publics tentent de réagir : la CNIL a publié le 15 mai 2025 deux nouveaux guides à destination des délégués à la protection des données, des directeurs d’école, des chefs d’établissement et du personnel administratif pour les aider à réagir en cas de violation de données personnelles, et de nombreuses initiatives gouvernementales sont mises en œuvre pour sensibiliser les élèves à la nécessité de protéger leurs données scolaires personnelles. A titre d’illustration, l’opération « CACTUS » a été déployée au niveau national en mars 2025 : 2,5 millions de collégiens et lycéens ont été invités à cliquer sur un lien diffusé via leurs espaces numériques de travail ENT les incitant à se procurer gratuitement des « jeux crackés et des cheats gratuits » (c’est-à-dire des moyens de triche en français). Parmi eux, 210 000 (soit près d’un sur 12) ont cliqué sur le lien et été redirigés vers le message de sensibilisation.

Par conséquent, l’inscription des établissements du 2^nd degré parmi les « entités importantes » au titre du présent projet de loi permettra de renforcer le niveau de protection des établissements concernés – au bénéfice des élèves, des personnels de l’Éducation nationale et du bon fonctionnement des établissements.

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite élargir à l’ensemble des collectivités le statut d’entité essentielle.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner ces collectivités comme entité essentielle, les seuils ne paraissent pas pertinents pour entamer une véritable politique publique globale de résilience et de cybersécurité des structures publiques.

Le présent amendement vise à supprimer le seuil démographique de 30 000 habitants actuellement requis pour considérer une collectivité territoriale comme une entité essentielle dans le cadre de la cybersécurité et de la résilience nationale. Ce critère purement quantitatif se révèle inadapté à la réalité des risques contemporains, et à la diversité des contextes territoriaux.

En effet, de nombreuses communes ou intercommunalités de taille modeste jouent un rôle structurant dans la sécurité et le fonctionnement de services critiques. Elles peuvent :

– héberger des installations sensibles (barrages, centrales hydroélectriques, dépôts de munitions, infrastructures industrielles classées, réseaux de télécommunication ou d’énergie) ;

– gérer des services vitaux (eau potable, assainissement, services de secours, centres hospitaliers ou médico-sociaux) dans des zones où leur vulnérabilité pourrait avoir des effets en cascade sur l’ensemble du bassin de vie ou de production ;

– ou encore constituer des points d’entrée pour des attaques hybrides, visant à désorganiser des chaînes logistiques, déstabiliser la gouvernance locale ou compromettre la sécurité nationale à partir d’une faille périphérique.

Dans ces cas, la taille démographique de la collectivité n’est pas un indicateur pertinent de sa criticité fonctionnelle. Une commune de 5 000 habitants peut être bien plus stratégique qu’une ville moyenne si elle abrite une infrastructure classée Seveso, un nœud de transport ferroviaire, une base militaire, un datacenter ou un site d’importance vitale.

Le maintien du seuil de 30 000 habitants crée donc des zones grises juridiques, où des entités objectivement critiques sont exclues du périmètre de vigilance, et donc des dispositifs de protection, de notification ou d’assistance. Cela affaiblit la cohérence de l’architecture de résilience prévue par le projet de loi, et entrave la capacité de l’État à organiser une défense territoriale complète et intégrée face aux menaces cyber, technologiques ou informationnelles.

En supprimant ce seuil, l’amendement permet une prise en compte fondée sur les fonctions exercées, la nature des services hébergés ou la criticité des infrastructures gérées. Il s’inscrit dans une logique d’analyse contextuelle des risques, plus fine, plus souple et plus efficace, tout en assurant une meilleure coordination entre l’État, les collectivités et les opérateurs privés ou publics.

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite alerter sur les effets de seuil prévus par cet article pour désigner des entités essentielles.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner des entités essentielles, une définition plus générale permettrait de mieux appréhender la multitude des acteurs relevant de secteurs hautement critiques sans s’attarder sur la taille de ces derniers et ainsi d’améliorer la prévention des risques.

En effet, dans les secteurs hautement critiques – tels que l’énergie, les transports, la santé, la cybersécurité, la défense ou l’alimentation –, de nombreuses structures de petite taille peuvent occuper des fonctions clés, parfois irremplaçables. Il peut s’agir d’entreprises assurant la maintenance d’un composant stratégique, de PME spécialisées dans un savoir-faire technologique de niche, ou encore de fournisseurs uniques au sein de chaînes d’approvisionnement sensibles. Leur disparition ou leur compromission, même ponctuelle, pourrait entraîner des ruptures majeures ou des vulnérabilités systémiques, sans que leur poids économique apparent ne reflète leur importance stratégique.

En maintenant des seuils quantitatifs (effectifs, chiffre d’affaires, bilan), le droit actuel risque donc de laisser hors champ de la réglementation de cybersécurité des entités pourtant critiques, simplement parce qu’elles ne remplissent pas les critères formels. Cette approche peut engendrer des angles morts dans la cartographie des risques, affaiblir la résilience globale de certains secteurs, et créer un faux sentiment de sécurité en concentrant l’effort réglementaire sur les seuls grands acteurs visibles.

À l’inverse, une approche fondée sur la nature des activités exercées et sur la fonction réelle de l’entreprise dans l’écosystème stratégique permettrait une identification plus pertinente et plus ciblée des entités essentielles. Elle renforcerait la logique de sécurité intégrée, tout en donnant aux autorités compétentes la capacité d’adapter leur vigilance aux réalités opérationnelles.

Cet amendement contribue ainsi à une approche qualitative et fonctionnelle de la résilience, mieux adaptée à l’architecture complexe des chaînes critiques contemporaines. Il répond également à la nécessité, maintes fois soulignée par l’ANSSI, de prendre en compte les interdépendances industrielles, les nœuds logistiques sensibles et les externalités technologiques, quels que soient le statut ou la taille des acteurs impliqués.

En somme, il s’agit de garantir que la politique de cybersécurité et de résilience ne laisse aucun maillon critique de côté, et que la protection des infrastructures essentielles repose sur une évaluation fine des rôles et responsabilités, plutôt que sur des indicateurs purement économiques.

L’identification du caractère critique d’une entreprise doit donc reposer sur la nature de ses activités et sa place dans l’écosystème stratégique, non sur des critères financiers ou de taille, qui peuvent conduire à de graves angles morts dans la protection des infrastructures essentielles.

Par cet amendement d’appel, le groupe parlementaire de la France insoumise souhaite alerter sur les effets de seuil prévus par cet article pour désigner des entités essentielles.

Bien que l’article 10 octroie un pouvoir discrétionnaire au Premier ministre pour désigner des entités essentielles, une définition plus générale permettrait de mieux appréhender la multitude des acteurs relevant de secteurs hautement critiques sans s’attarder sur la taille de ces derniers et ainsi d’améliorer la prévention des risques.

En effet, dans les secteurs hautement critiques – tels que l’énergie, les transports, la santé, la cybersécurité, la défense ou l’alimentation –, de nombreuses structures de petite taille peuvent occuper des fonctions clés, parfois irremplaçables. Il peut s’agir d’entreprises assurant la maintenance d’un composant stratégique, de PME spécialisées dans un savoir-faire technologique de niche, ou encore de fournisseurs uniques au sein de chaînes d’approvisionnement sensibles. Leur disparition ou leur compromission, même ponctuelle, pourrait entraîner des ruptures majeures ou des vulnérabilités systémiques, sans que leur poids économique apparent ne reflète leur importance stratégique.

En maintenant des seuils quantitatifs (effectifs, chiffre d’affaires, bilan), le droit actuel risque donc de laisser hors champ de la réglementation de cybersécurité des entités pourtant critiques, simplement parce qu’elles ne remplissent pas les critères formels. Cette approche peut engendrer des angles morts dans la cartographie des risques, affaiblir la résilience globale de certains secteurs, et créer un faux sentiment de sécurité en concentrant l’effort réglementaire sur les seuls grands acteurs visibles.

À l’inverse, une approche fondée sur la nature des activités exercées et sur la fonction réelle de l’entreprise dans l’écosystème stratégique permettrait une identification plus pertinente et plus ciblée des entités essentielles. Elle renforcerait la logique de sécurité intégrée, tout en donnant aux autorités compétentes la capacité d’adapter leur vigilance aux réalités opérationnelles.

Cet amendement contribue ainsi à une approche qualitative et fonctionnelle de la résilience, mieux adaptée à l’architecture complexe des chaînes critiques contemporaines. Il répond également à la nécessité, maintes fois soulignée par l’ANSSI, de prendre en compte les interdépendances industrielles, les nœuds logistiques sensibles et les externalités technologiques, quels que soient le statut ou la taille des acteurs impliqués.

En somme, il s’agit de garantir que la politique de cybersécurité et de résilience ne laisse aucun maillon critique de côté, et que la protection des infrastructures essentielles repose sur une évaluation fine des rôles et responsabilités, plutôt que sur des indicateurs purement économiques.

L’identification du caractère critique d’une entreprise doit donc reposer sur la nature de ses activités et sa place dans l’écosystème stratégique, non sur des critères financiers ou de taille, qui peuvent conduire à de graves angles morts dans la protection des infrastructures essentielles.

Suivant en cela la recommandation contenue dans l’avis du Conseil d’État, le Sénat a défini la résilience dans le Titre I du projet de loi. Toutefois, la rédaction retenue pour cette définition ne porte que sur l’acception de ce mot dans le chapitre du code de la défense relatif à la résilience des activités d’importance vitale.

Le Titre II, qui porte sur le renforcement de la cybercriminalité et qui crée pour les entités des obligations en matière de résilience, ne propose pas de définition de ce mot, ce qui pourrait créer une certaine incertitude dans l’application de la loi.

Certains titulaires de noms de domaine recourent à des services leur permettant de rendre anonymes leurs données personnelles, rendant ainsi toute action judiciaire à leur encontre difficile, voire impossible. Pour répondre à cette situation, la directive NIS2 prévoit donc que dans le cadre de leur mission de collecte des données afférentes à l'enregistrement des noms de domaines, les bureaux et offices d'enregistrement récupèrent bien l'ensemble des informations relatives au titulaire du nom de domaine, même lorsque celui-ci recourt à un services tiers.

Cet amendement vise à garantir la transposition effective de cette mesure prévue par la directive NIS2.

Cet amendement vise à préciser la liste des données qui doivent être récupérées par les bureaux et offices d'enregistrement dans le cadre de leur mission de collecte des données afférentes à l'enregistrement des noms de domaines : la liste de ces données reprend a minima celles mentionnées à l’article 28.2 de la directive NIS 2 en y ajoutant les « adresses postales » des titulaires et points de contact du nom de domaine.

A défaut de ces précisions apportées par le présent amendement, le décret d’application devra indiquer la nécessité de la collecte de l’adresse postale des titulaires et points de contact.

Cet amendement vise à spécifier le contenu du décret afférent à l'article 19, qui devra ainsi préciser les procédures de vérification des données d'enregistrement des noms de domaine menées par les bureaux et offices d'enregistrement. 

Ainsi, ces procédures devront : 

• être « ex ante » au moment de l’enregistrement et « ex post » après l’enregistrement, afin de garantir le maintien des bases de données exactes et complètes ;
• tenir compte des normes élaborées par les structures de gouvernance multiparties au niveau international et viser les meilleures pratiques en matière d’identification électronique ;
• comprendre la vérification d’au moins un moyen de contact du titulaire ou du service tiers (conformément au même Considérant).

Cet amendement vise à intégrer à la stratégie de l’ANSSI le soutien technique et logistique à la création d’une filière de formation publique et nationale sur les métiers de la cyber sécurité et de la cyber défense. En effet, il manque au moins 10 000 ingénieurs formés par an en France. Faute d'ingénieurs, seul un projet sur 6 en matière de cybersécurité est effectivement réalisé. La place des femmes dans ce type de filière est largement moindre : d’après une enquête réalisée en 2022 par l’observatoire des métiers de la cybersécurité de l’ANSSI, les formations en cyber sécurité ne comprenaient que 14% d’étudiantes.
Ainsi, il est essentiel pour l'État d’investir réellement dans une filière publique qui forme la population sur les métiers de cyber sécurité, qui soit accessible au plus grand nombre et diversifiée. Avec l’intensif développement de l’intelligence artificielle, la multiplication du nombre de centre de données, et la multiplication des attaques cyber et hybrides sur l’ensemble des services publics, il semble essentiel d’investir réellement dans la formation d’une large partie de la population. L’ANSSI pourrait ainsi apporter un soutien logistique et humain, dans la constitution de programmes actualisés. Cette formation doit être administrée par des acteurs publics, au vu de l’enjeu de souveraineté qu’elle représente.

Par cet amendement du groupe LFI, nous souhaitons étendre le champ des activités concernées par l’article 7, en ajoutant l’enseignement supérieur parmi les secteurs d’activités considérés comme hautement critiques pour la cybersécurité. En effet, les universités subissent des attaques cyber répétées qui peuvent largement impacter le service informatique mais aussi toute l’organisation du système d'enseignement. Le cas le plus parlant est sans doute la récente attaque, survenue en août 2024 sur l’université Paris Saclay, revendiquée par un groupe appelé RansomHouse. Selon l’université : “ Le groupe de ransomware indiquait avoir volé 1 téraoctet de données, et avait menacé de divulguer 193 fichiers au format PDF, majoritairement des CV, relevés de notes, lettres de motivation/de recommandation, diplômes, et deux documents d’identité, issus, à priori, de 44 candidatures au niveau master”. Cette cyberattaque a coûté 2,6 à 3 millions d’euros à l’université, hors coût du personnel.
Les attaques contre l’enseignement supérieur, sa liberté et l’indépendance de ses étudiants se multiplient en France et partout dans le monde. Cet amendement vise à protéger le système de l'enseignement supérieur des attaques cyber dont il pourrait être victime, en protégeant les systèmes d'exploitation ainsi que les données sensibles des étudiants, avant la mise en place d’un réel plan de cybersécurité dans l’ensemble des établissements d’enseignement supérieur, conformément au programme défendu par la France insoumise.

Par cet amendement du groupe LFI, nous souhaitons étendre le champ des activités concernées par l’article 7, en ajoutant les câbles sous-marins et leurs opérateurs parmi les secteurs d’activités considérés comme hautement critiques.
En effet, plus de 95 % du trafic mondial de données de communications transite par les réseaux de câbles sous-marins. Leur bon fonctionnement et leur sécurisation est donc indispensable à la continuité des échanges, ainsi qu’à la sécurité nationale et à la souveraineté numérique. De plus, de nombreuses infrastructures stratégiques restent dépendantes du bon fonctionnement de ces câbles sous-marins et de leur sécurisation.
Or, ces infrastructures sont largement exposées aux risques de sabotage physiques et cyber. Ils sont aujourd’hui vulnérables face aux menaces d’une guerre hybride et ne sont que trop mal protégés, comme le mettent en évidence dès 2023 les rapporteurs de la mission d'information sur les fonds marins Aurélien Saintoul et Lysiane Metayer. Ce rapport avait d’ailleurs été précurseur de la nationalisation d’Alcatel Submarine Network, essentiel à notre souveraineté dans le domaine numérique. Ainsi, il apparaît vital pour la sécurité de nos communications et de nos actifs stratégiques d’inclure les câbles sous-marins et leurs opérateurs parmi les secteurs d’activité considérés comme essentiels, en renforçant leur sécurité, afin de réduire leur vulnérabilité, dans l’attente d’une souveraineté complète sur le sujet.

L’article 22 du présent projet de loi vient transposer l’article 28 de la Directive NIS 2, notamment pour organiser les modalités d’accès aux données d’enregistrement des noms de domaine collectées par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser le champ des « demandeurs d’accès légitimes » conformément à la Directive.

En l’état du présent article, l’accès aux informations est limité aux agents habilités « par l’autorité judiciaire pour les besoins des procédures pénales » ainsi qu’à l’ANSSI. Il s’agit d’une restriction de la portée de l’article 28 de la Directive et singulièrement de son Considérant 110 qui définit les demandeurs d’accès légitimes comme « toute personne physique et morale qui formule une demande en vertu du droit de l’Union ou du droit national » sur demande motivée.

Le présent amendement précise que, dans le cadre d’infractions au droit de la propriété intellectuelle, certains agents spécialement habilités sont légitimes à solliciter un accès aux données d’enregistrement des noms de domaines. Il s’agit en particulier (outre les agents déjà désignés par le présent article) : 

• des agents assermentés mentionnés à l’article L.331.2 du code de la propriété intellectuelle, c’est-à-dire des agents d’organismes autorisés par la loi à dresser des procès-verbaux constatant des faits susceptibles d’une qualification pénale au titre de leur mission de lutte contre la contrefaçon ;
• des commissaires de justice de l’article 1 de l’ordonnance 2016-728 du 2 juin 2016 modifiée par la loi n° 2023-1059 du 20 novembre 2023, c’est-à-dire des auxiliaires de justice qualifiés par la loi à dresser ces mêmes procès-verbaux, dans le cas présent, en matière d’atteinte aux droits de la propriété intellectuelle.

Cette précision du champ ne saurait se traduire par une charge disproportionnée dès lors qu’il s’agit pour les offices et bureaux d’enregistrement de communiquer des informations qui figurent dans leur base et au bénéfice de personnes qui sont habilitées par la loi à agir.

La finalité de cet amendement est bien de combattre les utilisations abusives du système d’enregistrement de noms de domaine pour mener des activités illégales et préjudiciables : il vise donc à permettre une effectivité du droit d’accès aux données des noms de domaine afin de garantir l’application du droit national comme du droit de l'Union.

Par cet amendement du groupe LFI, nous souhaitons étendre le champ des activités concernées par l’article 7, en ajoutant le secteur des satellites et leurs opérateurs parmi les secteurs d’activités considérés comme hautement critique pour la cybersécurité.

Les plateformes satellites constituent une infrastructure essentielle dans le fonctionnement des systèmes d’information et de télécommunication. Quel que soit le statut officiel des missions, qu’elles relèvent d’activités civiles, militaires et/ou duales, elles revêtent un intérêt stratégique majeur. C’est pourquoi leur inclusion dans le périmètre des activités hautement critiques est nécessaire.

Amendement de précision.

L’opérateur d’importance vitale relevant de la catégorie d’entité critique doit garantir l’activité régulière de chaque point d’importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs qui peuvent s’avérer indispensables pour assurer leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver.

Au cours de son audition, le secrétaire général de la défense et de la sécurité nationale, M. Nicolas Roche, a mis en avant les enjeux relatifs à la dépendance accrue envers certains fournisseurs numériques. Cet amendement introduit une obligation de réversibilité et de portabilité pour les services cloud utilisés par les opérateurs essentiels. Il vise à assurer la continuité des services critiques, prévenir le verrouillage technique et renforcer la souveraineté numérique, en cohérence avec la doctrine de l’ANSSI et les initiatives européennes.

Le titre II du projet de loi vise à transposer la directive NIS 2 en étendant les obligations en matière de cybersécurité à un plus grand nombre d’entités, notamment à l’ensemble des intercommunalités.

Si cette extension aux collectivités territoriales est justifiée par la nécessité de renforcer la résilience des collectivités face aux risques d’attaques numériques, elle pose néanmoins un problème majeur pour les plus petites collectivités : petites communes rurales, certaines intercommunalités à fiscalité propre, en particulier les communautés de communes et les communautés d’agglomération, qui ne disposent pas toujours des ressources humaines et financières suffisantes pour répondre à ces exigences.

Selon une étude de l’IDATE « Implémentation de la directive NIS 2 : Quels enjeux pour la France ? » (2024), l’effort financier demandé aux collectivités est considérable, dans un contexte budgétaire déjà contraint. Pour les collectivités, le coût annuel des solutions de cybersécurité est estimé à 690 millions d’euros, auxquels s’ajoutent 105 millions d’euros par an pour les ressources humaines nécessaires. Depuis 2021, le parcours cybersécurité du plan France Relance a montré l’intérêt d’un accompagnement ciblé. Or, seules 78 communautés de communes sur 992 ont pu bénéficier de ce dispositif, contre 139 communautés d’agglomération sur 227 et 15 métropoles sur 22. Une majorité de petites intercommunalités risque donc de ne pas pouvoir se conformer aux nouvelles obligations sans soutien supplémentaire.

Cet amendement ne remet pas en cause l’application de la directive NIS 2 aux intercommunalités, mais propose d’accompagner sa mise en œuvre en prévoyant la création d’un fonds de soutien dédié. Ce dispositif permettra de garantir que toutes les collectivités, y compris les plus petites, disposent des moyens nécessaires pour assurer leur mise en conformité, et ainsi renforcer de manière homogène et effective la résilience numérique des territoires.

Amendement proposé par Intercommunalités de France

L’article 1^er institue une commission des sanctions contre les opérateurs qui manqueraient à leurs obligations. Cet amendement vise à consacrer l’application du principe du contradictoire tout au long de la procédure devant cette commission.

La commission pourra infliger des sanctions lourdes avec des amendes allant jusqu’à 2 % du chiffre d’affaires annuel mondial d’une entreprise. Dans ces conditions, il est nécessaire d’inscrire explicitement dans la loi le principe du contradictoire. Le décret d’application devra prévoir des garanties suffisantes, l’opérateur devra notamment pouvoir être à même de consulter le dossier établi à son encontre et il devra aussi pouvoir présenter des observations écrites et orales.

Cet amendement est une demande de rapport sur l’état de la protection des systèmes satellites français et, plus généralement, de l’industrie spatiale. Il concerne toutes les opérations, du fonctionnement en orbite jusqu’aux opérations des segments sol. Les menaces contre ces systèmes sont toujours plus sophistiquées et variées. Les attaques cyber sur les infrastructures spatiales vont du déni de service, le détournement (spoofing) par usurpation, la prise de contrôle d’un satellite à distance ou encore l’écoute. La démultiplication et la diversification des nouveaux acteurs de la filière, notamment privés et commerciaux, positionnés sur les marchés des applications et du numérique, accroissent les risques et la vulnérabilité systémique des segments spatiaux aux attaques de type cyber.

Des précédents ont incité à augmenter les investissements dans la cybersécurité spatiale. Le premier jour de l’invasion russe en Ukraine, le 24 février 2022, le satellite Ka-Sat de la compagnie américaine Viasat a été victime d’une attaque par des hackers russes, visant par déni de service les boîtiers qui ne pouvaient plus se connecter au satellite. La fourniture d’Internet a aussitôt été compromise pour des milliers d’utilisateurs civils et militaires. Autre exemple, un système d’écoute chinois a été découvert en 2022 par les services de renseignement français : situé en lisière d’un village de la Haute-Garonne à proximité de centres de contrôle du CNES et d’Airbus D&S, celui-ci était suspecté de cibler et d’intercepter les fréquences de communication des satellites français.

Ces illustrations sont la partie émergée, spectaculaire de l’iceberg. D’autres attaques existent, plus sournoises et discrètes, de l’aveuglement au laser aux rapprochements hostiles en orbite. Face à ces menaces multidimensionnelles, le champ de la cybersécurité pour l’industrie spatiale est en essor. Le Centre national des études spatiales s’est doté de ressources, les industriels proposent des solutions, des exercices et simulations de guerres spatiales intègrent ces risques de rupture technique. Il importe néanmoins de consolider le diagnostic et la définition des réponses techniques à apporter pour prévenir les attaques cyber d’où qu’elles viennent. Ce sera l’objectif de ce rapport de procéder à un état des lieux complet. Une dimension prospective sur les menaces à venir pourra compléter cet inventaire, car les menaces - leur nature, leur portée, leur potentiel destructeur - évoluent très vite.

Le présent amendement vise à intégrer explicitement le risque cyber dans le document unique d’évaluation des risques professionnels (DUERP). Cette démarche s’inscrit dans un changement de paradigme indispensable à l’heure où les cyberattaques se multiplient, y compris à l’encontre de petites structures. L’objectif est de sensibiliser les employeurs, en particulier les chefs de TPE-PME, à la nature et à l’ampleur des menaces numériques susceptibles d’avoir un impact direct sur la santé, la sécurité des salariés, mais aussi sur la continuité d’activité.

En 2024, l’ANSSI a traité 4 386 événements de sécurité (+15 % vs 2023), dont 1 361 incidents confirmés, touchant l’ensemble des acteurs publics et privés (PME, collectivités territoriales, établissements stratégiques…) Ces attaques visaient systématiquement les secteurs sensibles ou vulnérables, notamment les PME/TPE/ETI (37 %) Le rançongiciel, l’hameçonnage ou encore la compromission d’identifiants peuvent entraîner de graves conséquences, notamment l’arrêt d’activité, des pertes de données sensibles ou une désorganisation interne.

Or, le DUERP constitue aujourd’hui l’outil central de prévention des risques dans l’entreprise. Y intégrer la dimension cyber permettrait de mieux anticiper ces risques, de structurer une réponse adaptée (plan de continuité, sauvegardes, sensibilisation des salariés), et de responsabiliser les employeurs sur cet aspect désormais critique de la sécurité du travail. Cet amendement a été travaillé avec Hexatrust.

L’article 82 de la loi Informatique et Libertés impose, sauf exception, le recueil du consentement de

l’utilisateur avant tout accès ou inscription d’informations sur son équipement terminal. Il prévoit

toutefois une dérogation à cette obligation lorsque ces actions ont pour finalité exclusive de

permettre ou de faciliter la communication par voie électronique.

Or, des technologies récentes permettent désormais d’anonymiser très rapidement les données

personnelles collectées depuis un terminal. Ce processus, qui contribue activement à la protection

de la vie privée, constitue un élément essentiel du cadre européen, notamment dans le cadre de la

directive ePrivacy, qui encourage explicitement le recours aux données anonymes ou pseudonymes

afin de limiter les atteintes à la vie privée.

Cependant, en l’état actuel du droit, ces opérations d’anonymisation sont elles-mêmes considérées

comme un traitement de données à caractère personnel. Par conséquent, elles demeurent soumises à 

l’exigence de consentement préalable, ce qui limite paradoxalement leur usage, alors même qu’elles

sont conçues pour protéger les utilisateurs.

Le présent amendement vise donc à clarifier que l'accès ou l’inscription d’informations sur le

terminal d’un utilisateur, lorsqu’ils ont pour seule finalité l’anonymisation à bref délai des données,

relèvent bien de la catégorie des actions qui permettent ou facilitent la communication électronique

au sens du sixième alinéa de l’article 82. Dès lors, ils peuvent être mis en œuvre sans consentement

préalable, dans l’intérêt de la protection des données personnelles.

Afin de garantir un cadre clair et évolutif, l’amendement prévoit également que les modalités

techniques d’anonymisation seront précisées par décret. Ce dernier fixera, à titre indicatif et non

exhaustif, une liste de procédés reconnus, qui devra être mise à jour au moins tous les trois ans,

pour suivre les évolutions technologiques. Cet amendement a été travaillé avec Ravel Technologies.

Cet amendement vise à renforcer la souveraineté numérique de la France et la protection des données personnelles en imposant leur territorialisation sur des infrastructures sécurisées, conformément aux exigences européennes en matière de protection des données. L’invalidation du Privacy Shield par la CJUE et les risques liés aux législations étrangères, notamment américaines, justifient la nécessité d’un hébergement souverain des données.

Cet amendement vise à mieux appréhender la dépendance des entités concernées aux prestataires TIC, en particulier étrangers. L’objectif est de mesurer la part des entreprises extra-communautaires et d’identifier les risques liés à la souveraineté et à la sécurité des infrastructures numériques essentielles.

Cet amendement intègre les vulnérabilités des sous-traitants à l’analyse des dépendances réalisée par les opérateurs d’importance vitale. 

Conformément aux dispositions prévues par la directive REC, l’interdépendance croissante de l’économie nécessite de la part des opérateurs d’importance vitale une analyse détaillée des vulnérabilités de leur chaîne d’approvisionnement pour limiter les risques d’incidents. Or, cette analyse ne peut être complète sans prendre en compte les sous-traitants, dans une démarche analogue à celle prévue par la directive de 2022 sur le devoir de vigilance des entreprises. 

Cet amendement vise à définir la collecte d’informations en sources ouvertes (OSINT) et d’en consacrer la liberté de principe, sous réserve du respect de la vie privée, des données personnelles, des secrets protégés par la loi et des droits de propriété intellectuelle.
En l’absence de cadre légal général, la pratique de l’OSINT demeure soumise à une insécurité juridique qui freine l’innovation, dissuade l’investissement et pousse certains acteurs à recourir à des solutions étrangères échappant aux standards français de conformité et de souveraineté numérique. Les entreprises hésitent à développer de nouvelles technologies, et leurs clients retardent leurs projets par crainte de sanctions.

Cet amendement a été travaillé avec l'Alliance pour la Confiance Numérique (ACN)

Le présent amendement vise à renforcer les moyens de financement nécessaires à la cybersécurité en mobilisant la taxe sur les services numériques (TSN).

La Taxe sur les services numériques TSN a été instaurée par la loi n° 2019‑759 du 24 juillet 2019 portant création d’une taxe sur les services numériques et modification de la trajectoire de baisse de l’impôt sur les sociétés : elle visait et vise toujours à pour partie compenser les défaillances actuelles de l’assiette de l’impôt sur les sociétés (IS) en matière d’imposition des grandes entreprises du numérique. Elle s’applique notamment aux revenus publicitaires/d’intermédiation et aux commissions générées par les grandes plateformes numériques.

Ces entreprises bénéficient directement des réseaux et d’une cybersécurité renforcée, sans contribuer de façon suffisante à l’effort fiscal dans de nombreux pays, dont la France.

Le présent amendement reprend des propositions de hausse du taux et de seuil d’entrée de la TSN, déjà adoptées en première lecture au Sénat dans le cadre du projet de loi de finances pour 2025, sur amendements du groupe centriste du Sénat (n° I-1016 et n° I-1017).

Mobiliser de nouvelles ressources permettra :

• de répondre clairement aux besoins de financement de la cybersécurité ;
• d'assurer une meilleure lisibilité de cet effort pour les acteurs publics et privés ;
• renforcer les capacités des acteurs publics nationaux, par exemple de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) (voir en ce sens le Rapport de la Cour des comptes de mars 2025 "réponse de l’État aux cybermenaces sur les systèmes d'information civils") ;
• accompagner aussi les petites et moyennes entreprises (PME) et les très petites entreprises (TPE), des collectivités territoriales et des hôpitaux, fortement exposés aux cyberattaques  et aux nouvelles menaces numériques, dont les financements publics manquent encore en volume et surtout en lisibilité (voir le rapport précité).

Agir en responsabilité implique de mobiliser des ressources nouvelles, plutôt que de se contenter d’encofe et toujours redéployer des crédits au détriment d’autres missions publiques. Cet amendement propose ainsi un financement pérenne et adapté aux exigences actuelles de cybersécurité.

Le présent amendement est proposé en repli de l’amendement n° XXX.

Afin de cibler les financements nécessaires à la mise à niveau en cybersécurité, il vise à soulager et soutenir les collectivités territoriales pour l’acquisition des biens et services dont elles auront besoin, en particulier lorsqu’elles sont désignées comme entités critiques au sens de la directive NIS 2 et de sa transposition nationale.

Concrètement, l’amendement prévoit que la TVA acquittée par ces acteurs publics locaux pour ces investissements en cybersécurité soit remboursée, afin de ne pas freiner leurs efforts de mise en conformité et de protection. Le groupe socialiste au Sénat a d’ailleurs déposé et défendu en hémicycle sur ce même projet de loi un amendement pour la création d’un nouveau crédit d’impôt spécifique à destination des TPE/PME (amendement n° 35), considéré comme recevable au regard de l’article 45 de la Constitution. 

La singularité du gage de notre amendement doit être soulignée : plutôt que de recourir à des diminutions classiques de crédits budgétaires, il est proposé de financer cette mesure par un relèvement du taux de la taxe sur les services numériques (TSN).

Cette orientation correspond à une logique d’équité fiscale : il n’est plus acceptable de maintenir le dogme des « impôts qui augmentent naturellement » en réduisant parallèlement les moyens essentiels des collectivités. Lesquelles vont devoir faire face à des règles touchant bien plus largement parmi elles, avec l’élargissement du périmètre des entités critiques. À l’inverse, il est juste de faire contribuer davantage les grands acteurs numériques internationaux qui, pour beaucoup, continuent de pratiquer une optimisation fiscale agressive.

La TSN, dans sa conception actuelle, constitue déjà un outil de rééquilibrage partiel vis-à-vis des GAFAM. La renforcer permettrait de faire participer ces entreprises au financement de l’infrastructure numérique dont elles tirent un bénéfice considérable, tout en soutenant directement les collectivités chargées de protéger leurs systèmes d’information et, par extension, la résilience de nos territoires.

Cet amendement introduit l’article 323-3-3 dans le code pénal afin d’encadrer la collecte d’informations rendues publiques à la suite d’infractions telles que le vol de données, l’usurpation d’identité, la contrefaçon ou les cyberattaques.
Il établit que cette collecte n’est répréhensible que lorsqu’elle est réalisée sans motif légitime, notamment pour des besoins de recherche ou de sécurité informatique. Ainsi, les professionnels de la cybersécurité, les chercheurs ou les organismes techniques pourront mener leurs missions essentielles (audits, détection de vulnérabilités, analyse des menaces) sans craindre une condamnation pour recel.
Ce mécanisme n’est pas inédit : le code pénal prévoit déjà, à l’article 323-3-1, qu’un « motif légitime » peut justifier la détention de logiciels malveillants, notamment pour des finalités de recherche ou de sécurité informatique. L’amendement s’inscrit donc dans une logique juridique validée et éprouvée, tout en levant une insécurité qui freine l’innovation.

Cet amendement a été travaillé avec l'Alliance pour la Confiance Numérique (ACN)

Cet amendement renforce l'indépendance de la commission des sanctions. Afin garantir l'impartialité de la commission, le mandat des membres de la commission des sanctions sera unique plutôt que renouvelable une fois.

Cet amendement propose la création d’un crédit d’impôt sur les sociétés – dont le siège est basé dans un pays européen – de 30 % et plafonné à 100 000 € pour l’investissement dans des diagnostics d’audit de cybersécurité ou l’acquisition de solutions de protection des données ou du système informatique des entreprises.

Du fait de la normalisation du télétravail à la suite de la crise sanitaire, de nombreuses entreprises ont acquis du matériel informatique en urgence et souvent sans prendre en compte des règles de cybersécurité. Les entreprises françaises, notamment les TPE/PME, sont particulièrement vulnérables aux cyberattaques, comme en témoigne une étude du cabinet de conseil Asterès, qui révèle que les pertes liées aux attaque informatiques s’élevaient à 2 milliards d’euros en France en 2022. L’objectif de ce crédit d’impôt est d’encourager les entreprises à réaliser un bilan sur les risques auxquels elles sont exposées, et les mesures à prendre pour sécuriser leurs matériels informatiques.

Le présent amendement vise à intégrer explicitement le risque cyber dans le document unique d’évaluation des risques professionnels (DUERP). Cette démarche s’inscrit dans un changement de paradigme indispensable à l’heure où les cyberattaques se multiplient, y compris à l’encontre de petites structures. L’objectif est de sensibiliser les employeurs, en particulier les chefs de TPE-PME, à la nature et à l’ampleur des menaces numériques susceptibles d’avoir un impact direct sur la santé, la sécurité des salariés, mais aussi sur la continuité d’activité.

En 2024, l’ANSSI a traité 4 386 événements de sécurité (+15 % vs 2023), dont 1 361 incidents confirmés, touchant l’ensemble des acteurs publics et privés (PME, collectivités territoriales, établissements stratégiques…) Ces attaques visaient systématiquement les secteurs sensibles ou vulnérables, notamment les PME/TPE/ETI (37 %) Le rançongiciel, l’hameçonnage ou encore la compromission d’identifiants peuvent entraîner de graves conséquences, notamment l’arrêt d’activité, des pertes de données sensibles ou une désorganisation interne.

Or, le DUERP constitue aujourd’hui l’outil central de prévention des risques dans l’entreprise. Y intégrer la dimension cyber permettrait de mieux anticiper ces risques, de structurer une réponse adaptée (plan de continuité, sauvegardes, sensibilisation des salariés), et de responsabiliser les employeurs sur cet aspect désormais critique de la sécurité du travail. Cet amendement a été travaillé avec Hexatrust.

L’article 82 de la loi Informatique et Libertés impose, sauf exception, le recueil du consentement de l’utilisateur avant tout accès ou inscription d’informations sur son équipement terminal. Il prévoit toutefois une dérogation à cette obligation lorsque ces actions ont pour finalité exclusive de permettre ou de faciliter la communication par voie électronique.

Or, des technologies récentes permettent désormais d’anonymiser très rapidement les données personnelles collectées depuis un terminal. Ce processus, qui contribue activement à la protection de la vie privée, constitue un élément essentiel du cadre européen, notamment dans le cadre de la directive ePrivacy, qui encourage explicitement le recours aux données anonymes ou pseudonymes afin de limiter les atteintes à la vie privée.

Cependant, en l’état actuel du droit, ces opérations d’anonymisation sont elles-mêmes considérées comme un traitement de données à caractère personnel. Par conséquent, elles demeurent soumises à l’exigence de consentement préalable, ce qui limite paradoxalement leur usage, alors même qu’elles sont conçues pour protéger les utilisateurs.

Le présent amendement vise donc à clarifier que l’accès ou l’inscription d’informations sur le terminal d’un utilisateur, lorsqu’ils ont pour seule finalité l’anonymisation à bref délai des données, relèvent bien de la catégorie des actions qui permettent ou facilitent la communication électronique au sens du sixième alinéa de l’article 82. Dès lors, ils peuvent être mis en œuvre sans consentement préalable, dans l’intérêt de la protection des données personnelles.

Afin de garantir un cadre clair et évolutif, l’amendement prévoit également que les modalités techniques d’anonymisation seront précisées par décret. Ce dernier fixera, à titre indicatif et non exhaustif, une liste de procédés reconnus, qui devra être mise à jour au moins tous les trois ans, pour suivre les évolutions technologiques. Cet amendement a été travaillé avec Ravel Technologies.

Cet amendement vise à renforcer la protection des intérêts fondamentaux de la Nation en intégrant explicitement, dans le code de la commande publique, la non-soumission aux lois extraterritoriales étrangères. Dans le cadre de la transposition de la directive NIS 2, cette mesure constitue un levier essentiel pour réduire la dépendance aux solutions extra-européennes, soutenir l’émergence d’une filière française et européenne de cybersécurité et de cloud souverain, et renforcer la résilience de nos infrastructures critiques. Soutenue par l’écosystème national, cette disposition participe à la réindustrialisation numérique et à la consolidation de la confiance des citoyens, des entreprises et des administrations dans la gestion de leurs données. Cet amendement a été travaillé avec Hexatrust.

Cet amendement propose de relever les seuils de dispense de publicité et de mise en concurrence pour les achats innovants et les marchés de défense ou de sécurité (143 000 € pour les pouvoirs adjudicateurs centraux, 221 000 € pour les autres, et 443 000 € pour les entités adjudicatrices). L’objectif est de soutenir le développement économique et technologique de la France et de l’Union européenne, en facilitant l’accès des acteurs nationaux et européens à la commande publique, en réduisant la dépendance aux solutions extra-européennes et en renforçant la compétitivité de la filière numérique et de cybersécurité. Cette mesure contribue également à simplifier les procédures pour les acheteurs publics, en allégeant leurs contraintes administratives. Cet amendement a été travaillé avec Hexatrust.

Les opérateurs de l’audiovisuel public jouent un rôle crucial dans l'accès à l’information, la cohésion sociale et la continuité démocratique. À ce titre, ils sont des cibles privilégiées de campagnes de désinformation, de cyberattaques ou de tentatives de déstabilisation, en particulier en période électorale ou de crise.

Leur ajout à la liste des entités importantes permettrait de :

• renforcer leur résilience face aux menaces cyber ;
• garantir la continuité de leur mission de service public ;
• aligner leur protection sur celle des autres infrastructures critiques ou essentielles 

Cette disposition est cohérente avec les objectifs de la directive NIS 2, qui encourage l’extension des obligations aux entités jouant un rôle essentiel pour la société, même si elles ne relèvent pas directement des secteurs listés dans l’annexe de la directive.

Cet amendement vise à renforcer la protection juridique des hackers éthiques en instituant une exception pénale générale de bonne foi.
 
Aujourd’hui, l’article 323-1 du code pénal puni de trois ans d’emprisonnement et de 100 000€ d’amende « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de donnés ». Pari ailleurs, l’article L2321-4 du Code de la défense, issu de la loi Lemaire de 2016, a créé une exception reposant sur le principe de bonne foi à condition que la personne transmette la vulnérabilité à l’autorité nationale de sécurité des systèmes d’information.
 
Afin de renforcer la sécurité juridique du hacker éthique, dont l’activité ne cesse d’évoluer, l’amendement consacre et encadre le principe de bonne foi permettant ainsi de prendre en compte la divulgation de vulnérabilité opérée via une politique de divulgation de vulnérabilité ou dans le cadre d’un programme de Bug Bounty.
 
Enfin, le présent amendement vise à permettre aux hackers éthiques, de se tourner vers le Défenseur des droits, à toutes les étapes de la procédure de recherche et de signalement de la vulnérabilité, afin de bénéficier d’un accompagnement dans le processus de signalement, lui permettant ainsi de vérifier qu’il respecte bien les conditions de la bonne foi énumérés dans le précédent alinéa.

Le présent amendement propose que les hackers éthiques puissent bénéficier des mêmes protections juridiques que celles applicables aux lanceurs d’alerte, renforçant ainsi la sécurité juridique des personnes dont l’activité consiste -, de bonne foi, à recherche des vulnérabilités affectant les systèmes d’information.

Le présent amendement vise à modifier les autorités de nomination des membres de la commission des sanctions pour revenir à la proposition initiale du Gouvernement laquelle se justifie par la nature et les missions de la commission des sanctions, qui aura à connaître d’enjeux très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de charger d’une telle nomination les plus hautes autorités relevant du pouvoir législatif que sont le président de l’Assemblée nationale et celui du Sénat.

Néanmoins, afin de tenir compte du souhait d’une indépendance renforcée, il est proposé que le mandat de ces personnalités qualifiées ne soit pas renouvelable, sur le modèle de garanties d’indépendance applicables pour d’autres autorités (autorité de sûreté nucléaire et de radioprotection, président du collège des sanctions de l’autorité des marchés financiers, etc.).