Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Pour éviter que les plus petites collectivités ne soient considérées comme des entités essentielles, cet amendement vise à préciser le texte et s’assurer de leur exclusion du périmètre d’application de cet article.

Afin d'éviter toute mesure disproportionnée qui pourrait peser très lourdement les plus petites entités, notamment les TPE-PME, il est également proposé de prendre en compte dans le prononcé de la sanction, les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.

La sécurité des systèmes d’information est un enjeu stratégique pour la protection des données personnelles, la confidentialité des communications, le secret des affaires, la protection des Droits et Libertés fondamentales et la souveraineté numérique. Le chiffrement joue un rôle central dans cet écosystème en garantissant l’intégrité et la confidentialité des échanges numériques, qu’il s’agisse de transactions financières, de communications privées ou de données sensibles des entreprises et administrations. Or, certaines initiatives législatives et réglementaires, tant au niveau national qu’international, ont cherché à imposer aux fournisseurs de services de chiffrement des obligations visant à insérer des dispositifs techniques permettant un accès aux données protégées par des tiers, notamment par les autorités publiques. Ces dispositifs, communément appelés « portes dérobées » (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité, présentent des risques considérables pour la sécurité informatique et la protection des droits fondamentaux. D’une part, ces dispositifs créent des vulnérabilités exploitables non seulement par les autorités prévues, mais également par des acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées cherchant à compromettre la sécurité des systèmes d’information. Il est démontré que toute faiblesse introduite dans un système de chiffrement réduit sa fiabilité de manière globale et incontrôlable. Ainsi, l’obligation d’intégrer de telles failles irait à l’encontre des principes de sécurité informatique et de cybersécurité reconnus au niveau international et imposé par la Directive NIS2. D’autre part, l’introduction de ces obligations remettrait en cause des droits fondamentaux tels que le droit à la vie privée et à la protection des données personnelles, garantis par des textes fondamentaux comme le Règlement général sur la protection des données (RGPD) ou l’article 8 de la Convention européenne des droits de l’homme. L’accès non consenti aux communications et aux données privées, sans garanties suffisantes, constituerait une atteinte disproportionnée à ces droits. Enfin, sur le plan économique et stratégique, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à leur compétitivité face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes. Cela risquerait d’entraîner un déplacement des utilisateurs et entreprises vers des solutions étrangères considérées comme plus sûres, affaiblissant ainsi notre souveraineté numérique. Cet amendement vise donc à inscrire dans la loi un principe clair de sécurité numérique

Le Gouvernement est favorable à l’amendement n°22 sous réserve qu’il soit sous-amendé afin d’en supprimer le I., qui ne relève pas du niveau législatif. Sur le fond, le Gouvernement a pleinement conscience que la communication et la sensibilisation des futures entités régulées sera un facteur clef de réussite pour la bonne mise en œuvre de NIS 2. La stratégie de l’ANSSI passe par exemple par la mise à disposition d’un portail numérique, MonEspaceNIS2, qui permet aux entités de s’informer et de tester leur éligibilité. Elle s’appuie également sur des acteurs relais pour décupler son action d’information et d’accompagnement. Des kits de communication seront par ailleurs proposés aux associations d’élus et associations professionnelles afin d’informer leurs adhérents et de les inciter à s’informer sur le texte, à tester leur éligibilité, et réaliser les premières actions de mise en conformité NIS 2. Le Gouvernement est favorable au II de l’amendement n°22, qui constitue une garantie utile dont l’ANSSI a déjà à cœur d’assurer la pleine effectivité.

L’article 37 prévoit une possibilité d’interdiction pour un dirigeant d’exercer ses fonctions en cas de manquements graves ou répétés. En raison de moyens humains, financiers et techniques plus limités, les TPE - PME peuvent rencontrer des difficultés pour se conformer rapidement aux obligations imposées. Il est donc essentiel que la gravité des sanctions prenne en compte la nature et la répétition des manquements, la taille de l’entreprise et ses capacités réelles à répondre aux exigences réglementaires. Le présent amendement vise à encadrer plus strictement cette disposition pour éviter des sanctions disproportionnées ou injustifiées, qui pourraient non seulement pénaliser de manière excessive les dirigeants de PME, mais également menacer la pérennité de ces entreprises. Il concilie l’exigence de sécurité et la nécessaire préservation du tissu économique, tout en protégeant les dirigeants de PME de sanctions qui pourraient s’avérer injustifiées ou disproportionnées.

La transformation organisationnelle qu’appelle NIS 2 pour les entités ne saurait se limiter à un accompagnement circonscrit à des subventions ou des crédits d’impôts. Le présent projet de loi est l’occasion d’impulser un réel changement de paradigme autour des enjeux de cyberprotection et de cybersécurité. Ces risques sont dorénavant des risques du quotidien et doivent être appréhendés comme tels par tous les acteurs concernés. La méthode cybersecurity by design doit donc devenir la norme de tout projet informatique ou de transformation numérique. L’objectif de passer de 5% des dépenses informatiques des entreprises dédiées à la cyber, à 10% tel que fixé par le Directeur Général de l’ANSSI (et à l’image de nombreux pays à travers le monde) est donc un objectif quantifiable et concret. Il représente moins une dépense additionnelle qu'une allocation différente du budget des organisations et des entreprises concernées. Pour accompagner ce changement de paradigme, le présent amendement intègre le risque cyber dans le document unique d'évaluation des risques professionnels (DUERP) afin de favoriser l'acclimatation des chefs d’entreprises et des salariés à ceux-ci, ainsi que l’engagement général des entreprises sur ces questions.

De nombreuses réglementations numériques, sectorielles et non sectorielles, viennent s’imposer aux entreprises. L’avant-projet de loi Résilience numérique dispose actuellement, au travers de l'article 13, que l’entreprise devra se conformer au texte le plus contraignant : cette formulation laisse la place à une appréciation individuelle desdites entreprises. De fait, afin de s'assurer de l'usage systématique de la réglementation la plus exigeante, l’ANSSI devra informer régulièrement les entités du degré d’exigence qui pèse sur elles.

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui dépassent les plafonds prévus au paragraphe 1 de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 250 personnes et dont le chiffre d’affaires excède 50 millions d’euros ou dont le total du bilan excède 43 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs. L’article 8 du projet de loi n’est pas conforme à ces dispositions et prévoit que ces critères sont alternatifs. Le présent d’amendement vise à corriger cette rédaction pour éviter tout écart de transposition avec la directive NIS2.

L’article 2 de la directive NIS2 prévoit une application du texte aux entités qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission européenne, soit celles dont l’effectif est d’au moins 50 personnes et dont le chiffre d’affaires ou le total du bilan annuel excède 10 millions d’euros. Il ressort de la lecture de ces dispositions que le critère relatif à la taille de l’effectif et celui relatif au chiffre d’affaires/au bilan sont cumulatifs et non alternatifs. L’article 9 du projet de loi n’est pas conforme à ces dispositions et prévoit que ces critères sont alternatifs. Le présent d’amendement vise à corriger cette rédaction pour éviter tout écart de transposition avec la directive NIS2.

La directive NIS 2 prévoit que les nouvelles entités importantes doivent s’auto-déclarer auprès de l’autorité de tutelle. Il est à craindre qu’un certain nombre d’entre elles, nouvellement concernées par ces obligations de cybersécurité, tardent à identifier leur nouvelle obligation et y répondent. Un travail d’identification croisé doit être opéré, via le code NAF ou NACE, sur les critères édictés (filière, CA, effectifs) et par les acteurs publics, pour identifier et pré-sensibiliser les entreprises nouvellement destinataires de nouvelles obligations pour les informer et accompagner au mieux. La durée de 3 ans doit permettre d’être en cohérence avec les annonces récentes de l’ANSSI sur l’entrée en application des contrôles à venir par l’Autorité. Les obligations prévues par NIS 2, REC et DORA vont conduire les entités régulées à transmettre régulièrement informations et données sensibles à l’ANSSI. Il est primordial que ce partage se fasse dans des conditions de sécurité importantes et qui préservent les données d’un risque d’extra-territorialisation. Comme le suggère la recommandation n°11 du rapport de la CSNP, il est primordial que ce partage se fasse au travers de mécanismes de protection des informations divulguées afin de garantir la confidentialité des données, potentiellement sensibles, et de les préserver d’un risque d’extra-territorialisation, conformément à l’article 31 de la LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique.

L’article 37 prévoit une possibilité d’interdiction pour un dirigeant d’exercer ses fonctions en cas de manquements graves ou répétés. En raison de moyens humains, financiers et techniques plus limités, les TPE - PME peuvent rencontrer des difficultés pour se conformer rapidement aux obligations imposées. Il est donc essentiel que la gravité des sanctions prenne en compte la nature et la répétition des manquements, la taille de l’entreprise et ses capacités réelles à répondre aux exigences réglementaires. Cet amendement propose d'encadrer plus strictement cette disposition pour éviter des sanctions disproportionnées ou injustifiées, qui pourraient non seulement pénaliser de manière excessive les dirigeants de PME, mais également menacer la pérennité de ces entreprises.

Le présent sous-amendement vise à empêcher la neutralisation, par l'amendement 123 du Gouvernement, de l'article 43 A issu des travaux de la commission. Cet article 43 A désignait l'Autorité de contrôle prudentiel et de résolution (ACPR) comme autorité compétente pour exercer les fonctions et missions prévues à l'article 19 du règlement DORA à l'égard de la plupart des personnes soumises à sa supervision. L'amendement 123, lui, prévoit que l'ACPR se contente de veiller au respect du règlement DORA par ces personnes, ce qu'elle doit déjà faire selon le règlement DORA. Dans le même temps, le sous-amendement conserve la correction d'une erreur de référence comprise dans l'article 43 A, correction permise par l'amendement 123 du Gouvernement.

Cet amendement vise à désigner la Banque de France ainsi que l’Autorité de contrôle prudentiel et de résolution comme autorités compétentes au titre de l’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (Texte présentant de l’intérêt pour l’EEE). L’articulation nécessaire à l’application de la directive NIS 2 et du règlement DORA pour ce qui concerne la notification des incidents, permettant de facto d’assurer l’assistance technique dont les entités pourront avoir besoin de la part du CSIRT, est satisfaite par un autre amendement ne nature à expliciter les incidents concernés.

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose trois directives européennes dont la directive NIS 2 du 14 décembre 2022 qui concerne plus spécifiquement les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Le choix qui a été fait par le Gouvernement est celui d’une transposition très étendue de cette directive, comme l’a indiqué le Conseil d’État. Ainsi dans son avis N° 408329 rendu le 6 juin 2024, il relève que « le projet de loi mobilise dans un sens extensif les possibilités d’options offertes par la directive, notamment en incluant dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements ainsi que les communes et groupements de communes de plus de trente mille habitants (…) ». « Ces choix, qui vont au‑delà de ce qu’appelle strictement la transposition de la directive NIS2, trouvent leur justification dans la volonté du Gouvernement d’assurer en France un haut niveau de cybersécurité. » Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des communes et des intercommunalités afin que la mise en œuvre des mesures requises soit supportable financièrement, faisable techniquement et progressive dans la durée. Les nouvelles obligations imposées par ce projet entraîneront des charges supplémentaires pour les communes et les intercommunalités – que l’étude d’impact n’a d’ailleurs pas chiffrées‑, alors que dans le même temps, elles doivent maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières. L’absence de progressivité dans l’application du texte risque de compliquer sa mise en œuvre, d’autant plus que le secteur de la cybersécurité est déjà sous forte pression et que la filière peine à répondre à la demande. Imposer ces nouvelles obligations à un grand nombre d’acteurs dès la publication de la loi sans anticipation adéquate ne fera qu’aggraver cette tension. Quels seront les moyens réels et disponibles pour les collectivités ? Quelles seront les modalités d’accompagnement de l’État auprès des collectivités pour se conformer aux nouvelles exigences ? Ces inquiétudes sont notamment pointées pour des communautés de communes et les communautés d’agglomération. C’est pourquoi, le présent amendement propose d’exclure du périmètre des « Entités essentielles » les communautés d’agglomération dont aucune commune membre n’a ce statut (c’est‑à‑dire dont aucune commune membre n’a 30 000 habitants et plus). Cela concernerait 120 communautés d’agglomération qui seraient alors intégrées dans le périmètre des « Entités importantes ». En revanche, 110 communautés d’agglomération, qui comptent au moins une commune de plus de 30 000 habitants, resteraient soumises aux règles applicables aux « Entités essentielles ». Cette mesure de concordance vise à éviter des distorsions pour l’application des règles de cybersécurité, entre les communes et leur intercommunalité, qui pourraient être très coûteuses, alors que seules les communes de 30 000 habitants et plus sont soumises aux obligations des « Entités essentielles ».

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement. Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes En conséquence, cet amendement vise à : • Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels. • Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement. L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux. Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Si l’ensemble des élus est soucieux des questions de cybersécurité et souhaite que l’application de la directive soit un succès, force est de constater que le texte ne tient pas compte de la réalité des moyens des collectivités pour que la mise en œuvre des mesures requises soit supportable financièrement. Les nouvelles obligations imposées par ce projet entraîneront des charges supplémentaires pour les collectivités, sans que l’étude d’impact n’ait pris la peine de les chiffrer, alors que dans le même temps, elles doivent impérativement maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières. Cet amendement propose de réduire l’astreinte pouvant être appliquée à une collectivité de 5 000 euros à 100 euros par jour, afin qu’elle soit davantage proportionnée à ses capacités financières.

Le projet de loi sur la résilience des infrastructures critiques et la cybersécurité transpose la directive européenne NIS 2, visant à assurer un niveau élevé de cybersécurité au sein de l'Union européenne. Le gouvernement a choisi une transposition très étendue. Pour répondre à ces enjeux, cet amendement propose un délai de 5 ans pour appliquer les nouvelles règles, permettant à l’État d’accompagner les collectivités locales à travers une formation des élus, une évaluation des impacts et des moyens nécessaires, ainsi que la structuration d’une filière cybersécurité adaptée.

Amendement rédactionnel.

Cet amendement, en lien avec l’amendement déposé par les rapporteurs à l’article 9, vise à faire basculer de la catégorie d’entité essentielle vers la catégorie d’entité importante les communautés d’agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants. Il s’agit, dans un souci de proportionnalité, d’éviter d’imposer des obligations excessives en matière de cybersécurité à des intercommunalités dont la taille ne le justifierait pas. Seront ainsi des entités essentielles les métropoles, les communautés urbaines et les 110 communautés d’agglomération qui comptent au moins une commune de plus de 30 000 habitants.

Cet amendement, en lien avec l’amendement déposé par les rapporteurs à l’article 8, vise à faire basculer de la catégorie d’entité essentielle vers la catégorie d’entité importante les communautés d'agglomération ne comprenant pas au moins une commune d’une population supérieure à 30 000 habitants. Il s’agit, dans un souci de proportionnalité, d’éviter d’imposer des obligations excessives en matière de cybersécurité à des intercommunalités dont la taille ne le justifierait pas. Seront ainsi des entités importantes les 120 communautés d’agglomération qui ne comptent pas au moins une commune de plus de 30 000 habitants ainsi que les communautés de commune.