Mardi 9 et mercredi 10 septembre, les députés de la commission spéciale, malgré la démission du Gouvernement, ont fait acte de résilience pour débattre du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, adopté par le Sénat après engagement de la procédure accélérée.
244 amendements ont été adoptés sur ce texte pourtant très technique. Les parlementaires ont apporté un certain nombre de modifications concernant la transposition de NIS2 et de DORA. Voici les principales :
Les éditeurs de logiciels, maillon essentiel de la chaîne d’approvisionnement numérique, sont désormais soumis aux obligations de cybersécurité prévues par la directive NIS2. “Cette évolution permettra d’imposer des exigences minimales de sécurité dès la conception et le développement des produits, mais aussi de prévoir une capacité d’intervention et de contrôle par l’autorité compétente (ANSSI)” explique l’amendement.
Les établissements de santé et les établissements médico-sociaux sont considérés comme critiques. Ils sont dans l’article 8 comme entités essentielles, aux côtés des collectivités territoriales et des établissements d’enseignement menant des activités de recherche.
Après plusieurs amendements et débats, la non-introduction de sanctions financières pour les collectivités est confirmée, bien que le Conseil d’État estime que cette différence de traitement avec les opérateurs privés n’est pas justifiée, et ce, même si le gouvernement dispose “d’autres moyens que ces amendes pour garantir le respect de leurs obligations”.
Le maintien de l’article 16 bis, réaffirme le recours aux messageries chiffrées et donc l’opposition à l’introduction de backdoors.
Les entités pourront choisir leurs prestataires de services certifiés, qualifiés ou agréés, ou encore des organismes indépendants, sur la base d’une liste élaborée par l’ANSSI. L’amendement de l’article 14, répond aux inquiétudes soulevées lors des auditions, notamment quant à un risque potentiel de conflit d’intérêts entre l’audité et l’auditeur. Grâce à une liste de plusieurs prestataires établie par l’ANSSI, l’entité auditée ne sera pas contrainte de se faire auditer par un acteur directement concurrent.
Un amendement a également pour objectif d’appliquer le règlement (UE) n° 2024/2847, dit Cyber Resilience Act (CRA), visant à imposer des exigences de cybersécurité aux fournisseurs de produits numériques accessibles sur le marché unique, qui entrera prochainement en vigueur en droit national.
Les modifications relatives à DORA
Par exception aux principes assurantiels, la charge de la preuve reposera sur l’assuré, qui devra démontrer l’absence de lien de causalité entre le sinistre et un fait de guerre étrangère. “Cette exclusion se justifie par le caractère inassurable d’une guerre, qui constitue un risque de nature systémique limitant les possibilités de mutualisation“.
L’application des exigences DORA aux petites sociétés de financement interviendra à compter du 17 janvier 2027, à l’instar des délais qui avaient été accordés par le règlement DORA aux établissements de crédit.
