Amendement (sans numéro) — APRÈS L'ARTICLE 43 A, insérer l'article suivant:

Après l’article L. 612‑24 du code monétaire et financier, il est inséré un article L. 612‑24‑1 ainsi rédigé :

« Art. L. 612‑24‑1. – I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b) du 2° du A du I de l’article L. 612‑2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« Ces entités transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.

« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »

Cet amendement vise à garantir l’information de l’ANSSI en cas de d’incident majeur touchant les entités financières soumises au règlement DORA et ainsi garantir l’efficacité du traitement des incidents. 

En effet, la rédaction issue du Sénat exclut l’ANSSI de l’obligation de notification des incidents imposée aux services financiers. Or, l’ANSSI est soumise à une astreinte permanente, lui permettant de réagir immédiatement en cas d’incident. 

L’information immédiate de l’ANSSI lui permettra de porter assistance aux victimes promptement et d’avertir de potentielles autres victimes de la menace. 

Exclure l’ANSSI de l’information des incidents revient donc à retarder leur prise en charge. 

Cette mesure ne s’oppose pas à la volonté de simplification, la notification par un formulaire unique, aux deux entités, permettra une assistance rapide en cas de cyberattaques, par une entité compétente en la matière.