Amendement n° None — ARTICLE 8

Compléter l’alinéa 7 par les mots :

« et les éditeurs de logiciels ; ».

De nombreux responsables sécurité des systèmes d’information (RSSI), en particulier dans le secteur hospitalier, alertent sur une faille majeure du dispositif actuel : les éditeurs de logiciels ne sont soumis à aucune obligation de sécurité ni à aucune autorité de contrôle. Ainsi, lorsqu’une vulnérabilité est découverte dans un logiciel utilisé par un établissement de santé, rien n’impose à l’éditeur de mettre en œuvre dans des délais raisonnables les correctifs nécessaires, exposant directement l’hôpital à des risques de cyberattaque et de paralysie de ses systèmes critiques.
 
Or, le considérant 85 de la directive NIS 2 souligne explicitement que les éditeurs de logiciels constituent un maillon essentiel de la chaîne d’approvisionnement numérique et que leurs produits sont régulièrement exploités par des acteurs malveillants pour compromettre la sécurité des réseaux et systèmes d’information.
 
Afin de répondre à cette vulnérabilité structurelle, le présent amendement propose d’étendre les obligations de cybersécurité prévues par la directive NIS 2 aux éditeurs de logiciels. Cette évolution permettra d’imposer des exigences minimales de sécurité dès la conception et le développement des produits, mais aussi de prévoir une capacité d’intervention et de contrôle par l’autorité compétente (ANSSI).
 
En intégrant les éditeurs de logiciels dans le champ d’application, il s’agit de protéger les établissements de santé et plus largement les entités essentielles contre des risques aujourd’hui avérés, en garantissant que les produits dont ils dépendent respectent un socle commun de sécurité et que les éditeurs assument pleinement leurs responsabilités en cas de faille critique.