577 577députés 17ᵉ législature

amendement seance Rejeté

Amendement (sans numéro) — ARTICLE 43 A

Auteur : Mickaël Bouloux — Socialistes et apparentés (Ille-et-Vilaine · 8ᵉ)
Texte visé : Projet de loi relatif à la résilience des infrastructures critiques et au...
Article : ARTICLE 43 A
Date de dépôt : 2025-09-05
Date de sort : 2025-09-10

Dispositif

Rédiger ainsi cet article :

« La déclaration des incidents majeurs liés aux technologies de l’information et de la communication et la notification volontaire des cybermenaces importantes prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 ainsi que la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture des services des personnes mentionnées à l’article 14, prévue à l’article 17, est réalisée à l’aide d’un formulaire unique.

"Cet article est applicable en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna. »

Exposé sommaire

L'article 19 du règlement DORA prévoit que les entités financières déclarent à l’autorité compétente pertinente visée à l’article 46 les incidents majeurs liés aux technologies de l'information et de la communication. Elles peuvent également notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Quant à l'article 17 du présent projet de loi, qui propose de transposer l'article 23 de la directive NIS 2, il prévoit que les entités essentielles et les entités importantes (dont peuvent faire partie plusieurs entités financières concernées par le règlement DORA) doivent notifier sans retard injustifié à l’Agence nationale de sécurité des systèmes d’information (ANSSI) tout incident ayant un impact important sur la fourniture de leurs services.

Afin de diminuer les démarches pour les entreprises victimes incidents majeurs liés aux TIC ou de cybermenaces importantes, l'amendement propose que ces deux obligations d'information soient réalisées par un formulaire unique qui serait adressé aussi bien à l'ANSSI qu'aux autres autorités compétentes selon l'entité concernée (Banque de France, ACPR, AMF...).

Cette rédaction alternative à celle du Sénat permettrait de maintenir le rôle primordial de l'ANSSI dans la gestion des cyberattaques.