Amendement n° None — ARTICLE 14

Substituer aux alinéas 6 à 8 les neuf alinéas suivants :

« Un décret en Conseil d’État détermine :

« a) les conditions d’élaboration, de modification et de publication des objectifs auxquels doivent se conformer les personnes mentionnées au premier alinéa afin que les mesures adoptées pour la gestion des risques satisfassent aux 1° à 4° de l’article ;

« b) les conditions d’élaboration, de modification et de publication d’un référentiel d’exigences techniques et organisationnelles qui sont adaptées aux différentes personnes mentionnées au premier alinéa, en fonction de leur degré d’exposition aux risques, de leur taille, de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences économiques et sociales.

« Ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 ;

« c) les conditions dans lesquelles le recours à des normes et des spécifications techniques européennes, internationales pour la sécurité des réseaux et des systèmes est considéré comme équivalent au référentiel d’exigences techniques et organisationnelles mentionné au b).

« Les normes pour la sécurité des réseaux et des systèmes d’information adoptées par d’autres États membres en application de l’article 21 de la directive (UE) 2022/2555 du Parlement européen et du conseil du 14 décembre 2022 sont considérées comme des normes européennes ou internationales au sens du présent article.

« Le guide de l’ENISA pour la mise en œuvre du règlement d’exécution (UE) 2024/2690 du 17 octobre 2024 est notamment réputé équivalent au référentiel d’exigences techniques et organisationnelles mentionné au b) ;

« d) les conditions dans lesquelles l’application d’autres réglementations pour la sécurité des réseaux et des systèmes est considérée comme équivalente au référentiel d’exigences techniques et organisationnelles mentionné au b).

« Le décret fixe les modalités de concertation des ministères, des représentants des entités concernées et des associations d’élus pour les a, b et c du présent article. »

Cet amendement de réécriture conséquent vise à s’assurer que la définition des objectifs de sécurité et des référentiels d’exigences pour y répondre sont élaborés par l’ensemble des parties prenantes.

 Dans le texte d’origine, seules l’élaboration, la modification et la publication d’un référentiel d’exigences techniques et organisationnelles sont soumises à la concertation des parties prenantes auxquelles manquent par ailleurs les ministères coordonnateurs.

La concertation des ministères est essentielle dans ce processus de définition en raison notamment de leur connaissance du secteur, des réglementations spécifiques, des acteurs qui le composent et de leur éventuelle articulation avec d’autres secteurs, de leur capacité à évaluer le degré d’exposition aux risques des entités relevant de ce texte ainsi que des impacts métiers et de leurs conséquences.

Par ailleurs, l’article 25 de la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 prévoit spécifiquement que les « États membres encouragent le recours à des normes et des spécifications techniques européennes et internationales pour la sécurité des réseaux et des systèmes d’information ».

Non seulement de telles normes internationales, telles que la norme ISO 27001, sont fréquemment mises en œuvre dans de grands groupes ayant des filiales dans plusieurs pays de l’Union européenne, mais elles sont également reconnues, par d’autres États membres ayant transposé le même texte, comme équivalentes au référentiel national, parfois avec certains compléments ou sous certaines conditions.

De plus, les normes et les spécifications techniques pour la sécurité des réseaux et des systèmes d’information issues d’autres pays européens ayant transposé la directive NIS 2 susvisée peuvent également servir de point de référence utile en harmonisant les règles au sein d’un groupe dans la mesure où, par exemple, des filiales auraient déjà à respecter un référentiel national applicable par un État membre ayant transposé la directive susmentionnée depuis de nombreux mois.

Le guide de l’ENISA pour la mise en œuvre du règlement d’exécution (UE) 2024/2690 du 17 octobre 2024 applicable à certaines entités régulées telles que les fournisseurs de services d’informatique en nuage, les fournisseurs de réseaux de diffusion de contenus ou de prestataires de services de confiance, constitue de fait un standard de sécurité numérique reconnu par l’UE qui peut être le référentiel pour toute entité régulée, notamment celles disposant de sites dans différents états membres, évitant le risque de distorsion, optimisant les coûts de mise en conformité pour les entités régulées et simplifiant les opérations de contrôle.

Enfin, la conformité d’une entité à DORA dont le niveau de sécurité est supérieur à NIS2, doit être reconnue comme une preuve de conformité à NIS2.

Afin de « favoriser la mise en œuvre convergente de l’article 21, paragraphes 1 et 2 » comme le prévoit le 1 de l’article 25 de la directive précitée, la rédaction proposée permet la reconnaissance à l’identique du référentiel national, de normes pouvant permettre une approche cohérente et permettant de disposer du même niveau de preuve de conformité que celui prévu à l’article 15 du présent projet.

Amendement travaillé avec le Cybercercle.