- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
À l’alinéa 2, après les mots :
« ne peut excéder »,
rédiger ainsi la fin de l’alinéa :
« 1° Pour les entités essentielles, dix millions d’euros ou 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu ;
« 2° Pour les entités importantes, sept millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu. »
L’article 28 du présent projet de loi prévoit que la personne contrôlée est tenue de coopérer avec l’autorité nationale de sécurité des systèmes d’information et que tout manquement est puni d’une amende administrative. Il n’est pas fait de distinction selon qu’il s’agisse d’une entité essentielle ou d’une entité importante.
Or, le texte de la directive NIS2 établit un régime différencié de sanctions selon la catégorie des entités concernées. En effet, l’article 34 de la directive dispose que les entités essentielles (EE) s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de leur entreprise, selon le montant le plus élevé. Pour les entités importantes (EI), le plafond des sanctions est fixé à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial.
C’est pourquoi, il est proposé de respecter la lettre du texte de la directive et de distinguer le montant des sanctions en fonction de la qualification de l’entité.
Amendement travaillé avec le Medef.