Recherche dans la base des amendements

Les entités essentielles et importantes sont tenues de réaliser un audit complet de cybersécurité au moins une fois tous les quatre ans, effectué par un organisme qualifié.

L’Agence nationale de la sécurité des systèmes d’information peut demander la transmission des résultats de ces audits.

En cas de non-conformité ou de déficiences en matière de sécurité, l’Agence nationale de la sécurité des systèmes d’information peut adresser à l’entité concernée un avis de mise en conformité, fixant un délai pour régulariser la situation. Si les déficiences persistent au-delà du délai imparti, l’Agence nationale de la sécurité des systèmes d’information peut exiger la présentation d’un plan de correction approprié et la preuve de sa mise en œuvre.

Cet amendement renforce la résilience des infrastructures critiques en imposant aux entités essentielles et importantes la réalisation d’un audit complet de cybersécurité tous les quatre ans, réalisé par un organisme qualifié.
L’ANSSI peut demander la transmission des résultats des audits et vérifier leur conformité. En cas de non-conformité, elle peut adresser un avis de mise en conformité avec un délai pour régulariser la situation, puis exiger un plan de correction et sa preuve de mise en œuvre si les déficiences persistent.
Cette disposition s’inspire de l’Allemagne, où les audits peuvent être exigés tous les trois ans, et de l’Italie, qui prévoit une procédure graduée de régularisation avant sanction, assurant ainsi un contrôle efficace et une correction progressive des vulnérabilités.