- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Après l’alinéa 7, insérer les trois alinéas suivants :
« Ces produits, services ou processus certifiés doivent remplir les conditions suivantes :
« 1° Le siège statutaire, administration centrale et principal établissement de la société dont émanent les produits, services ou processus certifiés en cause doivent être établis au sein d’un État membre de l’Union européenne ;
« 2° Le capital social et les droits de vote dans la société dont émanent les produits, services ou processus certifiés en cause ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »
Le présent article prévoit que le référentiel d’exigences techniques et organisationnelles pourra imposer le recours à des produits, services ou processus certifiés au titre du règlement (UE) 2019/881, dit Cybersecurity Act. Cette faculté vise à renforcer le niveau de sécurité des entités assujetties à la directive NIS 2, en favorisant l’usage de solutions certifiées selon un standard européen reconnu. Cependant, une incertitude demeure quant à l’intégration, dans ces schémas de certification – notamment le futur EUCS - de critères relatifs à l’immunité des fournisseurs aux droits extraterritoriaux. Plusieurs versions préliminaires du schéma ont montré des hésitations sur ce point crucial, sous la pression de certains États membres et d’acteurs économiques favorables à une approche plus souple. Or, l’absence de garanties sur l’immunité aux législations extraterritoriales (comme le Cloud Act américain) affaiblirait l’ambition même du dispositif. Elle exposerait potentiellement les données stratégiques d’entités essentielles ou importantes à des ingérences étrangères. Dans ce contexte, le présent amendement, reprenant la définition du Secnumcloud, vise à introduire explicitement un critère d’établissement en Europe pour les services certifiés que le gouvernement peut prescrire pour les entités régulées par Nis 2.