- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Compléter l’alinéa 2 par les mots :
« en fonction de leur degré d’exposition au risque ».
Amendement de cohérence avec le 4˚ de cet article (alinéa 5).
Le projet de loi prévoyait dans sa version initiale que les entités devaient mettre en place un pilotage de la sécurité des réseaux et systèmes d’information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques.
Le Sénat, considérant que ce texte « sous-transposait » l’art. 20 de NIS2, a voulu à juste titre renforcer ces dispositions afin que les mesures prévues garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné aux risques existants.
Cependant la rédaction adoptée par le Sénat, non homogène avec le reste de l’article, et notamment avec le 4˚ (alinéa 5), risque de créer une ambiguïté, d’obliger à des formations ne prenant pas en compte le degré d’exposition aux risques des personnes concernées et d’entraîner ainsi des coûts inutiles de formation du personnel, alors que l’objectif tel que décrit dans le rapport du Sénat est de former les dirigeants comme les personnels exposés aux risques cyber aux grands enjeux en matière de cybersécurité.