- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Rédiger ainsi cet article :
« La mise en œuvre par les personnes mentionnées à l’article 14 de la loi n° des exigences des référentiels mentionnées au sixième alinéa du même article 14 vaut présomption, sauf preuve contraire, de la mise en œuvre du niveau de sécurité adapté et proportionné aux objectifs mentionnés au même alinéa du même article. »
La rédaction actuelle issue des travaux du Sénat de l’article 15 prévoit que les personnes mentionnées à l’article 14 qui mettent en œuvre les exigences du référentiel mentionné au sixième alinéa du même article 14 ou qui mettent en œuvre tout autre référentiel reconnu comme équivalent par l’autorité nationale de sécurité des systèmes d’information peuvent s’en prévaloir auprès de celle‑ci lors d’un contrôle, le cas échéant au moyen d'un label de confiance approuvée par elle.
La rédaction actuelle ne permet donc pas aux assujettis respectant le ou les référentiels définis à l’alinéa 6 de l’article 14 :
– ni d’inverser explicitement la charge de la preuve – ce sera toujours à eux de démontrer ce respect ;
– ni de se prévaloir d’une position favorable à cet égard de l’autorité nationale de sécurité des systèmes d’information devant les tribunaux si une action en responsabilité est engagée par un tiers contre l’assujetti du fait du non-respect des obligations prévues au titre de la présente loi et lui ayant causé un préjudice.
Le respect du ou des référentiels définis à l’alinéa 6 de l’article 14 doit permettre d’inverser la charge de la preuve du respect des objectifs de sécurité et de ne pas la faire reposer sur l’assujetti, conformément d’ailleurs à la position d’autres pays européens ayant transposé la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148.
L’inversion de la preuve permet également des gains financiers à la fois pour les entités régulées, mais aussi pour l’État lors des opérations de contrôle qui sont de fait simplifiées.
Amendement travaillé avec le Cybercercle.