- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Substituer à l’alinéa 18 les cinq alinéas suivants :
« L’autorité nationale de sécurité des systèmes d’information opère le guichet unique de déclaration de tout incident mentionné au premier alinéa. Elle transmet sans délai aux administrations concernées selon les obligations légales des personnes mentionnées à l’article 14 de la loi n° les notifications prévues aux sixième, septième, neuvième et dixième alinéas.
« En particulier, lorsque la notification est réalisée par l’entité assujettie au guichet unique de déclaration prévu ci-dessus, l’autorité nationale de sécurité des systèmes d’information a la charge :
« – de transmettre aux autorités compétentes les déclarations des incident majeurs prévus à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier;
« – de transmettre à l’autorité de contrôle visée à l’article 55 ou 56 du règlement (UE) 2016/679 (la Commission Nationale de l’Informatique et des Libertés) les notifications des violations de données personnelles prévues aux articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 et 83-II de la Loi n° 78‑17 du 6 janvier 1978.
« Dans tous les cas, les délais impartis pour ces notifications prévus par les législations applicables sont considérés comme satisfaits si la notification est réalisée dans les délais impartis auprès du guichet unique de déclaration prévu ci-dessus. »
Comme le souligne l’alinéa 14 de cet article, un incident important peut avoir des conséquences graves, ce qui justifie que les autorités compétentes du secteur d’activité concerné et éventuellement la CNIL en soient informées afin de prendre les mesures nécessaires.
Selon le principe du « dites-le nous une fois » et afin que l’entité victime de l’incident important se concentre sur son traitement, l’autorité nationale de sécurité des systèmes d’information, première destinatrice de la notification doit assurer la transmission des notifications aux administrations ou autorités concernées.
L’entité victime sera réputée avoir rempli les obligations légales de notification propres à son activité par la notification de l’incident au guichet unique opéré par l’autorité nationale de sécurité des systèmes d’information.
Amendement travaillé avec le Cybercercle.