- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Éric Bothorel
Agit en tant que rapporteur
Membre du groupe Ensemble pour la République
Lien vers sa fiche complèteI. – À l’alinéa 2, après le mot :
« entreprises »
insérer les mots :
« , à l’exception de celles dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités, »
II. – En conséquence, à l’alinéa 9, après les mots :
« territoriales »
insérer les mots :
« , à l’exception de ces opérateurs dont tout ou partie des activités sont soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense pour ces seules activités ».
Cet amendement vise à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales.
La directive NIS 2 prend en compte cette possibilité au niveau de son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »
Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L. 1333‑2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.
Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense.
Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services.