- Texte visé : Projet de loi, adopté par le Sénat, après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, n° 1112
- Stade de lecture : 1ère lecture (2ème assemblée saisie)
- Examiné par : Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité
Éric Bothorel
Agit en tant que rapporteur
Membre du groupe Ensemble pour la République
Lien vers sa fiche complèteÀ la première phrase de l’alinéa 1, après les mots :
« domaine de la défense »
insérer les mots :
« , les personnes morales qui exercent des activités soumises à autorisation au titre de l’article L. 1333‑2 du code de la défense et qui, de ce fait, sont exclues en tout partie de la qualification d’entité essentielle ou importante, pour ces seules activités, ».
Cet amendement vise à exclure explicitement du champ d’application de la directive NIS 2 les activités liées à la sécurité nucléaire, pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationales tout en conservant leur assujettissement à un niveau d’exigence rigoureusement équivalent à celui prévu par la directive NIS 2.
La directive NIS 2 prend en compte cette possibilité à son considérant (10) qui dispose que « bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités. »
Les activités qui correspondent au considérant (10) sont en France les activités relevant de la réglementation relative à la sécurité nucléaire, mentionnées à l’article L.1333-2 du code de la défense. La sécurité nucléaire, qui intègre la sécurité des systèmes d’information, ne relève d’ailleurs pas des compétences de la Commission européenne.
Il est donc proposé d’exclure de la qualification d’entités essentielles et importantes les activités soumises à autorisation au titre de l’article L.1333-2 du code de la défense.
Cependant, ces entités concernées seraient soumises pour ces activités aux obligations fixées à l’article 14, notamment la garantie, pour leurs réseaux et leurs systèmes d’information, d’un niveau de sécurité adapté et proportionné au risque existant, et à celles du premier alinéa de l’article 17 relatif à la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture de leurs services. Ces entités pourront également faire l’objet de contrôles de l’autorité nationale de sécurité des systèmes d’information et faire l’objet des sanctions prévues à l’article 37.