22 interventions trouvées.
...yens de faire front commun. Aussi, la directive NIS constitue une étape nécessaire dans l'édification d'une sécurité commune. Elle poursuit ainsi un double objectif : renforcer le niveau de cybersécurité applicable aux activités économiques stratégiques et accroître la coordination entre États membres en cas d'incidents transnationaux. Le texte affirme la nécessité de définir et d'identifier les opérateurs de services essentiels, dits « OSE » : des acteurs qui font partie de la vie quotidienne des Français et qui devront, à ce titre, se conformer aux nouvelles règles en matière de sécurité informatique. La directive fixe une liste minimale de secteurs concernés : énergie, transport, banques, infrastructures de marchés financiers, santé, fourniture et distribution d'eau potable, infrastructures nu...
...e a été engagée, nous disposons de suffisamment de temps pour l'examiner sereinement. J'en viens au fond du projet de loi. Le titre I transpose une directive de 2016 communément appelée « NIS », dans le but de renforcer la sécurité des réseaux et des systèmes d'information dans l'Union. Il s'agit de garantir la continuité des activités économiques stratégiques de la nation, notamment celles des opérateurs de services essentiels, en cas de cyberattaques en imposant des règles élémentaires à certains organismes et en accroissant la coordination avec les pouvoirs publics en cas d'incidents de sécurité sur leur réseau et sur leur système d'information. Et c'est, hélas, on ne peut plus nécessaire. Il suffit en effet de se pencher sur l'actualité récente pour être convaincu de l'utilité d'une telle me...
...juridique, l'Union européenne vient ici combler un véritable vide. Alors que les cyberattaques se font de plus en plus nombreuses et de plus en plus puissantes, la loi doit offrir une réponse adaptée. La France dispose déjà d'une autorité nationale compétente, l'Agence nationale de la sécurité des systèmes d'information. Mais il est également nécessaire de soumettre les systèmes d'information des opérateurs et des fournisseurs de service numérique à un dispositif réglementaire efficace. Il est capital de renforcer les systèmes de sécurité, les opérateurs d'importance vitale étant particulièrement concernés. En l'absence de dispositions applicables dans le droit national, il s'agit de prendre de nouvelles dispositions législatives, qui s'articulent autour d'un volet sur les opérateurs et d'un autre ...
...ation, mais j'y vois un procédé dangereux. Il pose tout d'abord un principe d'identité entre des acteurs d'État et des prestataires de services au sujet de la transposition d'une directive qui veut nous préserver des dangers majeurs de notre temps. Or la nationalité des prestataires, leurs convictions, leurs accointances ne peuvent pas être soumis aux mêmes exigences que celles qui s'imposent aux opérateurs du service public. Si l'on ajoute le motif, compréhensible à certains égards, d'intérêts économiques, le législateur se place face à des situations de contentieux difficiles. Quand doit-on alerter ? Lorsqu'il s'agit d'un acteur essentiel, comment considérer que cette alerte ne le met pas lui-même en danger ? Tout en comprenant l'objectif de l'article, je pense qu'il devrait être encore plus pr...
Sur la forme, vous proposez de supprimer un article qui prévoit que « lorsqu'elle informe le public ou les États membres de l'Union européenne d'incidents dans les conditions prévues aux articles 7 et 13, l'autorité administrative compétente tient compte des intérêts économiques de ces opérateurs et fournisseurs de service numérique et veille à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle. » Il me semble très compliqué de supprimer cet article qui est une transposition scrupuleuse de l'article 14 de la directive dite « NIS ». Sur le fond, il paraît normal de prendre en considération des intérêts économ...
Cet article met en relief deux des défauts du texte : l'imprécision des définitions et la faible capacité du Parlement à contrôler l'exécutif. Nous en avons déjà largement traité dans la discussion générale, mais il convient d'y revenir. La définition des « opérateurs de services essentiels » est très vague. Dans la perspective de l'écriture des décrets, pouvez-vous la préciser ? Pourquoi cette définition est-elle plus vague que celle des opérateurs d'importance vitale qui figure dans la loi de programmation militaire de 2013 ? Vous me répondrez peut-être que cette notion d'opérateurs essentiels peut varier dans le temps ; dans ce cas, pourquoi légiférer de ...
Dans la logique de mes amendements précédents, j'estime que les Français doivent être certains que leur sécurité est vraiment assurée, et que le Premier ministre contrôle vraiment avec attention les opérateurs. Je demande donc que les parlementaires produisent, tous les deux ans, un rapport sur les failles de sécurité ; ils diraient ainsi aux Français s'ils sont, ou non, protégés. La sécurité des réseaux et systèmes d'information ne doit pas être considérée avec légèreté ; ce serait risquer les pires catastrophes. La sécurité doit être assurée, et je serai très vigilante sur ce point.
Avis défavorable. La loi fixe le cadre mais c'est au pouvoir réglementaire qu'il reviendra d'adopter cette liste d'opérateurs.
L'étude d'impact n'évalue pas précisément le coût supporté par les opérateurs désignés par le Premier ministre, quel que soit leur statut. Nos inquiétudes portent essentiellement sur les investissements qui seraient demandés à des organismes à but non lucratif, notamment des organisations non gouvernementales, s'ils sont qualifiés d'opérateurs de services essentiels. Les Restos du coeur, par exemple, ne pourraient-ils pas être considérés comme un opérateur de services e...
L'étude d'impact indique que le coût la mise en oeuvre des règles de sécurité imposées à ces opérateurs de services essentiels « sera précisé dans la fiche d'impact qui accompagnera le texte réglementaire fixant ces règles ». Ce coût a déjà été évalué pour les organismes d'importance vitale : il s'échelonne entre 1 et 2 millions d'euros par opérateur et par an. Mais il sera nécessairement moins élevé pour les opérateurs de services essentiels, à qui de moindres contraintes seront imposées. La com...
L'amendement vise à renforcer les pouvoirs du Parlement. Vous y serez donc sans doute favorables. Les opérateurs de services essentiels, publics et privés, fournissent des services essentiels au fonctionnement de la société et de l'économie. Ils interviennent dans des secteurs variés mettant en cause la souveraineté : l'énergie, les transports, les banques, les infrastructures de marchés financiers, la santé, l'eau potable, etc. Le projet de loi prévoit d'obliger les OSE à déclarer à l'ANSSI tout incident...
...aires évoqués au premier alinéa de l'article 3. Je continue de penser que ces deux points poseront d'immenses problèmes et que le Parlement ne facilite pas la tâche des administrations en ne codifiant pas assez, comme le Conseil d'État le souligne d'ailleurs en creux. Pouvez-vous m'apporter des précisions sur le quatrième alinéa dont les contours – s'agissant tant du délai que de la relation aux opérateurs – me semblent flous ? L'ANSSI disposera-t-elle d'une latitude suffisante dans ses contrôles ? Sa liberté d'action aura-t-elle été définie avec une précision suffisante pour faire face aux services juridiques pléthoriques des opérateurs ?
Les motifs de cet amendement sont identiques à ceux des amendements présentés aux articles 5 et 6. Il ne me semble pas souhaitable que le Premier ministre détienne, entre ses seules mains, la sécurité des réseaux et des systèmes d'information des opérateurs de services essentiels. Afin de garantir la sécurité et de préserver la liberté de communication des Français, la responsabilité doit être exercée à plusieurs. Je préconise donc que le Premier ministre partage cette fonction.
Je rappelle les termes de l'article 5 : « les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services sont soumis aux dispositions du présent chapitre ». Il s'agit donc d'opérateurs qui jouent un rôle crucial dans notre économie ou da...
Cet amendement vise à prendre en compte la réalité du chiffre d'affaires de nombreux opérateurs concernés par cette loi. Les « GAFA » et les autres grandes entreprises, ainsi que leurs dirigeants, ne seront pas dissuadés par des montants d'amende aussi faibles. Que sera la loi sans réelle force contraignante ? Nous proposons d'augmenter le montant maximal des amendes et de le faire correspondre à un pourcentage du chiffre d'affaires. Le seuil de 4 % du chiffre d'affaires est celui qui a ...
Avis défavorable sur les deux amendements. S'agissant de l'amendement no 53, le montant des amendes a été fixé, à une échelle inférieure, par comparaison avec le régime de sanctions appliqué aux opérateurs d'importance vitale.
...t acquis un rôle prépondérant dans la gestion des flux financiers et des flux d'information. Si des brèches de sécurité existent dans leurs réseaux et systèmes d'information, ils ont un impact sur la nation tout entière. Or on observe que les montants des amendes prévus par ce projet de loi ne sont absolument pas dissuasifs par rapport aux milliards de capitalisation et de profits dégagés par ces opérateurs – ces géants sont généralement américains, états-uniens pour être plus précis – et par certaines entreprises de services du numérique. S'élevant à 850 milliards de dollars, la capitalisation boursière d'Apple est, vous le savez, la plus grosse de l'histoire. Je pourrais donner d'autres exemples. Nous proposons d'établir une échelle modulable de sanctions pécuniaires réellement dissuasives pour ...
Tout d'abord, il nous paraît fondamental que les amendes prévues en cas de méconnaissance des obligations en matière de cybersécurité ne soient pas uniquement acquittées par les dirigeants des opérateurs concernés, mais aussi par les opérateurs eux-mêmes. En effet, de même que les « dirigeants », les « fournisseurs » doivent être responsabilisés, en tant qu'entité collective. À titre de rappel, que penser du jusqu'au-boutisme dans l'illégalité des dirigeants français d'Uber, couverts par leur compagnie mère ? En outre, cet amendement est complété par d'autres amendements, qui visent à uniformis...
Des amendements analogues ont déjà été examinés lorsqu'il a été question des opérateurs de services essentiels. L'argumentation reste la même. Avis défavorable sur les deux amendements.
...ent une amélioration continue contre des attaques ou tentatives d'attaques qui se renouvellent quasi quotidiennement, tant dans leurs méthodes que dans leur ampleur. Nous proposons donc, par cet amendement d'appel, d'envisager la création d'un statut juridique des chasseurs de failles, qui puisse permettre juridiquement l'organisation de bug bounty, pour l'instant dans le périmètre restreint des opérateurs considérés comme essentiels par le code de la défense, que nous souhaitons voir à terme étendu à l'économie en général. Nous proposons que le premier statut juridique de chasseur de failles soit enregistré et autorisé par l'Agence nationale de sécurité des systèmes d'information, l'ANSSI. Si, lors de l'examen en commission des lois ou en séance publique, le rapporteur refuse de se prononcer su...