Intervention de Marietta Karamanli

Je rejoins assez l'appréciation de nos collègues sur la complexité de ce texte, comme sur sa technicité.

Sur le fond, la directive « NIS » impose aux entreprises européennes d'améliorer leur capacité à résister aux cyberattaques. Pour ce faire, elle établit des normes de cybersécurité communes, elle renforce la coopération entre les différents pays de l'Union européenne ; l'objectif est bien de créer un cyber-environnement fiable au sein de l'Union européenne, en vue de soutenir le marché intérieur. C'est ce à quoi nous appelons depuis très longtemps.

Mais la directive prévoit des obligations supplémentaires, non seulement pour les États membres, mais aussi pour les particuliers responsables d'infrastructures critiques. Dans les secteurs dits essentiels, définis comme tels par chaque État, les entreprises seront tenues de prendre des mesures de sécurité adéquates afin de garantir la continuité et la sécurité de leurs réseaux et de l'information.

Elle introduit par ailleurs une obligation de notification : à compter de mai 2018, ces entreprises seront également tenues de notifier les cyber-incidents sérieux aux autorités nationales. Ce faisant, le texte institue un cadre de sécurité pour améliorer la fiabilité et la résilience des réseaux et systèmes d'information, assorti à un contrôle par l'autorité administrative, lequel peut aboutir à des sanctions.

L'article 5 définit la notion d'opérateur de services essentiels et confie au Premier ministre la responsabilité de désigner ces opérateurs. Les secteurs concernés seront l'énergie, les transports, les banques et les infrastructures ; le Gouvernement prévoit d'en ajouter d'autres comme le tourisme, l'agroalimentaire, les assurances, les affaires sociales et la construction automobile.

Cela étant, plusieurs questions se posent. La notion d'incident grave a-t-elle fait l'objet d'une définition opérationnelle, par analogie et par secteur d'activité ? Il serait intéressant de le préciser, de façon que nous puissions mieux comprendre ce domaine complexe.

S'agissant de la directive 2017853, relative au contrôle des acquisitions et de la détention d'armes, j'ai eu précédemment l'occasion d'être rapporteure à plusieurs reprises sur cette question. Elle apporte des précisions sur les armureries et sur la vente par correspondance, mais elle ne traite que des personnes qui s'inscrivent dans un cadre légal ; elle ne s'attaque pas du tout à la problématique du trafic. C'était pourtant l'élément essentiel sur lequel nous avions insisté précédemment, à la commission des Lois comme à la commission des Affaires européennes. Que fait-on du trafic lié au reconditionnement d'armes provenant des pays des Balkans ? On les retrouve sur le marché, voire dans les mains des terroristes. Or ce texte n'aborde pas du tout ce sujet.

Enfin, le projet crée un régime d'autorisations spécifiques pour le service public réglementé offert par le service GALILEO. Développé par l'Union européenne, ce programme inclut un segment spatial dont le déploiement doit s'achever vers 2020. L'accès à ce service est limité à certains acteurs autorisés par le Gouvernement.

Ce sont à la fois la définition des secteurs concernés par le périmètre des opérateurs tenus par des obligations en matière de cybersécurité et l'ajout de dispositions sur le trafic illicite dans le cadre européen en matière de réglementation d'armes qui posent question à notre groupe. Les deux problèmes mériteraient en tout cas un débat approfondi. Peut-être nos débats d'aujourd'hui, préparatoires à la séance publique, pourront-ils apporter des compléments.

Se pose enfin la question des agences de cybersécurité. L'ANSSI dépend des services du Premier ministre. Quelle est sa position par rapport à la Commission nationale de l'informatique et des libertés (CNIL) ? L'ANSSI a 500 salariés, la CNIL n'en a que 200 ; elles interviennent par moments sur des sujets communs. Mais qu'en sera-t-il à l'avenir ? Ce point n'est pas traité.

On ne se sait pas grand-chose non plus des exigences opérationnelles formulées auprès des opérateurs, alors qu'elles sont d'une importance vitale, et entre les opérateurs à contrôler.

Sur la procédure, je formulerai seulement un regret, celui de voir ce texte, très complexe et très technique, et qui n'aborde pas tous les éléments présents dans la directive, examiné en procédure accélérée. C'est dommage. Car nous pourrions aller plus loin sur les différents sujets soulevés, comme la lutte contre le trafic ou la définition des opérateurs.

Au Sénat, peu d'amendements ont été adoptés, hormis ceux du rapporteur. Il a posé, entre autres, la question de la constitutionnalité du régime des sanctions contre les opérateurs et entreprises concernés.

Pour toutes ces raisons, le groupe Nouvelle Gauche s'abstiendra. Mais nous comptons vraiment sur ce débat et sur vos réponses, monsieur le rapporteur, pour améliorer ce texte.