Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Résilience des activités d’importance vitale

Le projet de loi transpose en premier lieu la directive dite "REC" du 14 décembre 2022 sur la résilience des entités critiques, qui renforce, en fixant un standard européen commun, la préparation et la réponse aux risques qui pèsent sur les infrastructures considérées comme critiques par les pays européens dans onze secteurs d'activité : énergie, transports, secteur bancaire, santé, eau potable, denrées alimentaires, infrastructures numériques, administration publique, Espace…

Le projet de loi modifie le code de la défense pour actualiser le dispositif national existant mis en place depuis 2006 et dont est en grande partie inspirée la directive. Il s'agit du dispositif de sécurité des activités d’importance vitale (SAIV), piloté par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et supervisé, pour le volet cyber, par l'Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce dispositif s'applique à plus de 300 opérateurs, publics comme privés, qui exploitent ou utilisent des installations indispensables à la vie de la Nation et qui doivent garantir leur propre protection et celles de leurs systèmes d'information. 

Le dispositif est élargi à plusieurs sous-secteurs (réseaux de chaleur et de froid, hydrogène, assainissement...). Les opérateurs d'importance vitale (OIV) devront réaliser un "plan de résilience opérateur", qui reprendra en partie le contenu du plan actuel. Les près de 1 500 points d’importance vitale (PIV) existants (sites de production, centres de contrôle, data centers, nœuds de réseau...) devront être dotés d’un plan particulier de résilience, qui remplacera l’actuel plan. 

Des dispositions seront applicables aux entités critiques d’importance européenne particulière et pour lesquelles la Commission européenne pourra diligenter des missions de conseil. 

Une nouvelle commission des sanctions, rattachée au Premier ministre, est instituée. Elle pourra prononcer de lourdes amendes administratives en cas de manquement des OIV (jusqu'à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial de l'entreprise). L’État, les collectivités locales et leurs établissements publics administratifs ne seront pas concernés par ces amendes.  

Cybersécurité

Le projet de loi transpose en second lieu la directive dite "NIS 2" du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Cette directive s'appuie sur les acquis de la directive NIS 1 de 2016, qui avait posé les bases d’une cybersécurité commune. Elle élargit les objectifs de protection et son périmètre d'application à de nouveaux acteurs et secteurs car les menaces ciblent désormais l’ensemble du tissu social et économique. Au-delà de la menace stratégique (étatique) qui perdure, les cybercriminels sont rentrés dans une logique de vastes campagnes d’attaques qui affectent un nombre beaucoup plus élevé de victimes (PME, collectivités territoriales, hôpitaux...), avec parfois des conséquences extrêmement dommageables pour les citoyens. La transposition de la directive se traduira en France par une hausse des entités régulées qui passeront de 500 à près de 15 000 entités (comme les acteurs de la chaîne d’approvisionnement, les administrations centrales, 1 500 collectivités locales dont 300 communes de plus de 30 000 habitants, les moyennes et grandes entreprises...). Le nombre de secteurs régulés passera lui de 6 à 18 (santé, fabrication de produits chimiques, industries manufacturières, recherche, services postaux...). Les entités concernées seront soumises à des obligations proportionnées en fonction du niveau de leur criticité : les "entités essentielles" (EE) et les "entités importantes" (EI).

Le projet de loi prévoit que l'ANSSI sera chargée de la mise en œuvre et du contrôle de la politique du gouvernement en matière de sécurité des systèmes d’information. L'agence a d'ailleurs publié un espace dédié NIS2. Le texte définit également les nouveaux pouvoirs de l'ANSSI et transpose les obligations prévues par la directive : les entités régulées devront notamment fournir certaines informations à l'ANSSI et déclarer leurs incidents de sécurité. Elles pourront être sanctionnées en cas de manquement (amende jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial). L’État, les collectivités locales et leurs établissements publics administratifs ne seront pas concernés par ces amendes. 

Résilience numérique des banques 

Le texte transpose en dernier lieu la directive du 14 décembre 2022 accompagnant le règlement Digital Operational Resilience Act (DORA) du 14 décembre 2022, qui encadre plus rigoureusement l'emploi des technologies numériques dans le secteur financier. La directive comporte une série de mesures techniques. Elle permet d'harmoniser le cadre de prévention, de détection et de compte rendu des incidents applicable aux entités financières. Elle crée des règles communes encadrant le recours par les entités financières à des prestataires de services numériques.

Le code monétaire et financier (CMF) et le code des assurances sont modifiés.  

Les sénateurs ont adopté plusieurs amendements, dont certains du gouvernement, pour préciser des définitions et différer l'entrée en vigueur de certaines mesures. Ils ont modifié la partie consacrée à la transposition de la directive NIS2 en particulier pour : 

• étendre les missions de l'ANSSI, qui devra accompagner et soutenir le développement de la filière cybersécurité ;
• prévoir une stratégie nationale en matière de cybersécurité qui devra être élaborée par le Premier ministre ;
• faire basculer de la catégorie "d’entité essentielle" vers celle d’"entité importante" les communautés d’agglomération ne comprenant pas au moins une commune de plus 30 000 habitants ;
• créer un label de confiance approuvé par l'ANSSI.

Un article additionnel, l'article 16 bis, a été ajouté pour prévoir une forme de sanctuarisation du chiffrement dans la loi. Il vise à interdire d'imposer aux messageries instantanées l'installation de dispositifs de portes dérobées (backdoors), "clés de déchiffrement maîtresses" ou autres mécanismes d’affaiblissement volontaire de la sécurité. Ces dispositifs présentent, selon les sénateurs auteurs de l'amendement, des risques considérables pour la sécurité informatique et la protection des droits fondamentaux. D’une part, ils créent des vulnérabilités exploitables non seulement par les autorités prévues, mais également par des acteurs malveillants (cybercriminels, États hostiles ou entités privées). 

Une disposition inverse avait été adoptée au Sénat en janvier 2025 lors de l'examen de la loi pour sortir la France du piège du narcotrafic, avant d'être supprimée par l'Assemblée nationale. Elle imposait aux messageries cryptées (comme Signal, Telegram...) de permettre techniquement aux services de renseignement d’accéder aux échanges cryptés des narcotrafiquants et criminels.

La dernière partie du texte a été complétée pour éviter le risque de double assujettissement des entités financières au règlement DORA et à la directive NIS 2 et pour désigner la Banque de France et l’Autorité de contrôle prudentiel et de résolution comme autorités compétentes au titre de l’application du règlement DORA. 

L'Assemblée nationale doit désormais examiner le projet de loi.