Membre de la commission spéciale chargée d’examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Dans le cadre de l’examen du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, j’ai été nommée membre de la commission spéciale chargée d’examiner le texte.

Les attaques par rançongiciel ont augmenté de 30 % entre 2022 et 2023. La cybermenace n’épargne plus aucun secteur de la vie économique et sociale : 34 % de ces attaques visaient des TPE/PME, 24 % des collectivités territoriales, 10 % des entreprises stratégiques, 10 % des établissements de santé et 9 % des établissements d’enseignement supérieur.

Ce phénomène a conduit l’Union européenne à adopter, en 2022, trois directives, pour lesquelles le projet de loi relatif à résilience des infrastructures critiques et au renforcement de la cybersécurité prévoit la transposition :

• La directive sur la résilience des entités critiques (REC) qui renforce, en fixant un standard européen commun, la préparation et la réponse aux risques qui pèsent sur les infrastructures considérées comme critiques par les pays européens dans onze secteurs d’activité : énergie, transports, secteur bancaire, santé, eau potable, denrées alimentaires, infrastructures numériques, administration publique, Espace…

• La directive dite « NIS 2 » du 14 décembre 2022 qui concerne des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union. Nis 2 s’appuie sur la directive NIS 1 de 2016, mais en élargit considérablement le champ. Le nombre d’entités régulée passent de 500 à près de 15000. Le nombre de secteurs couverts passent de 6 à 18 (ajout de la santé, la chimie, les services postaux, la recherche, etc.). Une distinction est instaurée entre Entités essentielles (EE) et Entités importantes (EI).

• La directive du 14 décembre 2022 accompagnant le règlement Digital Operational Resilience Act (DORA) qui encadre plus rigoureusement l’emploi des technologies numériques dans le secteur financier. La directive comporte une série de mesures techniques. Elle permet d’harmoniser le cadre de prévention, de détection et de compte rendu des incidents applicable aux entités financières. Elle crée des règles communes encadrant le recours par les entités financières à des prestataires de services numériques.

Pour sa première audition, la commission se réunira le mercredi 7 mai pour auditionner M. Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI) et de M. Gaëtan Poncelin de Raucourt, sous-directeur « Stratégie ».