Projet de Loi sur la Résilience des Activités Vitales et Cybersécurité
projet-de-loi-resilience
Le 7 mai 2024, le Conseil d'État a été saisi du projet de loi sur la résilience des activités vitales et la cybersécurité. Ce projet vise à renforcer la résilience des infrastructures critiques, la cybersécurité, et la résilience numérique du secteur financier en transposant diverses directives européennes. Ce texte législatif se divise en trois parties principales : la résilience des activités vitales, la cybersécurité, et la résilience du secteur financier.
Structure du Projet de Loi
Résilience des activités d'importance vitale (Titre I) : Transposition de la directive européenne sur les entités critiques.
Cybersécurité (Titre II) : Mise en œuvre de la directive NIS2 pour renforcer la cybersécurité en Europe.
Résilience opérationnelle numérique du secteur financier (Titre III) : Transposition de la directive DORA concernant la résilience numérique dans le secteur financier.
Impact et Consultation
L'étude d'impact du projet souligne les enjeux associés à la cybersécurité et la résilience des systèmes critiques. Ce projet a été soumis à des consultations auprès de diverses autorités, dont l'ARCEP, afin d'ajuster le texte aux exigences du cadre européen.
Résilience des Activités Vitales (OIV)
Le projet de loi impose des obligations strictes aux opérateurs d'importance vitale (OIV), qui doivent :
Élaborer une analyse des risques et un plan de résilience détaillé.
Notifier toute perturbation impactant leurs activités critiques.
Des sanctions sévères sont prévues pour les manquements, pouvant atteindre jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial.
Transposition de la Directive NIS2 : Cybersécurité
Le projet de loi transpose la directive NIS2, visant à renforcer la cybersécurité à l'échelle européenne, avec un élargissement du nombre d'entités soumises à des obligations de sécurité. Les collectivités territoriales et certaines communes seront désormais concernées par cette législation.
Une commission des sanctions sera chargée de veiller au respect des obligations, avec des amendes administratives pouvant être appliquées aux entités non conformes.
Résilience Numérique du Secteur Financier
La directive DORA concernant la résilience numérique du secteur financier est intégrée dans le projet. Elle s'applique aux établissements financiers, incluant les sociétés de financement. Le Conseil d'État a validé l'inclusion de ces sociétés dans le champ d'application, en raison des risques similaires auxquels elles sont exposées.
Mesures Complémentaires
Cryptologie : Réduction des contraintes sur le contrôle des moyens de cryptologie.
Sanctions pénales : Renforcement des sanctions pour les infractions relatives aux fréquences.
Conclusion et Recommandations
Le Conseil d'État a estimé que le projet de loi assure une transposition fidèle des directives européennes, bien que certaines exemptions (notamment pour les collectivités territoriales) soulèvent des préoccupations. Il recommande également des améliorations rédactionnelles pour garantir la clarté et l'efficacité de la loi.
