Amendement sans numéro — Activité parlementaire

Par cet amendement, le groupe LFI souhaite rétablir l’obligation de notification d’incident à l’ANSSI pour les entités également soumises au titre du II du présent projet de loi, et ce afin de renforcer leur niveau de cybersécurité et d’accès éventuel à une assistance de la part de l’ANSSI.

L’article 43 A désigne la Banque de France et l’Autorité de contrôle prudentiel et de régulation (ACPR) comme seules autorités compétentes pour exercer les missions et fonctions prévues par le règlement DORA dans le titre III du présent PJL, et ce afin afin d’éviter les doublons avec l’ANSSI, qui reste l’autorité administrative de contrôle pour les entités assujeties à NIS II.

Toutefois, l’ACPR n’effectue pas une veille permanente, à l’inverse de l’ANSSI dont les services peuvent être mobilisés à tout moment, y compris donc les week-ends. Or, les entités financières peuvent être attaquées à tout moment, de jour comme de nuit, n’importe quel jour ; Il est donc essentiel de maintenir la notification auprès de l’ANSSI, qui assure déjà une veille permanente et est donc plus à même de réagir rapidement en cas de menace avérée à la suite d’une notification d’incident.

Lors des débats au Sénat, l’argument invoqué pour ne pas rendre obligatoire la notification d’incidents à l’ANSSI était la « simplification » ; or, la transmission des informations aux deux entités ne semble pas alourdir outre-mesure la procédure au vu des enjeux de cybersécurité invoqués.

La formulation souple retenue ici permet donc d’inclure l’ANSSI dans les autorités compétentes chargées de l’application du règlement DORA.

Amendement (sans numéro) — ARTICLE 43 A

Dispositif

Exposé sommaire