Amendement (sans numéro) — ARTICLE 29

Après l’alinéa 4, insérer l’alinéa suivant :

« Si l’organisme désigné par l’autorité nationale de sécurité de systèmes d’information n’est pas une entreprise dont le siège statutaire, l’administration centrale et le principal établissement sont situés dans un État membre de l’Union Européenne, la personne contrôlée peut demander à ce que l’organisme désigné soit remplacé par un autre remplissant ces critères. »

Le présent article prévoit que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra déléguer la réalisation de contrôles à des organismes indépendants, dans le cadre de l’application des obligations de cybersécurité prévues pour les entités essentielles et importantes.

Toutefois, la nature hautement sensible des contrôles en question — portant sur la sécurité des systèmes d’information d’infrastructures critiques, de services essentiels — implique des exigences particulières en matière de confiance, d’intégrité et de souveraineté. Ces contrôles peuvent en effet conduire à accéder à des informations confidentielles, voire classifiées, ou à mettre au jour des vulnérabilités majeures susceptibles d’être exploitées à des fins hostiles si elles venaient à être connues de puissances étrangères.

Dans ce contexte, il est impératif que les organismes auxquels l’ANSSI pourra déléguer ces missions soient exclusivement européens. Ainsi cet amendement de repli vise à donner aux entreprises un droit de veto sur les organismes désignés par l’ANSSI.