Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Le projet de loi vise à renforcer la résilience des infrastructures critiques en France en transposant des directives européennes. Il introduit des obligations pour les opérateurs d'importance vitale, notamment la réalisation d'analyses de risques et l'élaboration de plans de résilience, tout en élargissant le champ d'application à de nouveaux secteurs. Par ailleurs, il établit des mesures pour améliorer la cybersécurité des entités critiques, en réponse à l'évolution des menaces cybernétiques.

Le projet de loi concerne principalement les opérateurs d'importance vitale, qui sont des entités publiques ou privées chargées de garantir la protection des infrastructures critiques dans des secteurs tels que l'énergie, les transports, la santé, et l'eau potable. Ces opérateurs devront se conformer à de nouvelles obligations de résilience et de cybersécurité, visant à renforcer leur capacité à faire face aux risques et menaces. Les collectivités territoriales qui concèdent des activités d'importance vitale sont également concernées par les mesures d'information prévues par le texte.

• Transposition de la directive REC. Le projet de loi vise à transposer la directive (UE) 2022/2557 sur la résilience des entités critiques, en révisant le dispositif national de sécurité des activités d'importance vitale tout en intégrant de nouvelles obligations.
• Obligations des opérateurs d'importance vitale. Les opérateurs d'importance vitale devront réaliser une analyse des risques et établir un plan de résilience validé par l'autorité administrative, incluant des mesures spécifiques pour garantir la continuité de leurs activités.
• Renforcement des contrôles et sanctions. Le projet introduit un cadre renforcé pour les contrôles administratifs des opérateurs, ainsi qu'une commission des sanctions pour traiter les manquements aux obligations légales.
• Dispositions relatives à la cybersécurité. Le texte prévoit des mesures pour assurer un niveau élevé de cybersécurité, en transposant la directive (UE) 2022/2555, et en élargissant le champ d'application aux systèmes d'information des entités critiques.

Le projet de loi modifie le chapitre II du titre III du Livre III de la partie 1 du code de la défense, remplaçant l'actuel intitulé « Protection des installations d’importance vitale » par « Résilience des activités d’importance vitale ». Il transpose également la directive (UE) 2022/2557 sur la résilience des entités critiques et la directive (UE) 2022/2555 concernant des mesures de cybersécurité, abrogeant ainsi la directive (UE) 2016/1148 qui avait été transposée en France par la loi n° 2018-133 du 26 février 2018.

Le projet de loi vise à transposer trois directives européennes relatives à la résilience des infrastructures critiques et à la cybersécurité, tout en prenant des dispositions complémentaires pour renforcer la protection des infrastructures essentielles au fonctionnement de la Nation. Il cherche à améliorer la résilience des entités critiques dans divers secteurs d'activité et à garantir un niveau élevé de cybersécurité au sein de l'Union européenne.