Les deux premiers alinéas de l’article 14 de la directive contraignent les États membres à veiller à ce que les OSE, les opérateurs de services essentiels, prennent effectivement les mesures techniques et organisationnelles nécessaires pour la gestion des risques « cyber » et pour prévenir les incidents.
Il ne s’agit pas d’une faculté pour les États membres, mais bien d’une obligation, qui, pour être effective, nécessiterait la mise en place d’un contrôle systématique des OSE, ce que ne prévoit pas la rédaction actuelle.
L’amendement vise donc à adapter le texte aux exigences fixées par la directive. Sans contrôle, le respect des nouvelles exigences de cybersécurité est voué à rester théorique.
Nous avons conscience que la systématisation de tels contrôles et l’application effective de ces nouvelles exigences de sécurité pourraient constituer une importante charge financière supplémentaire pour les opérateurs concernés, qui ne sont pas encore en conformité au regard de ces règles.
C’est le cas notamment des établissements publics, tels que les hôpitaux, qui sont des cibles privilégiées des cyberpirates, comme l’a démontré récemment le piratage du NHS au Royaume-Uni. Sans parler des graves dysfonctionnements et des pertes humaines qu’une telle attaque pourrait occasionner, les hôpitaux accumulent également de nombreuses données personnelles qui pourraient être exploitées à des fins de rançon.
C’est pourquoi nous aurions souhaité, dans le même temps, prévoir que la mise en œuvre du renforcement de la sécurité des systèmes d’information et des réseaux des établissements publics concernés soit prise en charge par l’État, de même que les contrôles conduits a posteriori. Nos amendements ont malheureusement été déclarés irrecevables financièrement.
Il s’agit toutefois d’une question dont le Gouvernement devra rapidement se préoccuper, de même que de l’articulation de ce dispositif avec la protection des données personnelles, particulièrement exposées aux cyberattaques.
Il est d’ailleurs regrettable que les dispositions mentionnées au 4° de l’article 15 de la directive ne figurent pas dans le texte de transposition : elles prévoyaient d’associer la CNIL au traitement d’attaques touchant des données personnelles.