Amendement n°149

La notion de vulnérabilité est d’ores et déjà définie en droit européen, notamment à l’article 3 du règlement UE 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 (Règlement sur la cyber-résilience) concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques et modifiant les règlements (Union européenne) n°68/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828. Cette définition ne prend pas en compte le facteur humain comme pouvant représenter une faille exploitable. Par ailleurs, la prise en compte du facteur humain serait particulièrement disproportionnée, notamment quand il s’agit d’analyser les vulnérabilités « humaines », liées aux chaînes d’approvisionnement et de sous-traitance. Cela est également vrai pour la notification des vulnérabilités critiques potentielles d’origine humaine. Il n’est pas possible d’apprécier à quel moment le facteur humain est susceptible de présenter une vulnérabilité critique. Cet amendement propose donc de supprimer la notion d’utilisateur afin d’aligner cette définition de vulnérabilité avec le droit européen, et au nom du principe de réalité. Amendement travaillé avec la Fédération Française des Télécoms.