Julien Raigneau

La directive NIS en 6 questions

La récente transposition de la directive européenne NIS (Network and Information Security) dans le droit français interroge sur cette nouvelle réglementation de cybersécurité. La directive est un texte majeur qui touche les entreprises privées et les organisations publiques.

Un bonheur pour les spécialistes de sécurité réglementaire… mais un casse-tête pour beaucoup de professionnels. Pour éviter les maux de tête, justement, nous avons préparé cette anti-sèche synthétique dédiée aux obligations introduites par la directive NIS transposée. N’hésitez pas à nous poser vos questions et à nous faire part de vos réflexions.

1. Pourquoi une directive ?

En comparaison avec d’autres États-membres de l’Union européenne, la France était bien avancée avec la définition de la LPM (Loi de programmation militaire) et l’application de ses exigences aux OIV (Opérateurs d’importance vitale). La cybersécurité ayant longtemps été un sujet national, de fortes disparités persistent toutefois entre les différents États-membres sur sa gestion.

Aussi, l’objectif de la directive NIS est de définir une stratégie à l’échelle européenne : elle constitue donc le pendant cybersécurité du Marché unique numérique. Il s’agit d’implémenter une approche au croisement de divers secteurs d’activité. Plus particulièrement, les États-membres devront concrétiser la structuration de leur coopération (mise en place d’un réseau de CERT[1], de groupes d’échanges et potentiellement plus de pouvoirs pour l’ENISA, équivalent européen de l’ANSSI) et surtout s’atteler à définir des macro-standards de sécurité.

2. Qui est concerné ?

La directive NIS définit deux types d’entreprises : les OSE (Opérateurs de services essentiels) et les FSN (Fournisseurs de services numériques).

Les OSE peuvent être des entreprises privées ou des organismes publics dans différents secteurs de l’économie (énergie, transport, santé, banque, eau, etc.) qui fournissent des services essentiels, basés sur des systèmes d’information et sur lesquels un incident provoquerait des impacts importants.

Les FSN sont aussi des entreprises privées ou des institutions publiques, sur des domaines directement liés à l’économie numérique (commerce en ligne, places de marché, cloud et services associés, moteurs de recherche).

En France, la désignation officielle des OSE et FSN aura lieu par décret au plus tard le 9 novembre 2018, avec une actualisation prévue tous les deux ans. À noter qu’un amendement mis en œuvre indique qu’un opérateur peut être à la fois OIV sur certains de ses systèmes (donc avec les règles de la LPM) et OSE sur d’autres.

3. Quelles sont les obligations ?

La directive NIS impose un certain nombre d’éléments à l’échelle de l’UE (stratégies à l’échelle nationale, groupe de coopération entre États-membres, mise en œuvre de CERT, règles communes) et à l’échelle nationale (notamment, gestion des incidents et implémentation de mesures de sécurité). Comme souvent, une directive est assez peu directive[2] : ainsi, une marge de manœuvre non-négligeable est laissée à chaque pays pour définir des mesures concrètes.

En ce qui concerne la transposition française et les OSE/FSN, 3 axes sont mis en avant dans la loi française (art. 6-8 pour les OSE et art. 12-14 pour les FSN, respectivement) :

1. Application de règles pour garantir un niveau de sécurité adapté aux risques et définition de mesures pour prévenir les incidents de sécurité et/ou limiter leur impact sur les services essentiels. Plus spécifiquement, 4 domaines sont concernés par ces règles (art. 6) :

  • La gouvernance de la sécurité des réseaux et des SI ;
  • La protection des réseaux et des SI ;
  • La défense des réseaux et des SI ;
  • La résilience des activités.

2. Obligation de déclaration d’incident de sécurité (art. 7) auprès de l’ANSSI qui peut décider d’en informer le public et/ou d’autres pays.

3. Contrôles de vérification possibles par l’ANSSI ou des PDIS pour vérifier le respect des obligations et du niveau de sécurité des SI des OSE et FSN.

Pour rappel, L’ANSSI avait annoncé que les travaux de la LPM alimentent la partie NIS. C’est donc sans surprise que nous retrouvons ces trois axes, très proches des règles déjà énoncées dans la LPM (notions de gouvernance, d’homologation, de gestion des incidents et alertes, protection renforcée des systèmes).

Il reste maintenant à obtenir le décret d’application pour avoir les détails des mesures attendues. Mais nous pouvons déjà supposer que ces règles et mesures seront familières aux OIV soumis à la LPM !

4. Quels sont les risques encourus ?

Contrairement à la LPM, seules des amendes sont prévues en cas de manquement. Ces sanctions sont de trois types :

  1. Non conformité aux mesures ;
  2. Absence de déclaration d’incident de sécurité ;
  3. Obstacle aux contrôles.

Ces amendes varient entre 75k€ et 125k€ selon le type de manquement et le type d’opérateur (les FSN sont moins contraints que les OSE, comme en disposent art. 9 et art. 15).

5. Quel est le planning ?

Comme toute directive, NIS doit être transposée dans la législation nationale de chacun des États-membres de l’UE. La date butoir est le 9 mai 2018. En France, c’est chose faite depuis le 27 février dernier, avec l’adoption du texte de loi définitif par le Parlement et sa publication au Journal Officiel.

Plus globalement, les dispositions entreront en vigueur au plus tard le 10 mai 2018, voire avant si le décret est passé en Conseil d’État.

Pour les modalités précises de planning, il faudra attendre les décrets qui définiront les OSE/FSN et le planning de mise en œuvre.

6. Qu'est ce qui change pour vous ?

Globalement, le texte renvoie à des décrets et/ou arrêtés devant définir les conditions d’application, notamment pour avoir la nature précise des mesures/règles à mettre en œuvre (et éviter une possible inconstitutionnalité). Ces textes ne sont pas encore sortis.

Les FSN, soumis à des obligations moins contraignantes que les OSE, verront une première salve d’actes d’exécution publiée par la Commission européenne d’ici le 9 août 2018. Ils pourront donc débuter leur mise en conformité.

Quant aux OIV déjà soumis à l’obligation de conformité LPM, la directive NIS transposée n’ajoutera probablement pas de règles supplémentaires. Toutefois, le périmètre légal est susceptible d’être élargi. La publication d’ici le 9 novembre des OSE désignés indiquera si des exigences spécifiques et supplémentaires par rapport au socle commun de la directive devront être appliquées en France.

Spécialistes de la cybersécurité, des réseaux et infrastructures, les consultants iDNAsuivent la sortie de ces décrets et vous accompagnent pour préparer leur application dans les SI concernés. Nous éprouvons notre savoir-faire en sécurité réglementaire (conformité à la LPM, au RGPD, à la norme PCI DSS) et mobilisons notre expertisepour vous aider à faire face aux défis et mutations actuels et à venir.

Pour aller plus loin :

• Étude d’impact du Sénat ;
• Page ressource de l’ANSSI (pilote, sous la direction du Premier ministre, l’implémentation des obligations)
• Analyse juridique du Cabinet d’avocats Bensoussan ;
• Précisions diverses chez NextInpact

Articles associés

Ransomware, sont ils inéluctables?

24 mars 2020
Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Réseau et Sécurité, amalgame pour un échec

9 janvier 2020
Certains penseront que je suis parfois un peu négatif, ceux qui me connaissent savent que ce n’est pas totalement faux, mais le raccourci réseau = sécurité perdure encore et ce pour le meilleur, mais surtout pour le pire. Certes, et je suis le premier à le dire, maîtriser totalement les flux entrant et sortant de […]
Partager cet article
Derniers articles

La continuité d’activité face à la pandémie

  Le Coronavirus ou COVID-19, qui touche une grande partie des pays en ce moment, met à l’épreuve les services informatiques et les infrastructures de toutes les sociétés. Les Plans de Continuité d’Activité (PCA), quand il y en a !, sont tous testés grandeur nature actuellement, et parfois dans une situation non prévue, ou dont la […]

Ransomware, sont ils inéluctables?

Une municipalité, un hôpital, une chaîne de télévision, un constructeur automobile, un groupe de lingerie et un fabriquant de charcuterie, aucun rapport a priori ? Eh bien le dénominateur commun est qu’ils ont tous été victimes d’une attaque par ransomware et ont vu tout ou partie de leurs services paralysé, ou a minima fortement perturbé, […]

Sécurisation des accès réseaux, un enjeu majeur pour les entreprises

Les entreprises d’aujourd’hui sont confrontées à une croissance exponentielle du nombre d’équipements interconnectés au sein de leurs réseaux informatiques : Téléphone IP, switches, routeurs,  PC de bureau, ordinateurs portables, photocopieurs, caméras IP, des objets IoT (l’Internet des objets), équipements de visioconférences, ainsi qu’une multitude de mode d’accès à leurs réseaux internes qu’il faudra sécuriser, allant […]

to be or not to be ?

La haute disponibilité est un enjeu important pour les infrastructures informatiques. Une étude de 2007 estime que la non-disponibilité des services informatiques peut avoir un coût de 440 000 euros de l’heure Lors de la construction d’un Datacenter, l’infrastructure est conçue en tenant compte de cet enjeu ; les architectes IT doivent pouvoir concevoir leurs […]