La récente transposition de la directive européenne NIS (Network and Information Security) dans le droit français interroge sur cette nouvelle réglementation de cybersécurité. La directive est un texte majeur qui touche les entreprises privées et les organisations publiques.
La directive NIS en 6 questions
Un bonheur pour les spécialistes de sécurité réglementaire… mais un casse-tête pour beaucoup de professionnels. Pour éviter les maux de tête, justement, nous avons préparé cette anti-sèche synthétique dédiée aux obligations introduites par la directive NIS transposée. N’hésitez pas à nous poser vos questions et à nous faire part de vos réflexions.
En comparaison avec d’autres États-membres de l’Union européenne, la France était bien avancée avec la définition de la LPM (Loi de programmation militaire) et l’application de ses exigences aux OIV (Opérateurs d’importance vitale). La cybersécurité ayant longtemps été un sujet national, de fortes disparités persistent toutefois entre les différents États-membres sur sa gestion.
Aussi, l’objectif de la directive NIS est de définir une stratégie à l’échelle européenne : elle constitue donc le pendant cybersécurité du Marché unique numérique. Il s’agit d’implémenter une approche au croisement de divers secteurs d’activité. Plus particulièrement, les États-membres devront concrétiser la structuration de leur coopération (mise en place d’un réseau de CERT[1], de groupes d’échanges et potentiellement plus de pouvoirs pour l’ENISA, équivalent européen de l’ANSSI) et surtout s’atteler à définir des macro-standards de sécurité.
La directive NIS définit deux types d’entreprises : les OSE (Opérateurs de services essentiels) et les FSN (Fournisseurs de services numériques).
Les OSE peuvent être des entreprises privées ou des organismes publics dans différents secteurs de l’économie (énergie, transport, santé, banque, eau, etc.) qui fournissent des services essentiels, basés sur des systèmes d’information et sur lesquels un incident provoquerait des impacts importants.
Les FSN sont aussi des entreprises privées ou des institutions publiques, sur des domaines directement liés à l’économie numérique (commerce en ligne, places de marché, cloud et services associés, moteurs de recherche).
En France, la désignation officielle des OSE et FSN aura lieu par décret au plus tard le 9 novembre 2018, avec une actualisation prévue tous les deux ans. À noter qu’un amendement mis en œuvre indique qu’un opérateur peut être à la fois OIV sur certains de ses systèmes (donc avec les règles de la LPM) et OSE sur d’autres.
La directive NIS impose un certain nombre d’éléments à l’échelle de l’UE (stratégies à l’échelle nationale, groupe de coopération entre États-membres, mise en œuvre de CERT, règles communes) et à l’échelle nationale (notamment, gestion des incidents et implémentation de mesures de sécurité). Comme souvent, une directive est assez peu directive[2] : ainsi, une marge de manœuvre non-négligeable est laissée à chaque pays pour définir des mesures concrètes.
En ce qui concerne la transposition française et les OSE/FSN, 3 axes sont mis en avant dans la loi française (art. 6-8 pour les OSE et art. 12-14 pour les FSN, respectivement) :
1. Application de règles pour garantir un niveau de sécurité adapté aux risques et définition de mesures pour prévenir les incidents de sécurité et/ou limiter leur impact sur les services essentiels. Plus spécifiquement, 4 domaines sont concernés par ces règles (art. 6) :
- La gouvernance de la sécurité des réseaux et des SI ;
- La protection des réseaux et des SI ;
- La défense des réseaux et des SI ;
- La résilience des activités.
2. Obligation de déclaration d’incident de sécurité (art. 7) auprès de l’ANSSI qui peut décider d’en informer le public et/ou d’autres pays.
3. Contrôles de vérification possibles par l’ANSSI ou des PDIS pour vérifier le respect des obligations et du niveau de sécurité des SI des OSE et FSN.
Pour rappel, L’ANSSI avait annoncé que les travaux de la LPM alimentent la partie NIS. C’est donc sans surprise que nous retrouvons ces trois axes, très proches des règles déjà énoncées dans la LPM (notions de gouvernance, d’homologation, de gestion des incidents et alertes, protection renforcée des systèmes).
Il reste maintenant à obtenir le décret d’application pour avoir les détails des mesures attendues. Mais nous pouvons déjà supposer que ces règles et mesures seront familières aux OIV soumis à la LPM !
Contrairement à la LPM, seules des amendes sont prévues en cas de manquement. Ces sanctions sont de trois types :
- Non conformité aux mesures ;
- Absence de déclaration d’incident de sécurité ;
- Obstacle aux contrôles.
Ces amendes varient entre 75k€ et 125k€ selon le type de manquement et le type d’opérateur (les FSN sont moins contraints que les OSE, comme en disposent art. 9 et art. 15).
Comme toute directive, NIS doit être transposée dans la législation nationale de chacun des États-membres de l’UE. La date butoir est le 9 mai 2018. En France, c’est chose faite depuis le 27 février dernier, avec l’adoption du texte de loi définitif par le Parlement et sa publication au Journal Officiel.
Plus globalement, les dispositions entreront en vigueur au plus tard le 10 mai 2018, voire avant si le décret est passé en Conseil d’État.
Pour les modalités précises de planning, il faudra attendre les décrets qui définiront les OSE/FSN et le planning de mise en œuvre.
Globalement, le texte renvoie à des décrets et/ou arrêtés devant définir les conditions d’application, notamment pour avoir la nature précise des mesures/règles à mettre en œuvre (et éviter une possible inconstitutionnalité). Ces textes ne sont pas encore sortis.
Les FSN, soumis à des obligations moins contraignantes que les OSE, verront une première salve d’actes d’exécution publiée par la Commission européenne d’ici le 9 août 2018. Ils pourront donc débuter leur mise en conformité.
Quant aux OIV déjà soumis à l’obligation de conformité LPM, la directive NIS transposée n’ajoutera probablement pas de règles supplémentaires. Toutefois, le périmètre légal est susceptible d’être élargi. La publication d’ici le 9 novembre des OSE désignés indiquera si des exigences spécifiques et supplémentaires par rapport au socle commun de la directive devront être appliquées en France.
Spécialistes de la cybersécurité, des réseaux et infrastructures, les consultants iDNAsuivent la sortie de ces décrets et vous accompagnent pour préparer leur application dans les SI concernés. Nous éprouvons notre savoir-faire en sécurité réglementaire (conformité à la LPM, au RGPD, à la norme PCI DSS) et mobilisons notre expertisepour vous aider à faire face aux défis et mutations actuels et à venir.
Pour aller plus loin :
• Étude d’impact du Sénat ;
• Page ressource de l’ANSSI (pilote, sous la direction du Premier ministre, l’implémentation des obligations)
• Analyse juridique du Cabinet d’avocats Bensoussan ;
• Précisions diverses chez NextInpact