Julien Raigneau

La directive NIS en 6 questions

La récente transposition de la directive européenne NIS (Network and Information Security) dans le droit français interroge sur cette nouvelle réglementation de cybersécurité. La directive est un texte majeur qui touche les entreprises privées et les organisations publiques.

Un bonheur pour les spécialistes de sécurité réglementaire… mais un casse-tête pour beaucoup de professionnels. Pour éviter les maux de tête, justement, nous avons préparé cette anti-sèche synthétique dédiée aux obligations introduites par la directive NIS transposée. N’hésitez pas à nous poser vos questions et à nous faire part de vos réflexions.

1. Pourquoi une directive ?

En comparaison avec d’autres États-membres de l’Union européenne, la France était bien avancée avec la définition de la LPM (Loi de programmation militaire) et l’application de ses exigences aux OIV (Opérateurs d’importance vitale). La cybersécurité ayant longtemps été un sujet national, de fortes disparités persistent toutefois entre les différents États-membres sur sa gestion.

Aussi, l’objectif de la directive NIS est de définir une stratégie à l’échelle européenne : elle constitue donc le pendant cybersécurité du Marché unique numérique. Il s’agit d’implémenter une approche au croisement de divers secteurs d’activité. Plus particulièrement, les États-membres devront concrétiser la structuration de leur coopération (mise en place d’un réseau de CERT[1], de groupes d’échanges et potentiellement plus de pouvoirs pour l’ENISA, équivalent européen de l’ANSSI) et surtout s’atteler à définir des macro-standards de sécurité.

2. Qui est concerné ?

La directive NIS définit deux types d’entreprises : les OSE (Opérateurs de services essentiels) et les FSN (Fournisseurs de services numériques).

Les OSE peuvent être des entreprises privées ou des organismes publics dans différents secteurs de l’économie (énergie, transport, santé, banque, eau, etc.) qui fournissent des services essentiels, basés sur des systèmes d’information et sur lesquels un incident provoquerait des impacts importants.

Les FSN sont aussi des entreprises privées ou des institutions publiques, sur des domaines directement liés à l’économie numérique (commerce en ligne, places de marché, cloud et services associés, moteurs de recherche).

En France, la désignation officielle des OSE et FSN aura lieu par décret au plus tard le 9 novembre 2018, avec une actualisation prévue tous les deux ans. À noter qu’un amendement mis en œuvre indique qu’un opérateur peut être à la fois OIV sur certains de ses systèmes (donc avec les règles de la LPM) et OSE sur d’autres.

3. Quelles sont les obligations ?

La directive NIS impose un certain nombre d’éléments à l’échelle de l’UE (stratégies à l’échelle nationale, groupe de coopération entre États-membres, mise en œuvre de CERT, règles communes) et à l’échelle nationale (notamment, gestion des incidents et implémentation de mesures de sécurité). Comme souvent, une directive est assez peu directive[2] : ainsi, une marge de manœuvre non-négligeable est laissée à chaque pays pour définir des mesures concrètes.

En ce qui concerne la transposition française et les OSE/FSN, 3 axes sont mis en avant dans la loi française (art. 6-8 pour les OSE et art. 12-14 pour les FSN, respectivement) :

1. Application de règles pour garantir un niveau de sécurité adapté aux risques et définition de mesures pour prévenir les incidents de sécurité et/ou limiter leur impact sur les services essentiels. Plus spécifiquement, 4 domaines sont concernés par ces règles (art. 6) :

  • La gouvernance de la sécurité des réseaux et des SI ;
  • La protection des réseaux et des SI ;
  • La défense des réseaux et des SI ;
  • La résilience des activités.

2. Obligation de déclaration d’incident de sécurité (art. 7) auprès de l’ANSSI qui peut décider d’en informer le public et/ou d’autres pays.

3. Contrôles de vérification possibles par l’ANSSI ou des PDIS pour vérifier le respect des obligations et du niveau de sécurité des SI des OSE et FSN.

Pour rappel, L’ANSSI avait annoncé que les travaux de la LPM alimentent la partie NIS. C’est donc sans surprise que nous retrouvons ces trois axes, très proches des règles déjà énoncées dans la LPM (notions de gouvernance, d’homologation, de gestion des incidents et alertes, protection renforcée des systèmes).

Il reste maintenant à obtenir le décret d’application pour avoir les détails des mesures attendues. Mais nous pouvons déjà supposer que ces règles et mesures seront familières aux OIV soumis à la LPM !

4. Quels sont les risques encourus ?

Contrairement à la LPM, seules des amendes sont prévues en cas de manquement. Ces sanctions sont de trois types :

  1. Non conformité aux mesures ;
  2. Absence de déclaration d’incident de sécurité ;
  3. Obstacle aux contrôles.

Ces amendes varient entre 75k€ et 125k€ selon le type de manquement et le type d’opérateur (les FSN sont moins contraints que les OSE, comme en disposent art. 9 et art. 15).

5. Quel est le planning ?

Comme toute directive, NIS doit être transposée dans la législation nationale de chacun des États-membres de l’UE. La date butoir est le 9 mai 2018. En France, c’est chose faite depuis le 27 février dernier, avec l’adoption du texte de loi définitif par le Parlement et sa publication au Journal Officiel.

Plus globalement, les dispositions entreront en vigueur au plus tard le 10 mai 2018, voire avant si le décret est passé en Conseil d’État.

Pour les modalités précises de planning, il faudra attendre les décrets qui définiront les OSE/FSN et le planning de mise en œuvre.

6. Qu'est ce qui change pour vous ?

Globalement, le texte renvoie à des décrets et/ou arrêtés devant définir les conditions d’application, notamment pour avoir la nature précise des mesures/règles à mettre en œuvre (et éviter une possible inconstitutionnalité). Ces textes ne sont pas encore sortis.

Les FSN, soumis à des obligations moins contraignantes que les OSE, verront une première salve d’actes d’exécution publiée par la Commission européenne d’ici le 9 août 2018. Ils pourront donc débuter leur mise en conformité.

Quant aux OIV déjà soumis à l’obligation de conformité LPM, la directive NIS transposée n’ajoutera probablement pas de règles supplémentaires. Toutefois, le périmètre légal est susceptible d’être élargi. La publication d’ici le 9 novembre des OSE désignés indiquera si des exigences spécifiques et supplémentaires par rapport au socle commun de la directive devront être appliquées en France.

Spécialistes de la cybersécurité, des réseaux et infrastructures, les consultants iDNAsuivent la sortie de ces décrets et vous accompagnent pour préparer leur application dans les SI concernés. Nous éprouvons notre savoir-faire en sécurité réglementaire (conformité à la LPM, au RGPD, à la norme PCI DSS) et mobilisons notre expertisepour vous aider à faire face aux défis et mutations actuels et à venir.

Pour aller plus loin :

• Étude d’impact du Sénat ;
• Page ressource de l’ANSSI (pilote, sous la direction du Premier ministre, l’implémentation des obligations)
• Analyse juridique du Cabinet d’avocats Bensoussan ;
• Précisions diverses chez NextInpact

Articles associés

Les IA font évoluer les attaques

7 février 2024
  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

13 décembre 2023
  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]
Partager cet article
Derniers articles

Les IA font évoluer les attaques

  Jusqu’à présent, les attaques liées à l’ingénierie sociale (Social Engineering) étaient en tête sur la liste des vecteurs de compromission initiale. C’était sans compter sur l’IA (Intelligence Artificielle) qui est en passe de faire exploser les records !   Une accélération des attaques Depuis fin 2022, le nombre de phishing a été multiplié par […]

La méthode FAIR : un guide vers une gestion efficace des risques pour votre entreprise.

  Cette méthode, qui gagne en popularité, offre une perspective unique et pragmatique pour évaluer et gérer les risques de manière plus efficace et précise. Cet article revient sur les principes fondamentaux de la méthode FAIR et son application concrète.     FAIR: Factor Analysis of Information Risk Le standard FAIR est un modèle analytique […]

La nouvelle réglementation DORA : qu’implique-t-elle ?

DORA : Digital Operational Resilience Act Dans un contexte de plus en plus marqué par la transformation numérique, l’interconnexion grandissante des réseaux et la multiplication des cyberattaques, les services financiers doivent redoubler de vigilance. La nouvelle réglementation DORA s’inscrit dans ce constat et a pour finalité de garantir la stabilité financière et la protection des consommateurs […]

Wissam : être une femme dans l’IT

Wissam est consultante Gouvernance Risque et Conformité (GRC) chez iDNA et évolue dans un univers principalement masculin. Nous avons souhaité en savoir plus sur son parcours et sa place en tant que femme dans l’IT. Elle a accepté volontiers de répondre à nos questions :   Bonjour Wissam, tout d’abord quel est ton parcours de formation ? Initialement, […]