Julien Raigneau

La directive NIS en 6 questions

La récente transposition de la directive européenne NIS (Network and Information Security) dans le droit français interroge sur cette nouvelle réglementation de cybersécurité. La directive est un texte majeur qui touche les entreprises privées et les organisations publiques.

Un bonheur pour les spécialistes de sécurité réglementaire… mais un casse-tête pour beaucoup de professionnels. Pour éviter les maux de tête, justement, nous avons préparé cette anti-sèche synthétique dédiée aux obligations introduites par la directive NIS transposée. N’hésitez pas à nous poser vos questions et à nous faire part de vos réflexions.

1. Pourquoi une directive ?

En comparaison avec d’autres États-membres de l’Union européenne, la France était bien avancée avec la définition de la LPM (Loi de programmation militaire) et l’application de ses exigences aux OIV (Opérateurs d’importance vitale). La cybersécurité ayant longtemps été un sujet national, de fortes disparités persistent toutefois entre les différents États-membres sur sa gestion.

Aussi, l’objectif de la directive NIS est de définir une stratégie à l’échelle européenne : elle constitue donc le pendant cybersécurité du Marché unique numérique. Il s’agit d’implémenter une approche au croisement de divers secteurs d’activité. Plus particulièrement, les États-membres devront concrétiser la structuration de leur coopération (mise en place d’un réseau de CERT[1], de groupes d’échanges et potentiellement plus de pouvoirs pour l’ENISA, équivalent européen de l’ANSSI) et surtout s’atteler à définir des macro-standards de sécurité.

2. Qui est concerné ?

La directive NIS définit deux types d’entreprises : les OSE (Opérateurs de services essentiels) et les FSN (Fournisseurs de services numériques).

Les OSE peuvent être des entreprises privées ou des organismes publics dans différents secteurs de l’économie (énergie, transport, santé, banque, eau, etc.) qui fournissent des services essentiels, basés sur des systèmes d’information et sur lesquels un incident provoquerait des impacts importants.

Les FSN sont aussi des entreprises privées ou des institutions publiques, sur des domaines directement liés à l’économie numérique (commerce en ligne, places de marché, cloud et services associés, moteurs de recherche).

En France, la désignation officielle des OSE et FSN aura lieu par décret au plus tard le 9 novembre 2018, avec une actualisation prévue tous les deux ans. À noter qu’un amendement mis en œuvre indique qu’un opérateur peut être à la fois OIV sur certains de ses systèmes (donc avec les règles de la LPM) et OSE sur d’autres.

3. Quelles sont les obligations ?

La directive NIS impose un certain nombre d’éléments à l’échelle de l’UE (stratégies à l’échelle nationale, groupe de coopération entre États-membres, mise en œuvre de CERT, règles communes) et à l’échelle nationale (notamment, gestion des incidents et implémentation de mesures de sécurité). Comme souvent, une directive est assez peu directive[2] : ainsi, une marge de manœuvre non-négligeable est laissée à chaque pays pour définir des mesures concrètes.

En ce qui concerne la transposition française et les OSE/FSN, 3 axes sont mis en avant dans la loi française (art. 6-8 pour les OSE et art. 12-14 pour les FSN, respectivement) :

1. Application de règles pour garantir un niveau de sécurité adapté aux risques et définition de mesures pour prévenir les incidents de sécurité et/ou limiter leur impact sur les services essentiels. Plus spécifiquement, 4 domaines sont concernés par ces règles (art. 6) :

  • La gouvernance de la sécurité des réseaux et des SI ;
  • La protection des réseaux et des SI ;
  • La défense des réseaux et des SI ;
  • La résilience des activités.

2. Obligation de déclaration d’incident de sécurité (art. 7) auprès de l’ANSSI qui peut décider d’en informer le public et/ou d’autres pays.

3. Contrôles de vérification possibles par l’ANSSI ou des PDIS pour vérifier le respect des obligations et du niveau de sécurité des SI des OSE et FSN.

Pour rappel, L’ANSSI avait annoncé que les travaux de la LPM alimentent la partie NIS. C’est donc sans surprise que nous retrouvons ces trois axes, très proches des règles déjà énoncées dans la LPM (notions de gouvernance, d’homologation, de gestion des incidents et alertes, protection renforcée des systèmes).

Il reste maintenant à obtenir le décret d’application pour avoir les détails des mesures attendues. Mais nous pouvons déjà supposer que ces règles et mesures seront familières aux OIV soumis à la LPM !

4. Quels sont les risques encourus ?

Contrairement à la LPM, seules des amendes sont prévues en cas de manquement. Ces sanctions sont de trois types :

  1. Non conformité aux mesures ;
  2. Absence de déclaration d’incident de sécurité ;
  3. Obstacle aux contrôles.

Ces amendes varient entre 75k€ et 125k€ selon le type de manquement et le type d’opérateur (les FSN sont moins contraints que les OSE, comme en disposent art. 9 et art. 15).

5. Quel est le planning ?

Comme toute directive, NIS doit être transposée dans la législation nationale de chacun des États-membres de l’UE. La date butoir est le 9 mai 2018. En France, c’est chose faite depuis le 27 février dernier, avec l’adoption du texte de loi définitif par le Parlement et sa publication au Journal Officiel.

Plus globalement, les dispositions entreront en vigueur au plus tard le 10 mai 2018, voire avant si le décret est passé en Conseil d’État.

Pour les modalités précises de planning, il faudra attendre les décrets qui définiront les OSE/FSN et le planning de mise en œuvre.

6. Qu'est ce qui change pour vous ?

Globalement, le texte renvoie à des décrets et/ou arrêtés devant définir les conditions d’application, notamment pour avoir la nature précise des mesures/règles à mettre en œuvre (et éviter une possible inconstitutionnalité). Ces textes ne sont pas encore sortis.

Les FSN, soumis à des obligations moins contraignantes que les OSE, verront une première salve d’actes d’exécution publiée par la Commission européenne d’ici le 9 août 2018. Ils pourront donc débuter leur mise en conformité.

Quant aux OIV déjà soumis à l’obligation de conformité LPM, la directive NIS transposée n’ajoutera probablement pas de règles supplémentaires. Toutefois, le périmètre légal est susceptible d’être élargi. La publication d’ici le 9 novembre des OSE désignés indiquera si des exigences spécifiques et supplémentaires par rapport au socle commun de la directive devront être appliquées en France.

Spécialistes de la cybersécurité, des réseaux et infrastructures, les consultants iDNAsuivent la sortie de ces décrets et vous accompagnent pour préparer leur application dans les SI concernés. Nous éprouvons notre savoir-faire en sécurité réglementaire (conformité à la LPM, au RGPD, à la norme PCI DSS) et mobilisons notre expertisepour vous aider à faire face aux défis et mutations actuels et à venir.

Pour aller plus loin :

• Étude d’impact du Sénat ;
• Page ressource de l’ANSSI (pilote, sous la direction du Premier ministre, l’implémentation des obligations)
• Analyse juridique du Cabinet d’avocats Bensoussan ;
• Précisions diverses chez NextInpact

Articles associés

Votre clé USB peut-elle donner l’accès à votre système d’information ?

31 mai 2022
D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Le SIEM dans tous ses états

10 février 2022
Certains prédisent sa disparition, et brandissent les SOAR (Security Orchestration, Automation and Response) et XDR (eXtended Detection and Response) comme la solution à tous nos problèmes. Avant de parler des petits nouveaux, commençons par un rapide état des lieux. Les principaux reproches que l’on fait habituellement au SIEM sont qu’il est trop complexe, génère trop d’alertes, […]
Partager cet article
Derniers articles

Votre clé USB peut-elle donner l’accès à votre système d’information ?

D’aucuns diront qu’elle est « le Cloud à portée de main » (jusqu’à plusieurs téraoctets de données disponibles à volonté), la clé USB est aujourd’hui la solution phare de stockage de masse au format poche. À l’origine de ce succès, l’effet combiné de la formidable expansion des capacités disponibles sur mémoire flash (multiplié par 2000 en moins […]

Tout savoir sur le SDN : « Software Defined Networking »

Les nouvelles techniques d’automatisation du réseau se multiplient. Aujourd’hui le traitement de données et l’acheminement des paquets, au sein d’un réseau automatisé ou programmable, sont gérés par le biais d’un contrôleur centralisé. Ces technologies ont participé à l’expansion rapide de l’infrastructure réseau, nécessaire pour prendre en charge la croissance exponentielle du trafic généré, et l’ont […]

L’évolution d’Abi chez AURA IT, l’histoire d’une alternance réussie

Depuis combien de temps fais-tu partie du Groupe iDNA ? Cela sera ma 4e année en septembre, j’y ai passé 3 ans en alternance qui ont débouché sur la signature de mon premier CDI chez AURA IT, entité du groupe iDNA !   Comment s’est passée ton alternance ? Elle s’est très bien passée, j’ai […]

Amine vole avec les aigles

Flying with eagles est un court métrage qui retrace en 52 minutes les coulisses du premier stage du match de l’équipe nationale tunisienne de football américain en Tunisie ! Équipe dont Amine est le co-fondateur, et président. À l’occasion de sa sortie, voici une petite interview de notre toute nouvelle « star » internationale du Foot US.   […]