La Revue Squire

Transposition de la Directive Network and Information Security (NIS)


Rédigé par Stéphanie Faber et Aulliya Essbayi le 6 Juillet 2018

La France a transposé, par une loi du 26 février 2018 ainsi qu’un décret d’application du 23 mai 2018, la directive Network and Information System Security (NIS) qui a pour objectif de renforcer les standards de sécurité informatique d’acteurs indispensables à la vie quotidienne de nos concitoyens.



Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, titre I dispositions tendant à transposer la Directive (EU) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
 
Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique
 
Selon l’article 1 de la loi, « La sécurité des réseaux et systèmes d'information consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles. »

1. A qui s’imposent les obligations ?

Les obligations introduites par la loi s’imposent d’une part aux Opérateurs de Services essentiels (OSE) et, d’autre part, aux Fournisseurs de Service Numérique (FSN).
 
La règlementation n’est cependant pas applicable aux :

  • Opérateurs exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques[1], ni aux prestataires de services de confiance soumis aux exigences énoncées au Règlement eIDAS [2].
  • OSE et FSN qui sont soumis à des exigences sectorielles de sécurité et de notification d'incidents ayant un effet au moins équivalent.
  • Opérateurs d’Importance Vitale (OIV) qui sont des opérateurs, privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation et qui ont des obligations similaires [3].

2. Operateurs de Services Essentiels - OSE

2.1. Définition

Un OSE est un opérateur public ou privé :

  •  offrant des services essentiels au fonctionnement de la société ou de l'économie.

Le décret d’application liste les services essentiels au fonctionnement de la société ou de l’économie par secteurs d’activité. A titre d’exemple, dans le secteur du transport, sont considérés comme services essentiels : le transport fluvial, maritime et côtier de passagers et de fret, le transport de marchandises… le texte vise également les établissements de crédit ou les assurances, mutuelles, institutions de prévoyance, les prestations de soins, de santé…

  • et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services.

Ceci est apprécié au regard des critères suivants : le nombre d'utilisateurs dépendant du service ; la dépendance des autres secteurs d'activités listé dans le décret à l'égard du service ; les conséquences qu'un incident pourrait avoir, en termes de gravité et de durée, sur le fonctionnement de l'économie ou de la société ou sur la sécurité publique ; la part de marché de l'opérateur ; la portée géographique eu égard à la zone susceptible d'être touchée par un incident ; l'importance que revêt l'opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service ; et le cas échéant, des facteurs sectoriels.
 
Les OSE sont désignés par le Premier ministre sur proposition de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et après que l'opérateur ait pu présenter ses observations. Lorsque l'opérateur fournit un service essentiel dans un ou plusieurs autres Etats membres de l'Union européenne, sa désignation est précédée d'une consultation de ceux-ci.

2.2 Obligation de déclaration

L’OSE doit désigner une personne chargée de le représenter auprès de l’ANSSI et déclarer ses systèmes d’information essentiels (SIE), y compris ceux dont il aurait confié l'exploitation à un tiers. Il doit mettre cette information à jour annuellement.

2.3 Obligation de sécurité

 
Le décret renvoie à des arrêtés du Premier ministre le soin d’établir le contenu des règles de sécurité qui pèseront sur les OSE. Il est prévu que ces règles seront élaborées par l’ANSSI en conformité aux recommandations émises par le groupe de coopération dans le cadre de la Directive NIS.
 
Ces règles auront pour objet de garantir un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances. Elles couvriront la gouvernance, la protection et la défense de la sécurité des réseaux et systèmes d’information ainsi que la résilience des activités.

3. Les Fournisseurs de Services Numériques (FSN)

3.1 Définition

Un FSN est une personne morale qui fournit l’un des services suivants : place de marché en ligne, moteur de recherche en ligne ou service cloud. Les « services numériques » renvoient à tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services.
 
Les entreprises qui emploient moins de 50 salariés et dont le chiffre d'affaires annuel n'excède pas 10 millions d'euros ne sont pas concernées par la réglementation.
 
Un Règlement d'exécution (UE) 2018/151 du 30 janvier 2018 précise par ailleurs les éléments à prendre en considération par les FSN [4].

3.2 Obligation de déclaration de certains FSN étrangers

 Tout fournisseur de service numérique, établi hors de l’UE, qui offre ses services sur le territoire national et qui n'a désigné aucun représentant dans un autre Etat membre de l'Union européenne procède à la désignation d'un représentant établi sur le territoire national auprès de l’ANSSI.

3.3 Obligation de sécurité

Les FSN sont tenus de garantir, en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, adapté aux risques existants.
 
Le Règlement d'exécution (UE) 2018/151 du 30 janvier 2018 précise les éléments à prendre en considération par les FSN pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information.

4. Obligation de déclaration des incidents

Les OSE et les FSN ont l’obligation de déclarer à l’ANSSI, sans délai après en avoir pris connaissance, les incidents affectant les réseaux et systèmes d’information lorsque ces incidents ont un impact significatif sur la continuité de ces services. Pour les OSE, cette obligation s’étend aussi aux incidents qui sont susceptibles d'avoir un tel impact.
 
L’évaluation de l’impact se fait en application des critères établis par le droit français pour les OSE et en application des articles 3 et 4 du Règlement d'exécution du 30 janvier 2018 pour les FSN.
 
Un arrêté du Premier ministre fixe les modalités de la déclaration des incidents
 
Après avoir consulté l'OSE ou le FSN concerné, l’ANSSI peut informer le public d'un incident, lorsque cette information est nécessaire pour prévenir ou traiter un incident. Dans le cas d’un FSN, l’ANSSI peut imposer à celui-ci d’informer le public.
 
Lorsqu'un incident a un impact significatif sur la continuité de services essentiels fournis par un OSE dans d'autres Etats membres de l'Union européenne, l'autorité administrative en informe les autorités ou organismes compétents de ces Etats.
 
Lorsqu'elle informe le public ou les Etats membres de l'Union européenne d'incidents, l'autorité administrative tient compte des intérêts économiques de ces OSE et FSN et veille à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.

5. Contrôle des obligations

Le contrôle du respect de ces obligations est réalisé, sur pièce et sur place, à l’initiative du Premier ministre par l’ANSSI ou par un prestataire de service qualifié, que l’OSE ou le FSN choisit sur la liste qui lui est communiquée. L’OSE ou FSN conclut une convention avec l’ANSSI ou le prestataire pour la réalisation du contrôle.
 
Les OSE ou FSN doivent communiquer les informations et éléments nécessaires pour réaliser le contrôle (dont les documents relatifs à leur politique de sécurité, voire les résultats d’audit de sécurité) ainsi que les moyens nécessaires pour accéder aux systèmes d’information. Le coût du contrôle est à la charge de l’OSE ou du FSN.
 
Pour les FSN, le Premier ministre en informe si nécessaire les autorités compétentes des autres Etats membres de l'Union européenne dans lesquels sont situés des réseaux et systèmes d'information dudit fournisseur.
 
En cas de manquement constaté à l'occasion d'un contrôle, l’ANSSI peut mettre en demeure les dirigeants de l’OSE ou FSN concerné de se conformer, dans un délai qu'elle fixe, aux obligations qui lui incombent.
 
Les prestataires de service habilités à effectuer des contrôles sont soumis à des règles de confidentialité et de discrétion professionnelle.

6. Sanctions

Les dirigeants peuvent se voir infliger les amendes suivantes
 
Infraction Dirigeants d’OSE Dirigeants de FSN
Ne pas se conformer aux règles de sécurité à l'issue du délai fixé par la mise en demeure 100 000 € 75.000 €
Ne pas satisfaire à l'obligation de déclaration d'incident 75 000 € 50.000 €
Faire obstacle aux opérations de contrôle 125 000 € 100.000 €
 


La cyber-sécurité est au centre des préoccupations surtout pour les services considérés comme essentiels pour un pays. Cette réglementation vient s’ajouter aux obligations en matière de protection des données personnelles tant en matière de sécurité que de notification des incidents. Les entreprises ou organismes concernés vont donc devoir se préparer en conséquence et notamment faire face au risque accru de responsabilité.  Notre équipe internationale Protection des Données Personnelles et cyber sécurité, forte notamment de l’expérience américaine en la matière, est à votre disposition.
 
 
[1] 15° de l'article L. 32 du code des postes et des communications électroniques
[2] Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
[3] Sur la définition d’OIV voir notre article « Cybersécurité : ce que prévoit la Loi de Programmation militaire » et sur leurs obligations notre article « Opérateurs d’Importance Vitale : publication du décret d’application »
[4] Règlement d'exécution (UE) 2018/151 de la Commission du 30 janvier 2018 portant modalités d'application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif





Nouveau commentaire :



Vous souhaitez recevoir nos articles par mail, saisissez ci-dessous votre adresse mail :
















Rester Connecté
Rss
LinkedIn
Twitter




Si vous souhaitez recevoir par email, dès leur mise en ligne, tous les articles publiés sur La Revue, saisissez ici votre adresse :