L’objectif de la directive NIS est d’ assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle oblige les Etats membres à renforcer les capacités nationales de cybersécurité et à établir un cadre formel de coopération entre eux.
« Pour la première fois, l’Union européenne se protège en créant un véritable cadre juridique sur la cybersécurité, » précise Maître Garance Mathias, Avocate au sein du cabinet Mathias Avocats. « En ce qui concerne la notification des failles de sécurité, aucun cadre n’était prévu. Ces enjeux étaient traités au niveau national et les entreprises étaient confrontées à différentes règlementations nationales et donc à une certaine insécurité juridique. La directive NIS devrait permettre de renforcer la coopération entre les États membres dans le domaine de la cybersécurité. Un groupe de coopération stratégique et d’échanges d’informations entre Etats est créé en ce sens. Il sera composé des représentants des Etats de l’Union, de la Commission et de l’ENISA, »
Deux nouvelles catégories d’acteurs : les OSE et les FSN
La directive NIS et sa transposition en droit français (loi du 26 février 2018) crée deux nouveaux types d’acteurs : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Service Numérique (FSN).
Les OSE sont des opérateurs publics ou privés offrant des services essentiels au maintien d’activités sociétales et/ou économiques critiques, tributaires des réseaux et systèmes d’information et qui pourraient être gravement perturbés par des incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de ces services. Chaque Etat membre est dans l’obligation d’identifier et de désigner la liste des OSE concernés, liste devant faire l’objet d’un décret au Conseil d’Etat avant le 9 novembre 2018.
En vertu de la directive NIS, les OSE devront prendre les mesures techniques et organisationnelles adaptées à la gestion des risques ainsi que des dispositions visant à prévenir les incidents qui compromettraient la continuité des services.
Les FSN sont, quant à eux, définis comme les personnes morales fournissant un service numérique, telles que les moteurs de recherche en ligne, les places de marché en ligne (« marketplace ») et les prestataires de cloud computing.
Ils seront soumis à des obligations comparables à celles des OSE, et devront garantir un niveau de sécurité des réseaux et des systèmes d’information nécessaire pour faire fonctionner leur service, en cas d’incidents portant atteinte à la sécurité de leurs réseaux et systèmes d’information et d’en réduire l’impact.
L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), qui joue un rôle important dans la mise en œuvre de la directive, devra être informée par les OSE et les FSN en cas d’incidents ayant un impact significatif sur la continuité des services. Si les OSE ou les FSN ne se plient pas à ces différentes obligations, elles seront passibles de sanctions financières pouvant s’élever à 75 000 euros pour les OSE et 50 000 pour les FSN.
« Dans le cadre de la directive NIS, chaque Etat membre devra désigner une ou plusieurs autorités nationales et mettre en place une stratégie pour gérer les cybermenaces. Les grandes lignes de cette stratégie nationale sont définies au sein même de la directive afin d’aider et d’accompagner les Etats membres dans la mise en place de la directive, » poursuit Maître Garance Mathias.
Au sein des organisations, cette nouvelle directive impose de professionnaliser la gestion des risques qui était, jusque-là dans le seul périmètre de la DSI. Aujourd’hui, avec l’arrivée des différentes réglementations, les services juridiques ainsi que les directions générales se retrouvent beaucoup plus impliqués.
La directive NIS – dates clés :
• 6 juillet 2016 : le Parlement européen et le Conseil de l’Union européenne adoptent la directive NIS
• 22 novembre 2017 : dépôt au Sénat du projet de loi « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité »
• 26 février 2018 : promulgation de la loi française de transposition de la directive NIS
• 9 mai 2018 : date butoir de transposition de la directive NIS dans chaque Etats membre
• 9 novembre 2018 : chaque Etat membre doit avoir identifié et désigné les OSE concernés
• 9 mai 2019 : la liste des OSE fera l’objet d’un réexamen par les Etats
1 La transposition d’une Directive offre une certaine marge de manœuvre aux Etats membres – contrairement à un règlement (comme le RGPD) applicable à date fixe et sans aucune mesure de transcription nationale.
