La loi portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité transposant la directive européenne 2016/1148 Network Information Security (« NIS ») a été adoptée le 15 février 2018 et promulguée le 26 février 2018.
La directive NIS a pour objectif de définir des mesures destinées à assurer un niveau élevé de sécurité des réseaux et des systèmes d’information dans l’Union européenne. Elle vise à se prémunir des cyber-attaques visant certaines entreprises stratégiques.
La directive NIS crée deux nouvelles catégories d’acteurs qui seront soumis à des standards plus élevés en matière de sécurité informatique :
- Les opérateurs de services essentiels (« OSE ») ;
- Les fournisseurs de service numérique (« FSN »).
Les opérateurs de services essentiels
Les OSE sont définis dans la directive par rapport aux secteurs dans lesquels ils exercent. La directive fait ainsi mention d’une série de secteurs minimaux au sein desquels les Etats membres devront identifier les OSE :
- Energie ;
- Transport ;
- Banques ;
- Infrastructures de marchés financiers ;
- Santé ;
- Fourniture et distribution d’eau potable ;
- Infrastructures numériques.
Par conséquent, est un OSE au sens de la directive, toute entreprise relevant de l’un des secteurs susmentionnés, fournissant un service essentiel au maintien d’activités sociétales et/ou économiques critiques, tributaire des réseaux et systèmes d’information ; service qui est susceptible d’être gravement affecté en cas d’incidents touchant les réseaux.
Un telle définition fait écho à celle des OIV (« opérateurs d’importance vitale »), créés depuis la loi de programmation militaire de 2013, et soumis à des obligations très précises, notamment en matière de cyber-sécurité, détaillées par une série d’arrêtés. Les OIV sont ainsi ceux « pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Les OSE sont donc très inspirés des OIV, cependant la liste des OSE a vocation à être plus élargie que celle des OIV.
Chaque Etat membre devra établir une liste des OSE avant le 9 novembre 2018, cette liste devant être actualisée tous les deux ans. Contrairement à liste des OIV, la liste des OSE sera publique.
Les OSE devront en vertu de la directive NIS :
- prendre les mesures techniques et organisationnelles nécessaires, proportionnées et adaptées à la gestion des risques menaçant la sécurité des réseaux et des systèmes d’information ;
- prendre les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d’information ;
- veiller à notifier à l’ANSSI (« Agence nationale de la sécurité des systèmes d’information »), sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels, dès qu’ils en ont pris connaissance.
En cas de nécessité, l’ANSSI pourra informer les autres Etats membres de l’incident, mais également rendre l’attaque publique lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours.
Des contrôles pourront être mis en œuvre auprès des OSE, sur pièce et sur place, par l’ANSSI ou par des prestataires de service qualifiés, soumis à des obligations de confidentialité. Le coût des contrôles sera à la charge des OSE.
Les OSE seront passibles d’une amende de 100.000 euros pour ne pas s’être conformés aux obligations de sécurité, de 75.000 euros pour ne pas avoir déclaré un incident et de 125.000 euros s’ils ont fait obstacle aux opérations de contrôle.
Les fournisseurs de service numérique
Les FSN sont la deuxième catégorie d’opérateurs visés par la directive. Ils sont définis comme les personnes morales fournissant un service numérique. Trois types de FSN sont spécifiquement visés par la directive :
- les moteurs de recherche en ligne ;
- les places de marché en ligne (« marketplace ») ;
- les services d’informatique en nuage.
Ils seront soumis à des obligations comparables à celles des OSE. Ils seront tenus de garantir en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information nécessaire à la fourniture de leurs services dans l’Union européenne adapté au risque existant. Ils devront identifier les risques et prendre des mesures pour éviter les incidents portant atteinte à la sécurité de leurs réseaux et systèmes d’information, et réduire au minimum l’impact de ces incidents.
Enfin, comme pour les OSE, les FSN devront notifier à l’autorité compétente, sans retard injustifié, tout incident ayant un impact significatif sur la fourniture d’un service qu’ils offrent dans l’Union européenne. Cependant, cette obligation ne s’appliquera que lorsque le fournisseur a accès aux informations nécessaires pour évaluer l’impact de l’incident.
En cas de manquement à leurs obligations, ils s’exposeront à des amendes de 75.000 euros pour ne pas s’être conformés aux obligations de sécurité, de 50.000 euros pour ne pas avoir déclaré un incident ou informé le public et de 100.000 euros s’ils ont fait obstacle aux opérations de contrôle.
A noter, que seuls les FSN employant au moins 50 salariés et ayant plus de 10 millions d’euros de chiffre d’affaires annuel seront concernés par ces obligations.