gdpr-article

Transposition de la directive NIS en droit français

Le projet de loi transposant la directive européenne 2016/1148 Network Information Security (« NIS »), a été adopté par les deux chambres du Parlement réunies en commission mixte paritaire, le 5 février 2018.

Examiné dans le cadre d’une procédure accélérée, le projet de loi de transposition a été adopté en première lecture au Sénat le 19 décembre 2017 puis à l’Assemblée nationale le 31 janvier 2018.

La directive NIS a pour objectif de définir des mesures destinées à assurer un niveau élevé de sécurité des réseaux et des systèmes d’information dans l’Union européenne (UE). Elle vise à se prémunir des cyber-attaques visant certaines entreprises stratégiques.

La directive NIS crée deux nouvelles catégories d’acteurs qui seront soumis à des standards plus élevés en matière de sécurité informatique :

  • Les opérateurs de services essentiels (« OSE») ;
  • Les fournisseurs de service numérique (« FSN»).

Les opérateurs de services essentiels

Les OSE sont définis dans la directive par rapport aux secteurs dans lesquels ils exercent. La directive fait ainsi mention d’une série de secteurs minimaux au sein desquels les Etats membres devront identifier les OSE :

  • Energie ;
  • Transport ;
  • Banques ;
  • Infrastructures de marchés financiers ;
  • Santé ;
  • Fourniture et distribution d’eau potable ;
  • Infrastructures numériques.

Par conséquent, est un OSE au sens de la directive, toute entreprise relevant de l’un des secteurs susmentionnés, fournissant un service essentiel au maintien d’activités sociétales et/ou économiques critiques, tributaire des réseaux et systèmes d’information ; services qui sont susceptibles d’être gravement affectés en cas d’incidents touchant les réseaux. 

Un telle définition fait écho à celle des OIV (« opérateurs d’importance vitale »), créés depuis la loi de programmation militaire de 2013, et soumis à des obligations très précises, notamment en matière de cyber-sécurité, détaillées par une série d’arrêtés. Les OIV sont ainsi ceux « pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». On constate donc que les OSE sont très inspirés des OIV, cependant la liste des OSE a vocation à être plus élargie que celle des OIV.

Chaque Etat membre devra établir une liste des OSE avant le 9 novembre 2018, cette liste devant être actualisée tous les deux ans. Contrairement à liste des OIV, la liste des OSE sera publique.

Les OSE devront en vertu de la directive NIS :

  • prendre les mesures techniques et organisationnelles nécessaires, proportionnées et adaptées à la gestion des risques menaçant la sécurité des réseaux et des systèmes d’information ;
  • prendre les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d’information ;
  • veiller à notifier à l’ANSSI (« Agence nationale de la sécurité des systèmes d’information»), sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels, dès qu’ils en ont pris connaissance.

En cas de nécessité, l’ANSSI pourra informer les autres Etats membres de l’incident, mais également rendre l’attaque publique lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours.

Des contrôles pourront être mis en œuvre auprès des OSE, sur pièce et sur place, par l’ANSSI ou par des prestataires de service qualifiés, soumis à des obligations de confidentialité. Le coût des contrôles sera à la charge des OSE.

Les OSE seront passibles d’une amende de 100.000 euros pour ne pas s’être conformés aux obligations de sécurité, de 75.000 euros pour ne pas avoir déclaré un incident et de 125.000 euros s’ils ont fait obstacle aux opérations de contrôle.

Les fournisseurs de service numérique

Les FSN sont la deuxième catégorie d’opérateurs visés par la directive. Ils sont définis comme les personnes morales fournissant un service numérique. Trois types de FSN sont spécifiquement visés par la directive :

  • les moteurs de recherche en ligne ;
  • les places de marché en ligne (« marketplace») ;
  • les services d’informatique en nuage.

Ils seront soumis à des obligations comparables à celles des OSE. Ils seront tenus de garantir en l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information nécessaire à la fourniture de leurs services dans l’Union européenne adapté au risque existant. Ils devront identifier les risques et prendre des mesures pour éviter les incidents portant atteinte à la sécurité de leurs réseaux et systèmes d’information, et réduire au minimum l’impact de ces incidents.

Enfin, comme pour les OSE, les FSN devront notifier à l’autorité compétente, sans retard injustifié, tout incident ayant un impact significatif sur la fourniture d’un service qu’ils offrent dans l’Union. Cependant, cette obligation ne s’appliquera que lorsque le fournisseur a accès aux informations nécessaires pour évaluer l’impact de l’incident.

En cas de manquement à leurs obligations, ils s’exposeront à des amendes de 75.000 euros pour ne pas s’être conformés aux obligations de sécurité, de 50.000 euros pour ne pas avoir déclaré un incident ou informé le public et de 100.000 euros s’ils ont fait obstacle aux opérations de contrôle.

Le projet de loi devrait être prochainement adopté par les deux chambres et publié au Journal officiel, la directive NIS se devant d’être transposée avant le 9 mai prochain.

 

Autres Articles

L’or pour Data Legal Drive aux Trophées du droit

L'or pour Data Legal Drive aux Trophées du Droit Moins d’un an après sa création, la LegalTech DATA LEGAL DRIVE voit sa plateforme digitale de pilotage de la conformité RGPD récompensée par le Trophée d’or des Trophées du Droit. Remis à l’occasion du Legal Tech Show...

lire plus

Prêt pour votre mise en conformité RGPD ?