Directive NIS adoptée: quelles conséquences pour les entreprises?

Le Parlement européen a adopté la directive NIS (Network and Information Security). Les opérateurs de services ainsi que les places de marché en ligne, les moteurs de recherche et les services Cloud seront soumis à des exigences de sécurité et de notification d’incidents.

C’est fait ! La directive NIS a été approuvée le 6 juillet par le Parlement européen en seconde lecture, après avoir été adoptée en mai dernier par le Conseil de l’Union européenne. Cette directive est destinée à assurer un « niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne ». Les « opérateurs de services essentiels » et certains fournisseurs de services numériques seront bien soumis à des exigences de sécurité et de notification d’incidents de sécurité.

Sécuriser les infrastructures

Du côté des fournisseurs de services numériques, les places de marché en ligne, les moteurs de recherche et les fournisseurs de services de Cloud actifs dans l’UE sont concernés. Ils devront prendre des mesures pour « assurer la sécurité de leur infrastructure » et signaler « les incidents majeurs » aux autorités nationales. Mais les exigences auxquelles devront se plier ces fournisseurs, seront moins élevées que celles applicables aux opérateurs de services essentiels.

Ces opérateurs s’activent dans des secteurs tels que : l’énergie, les transports, les banques et les marchés financiers, la santé, le fourniture et la distribution d’eau potable ou encore les infrastructures numériques (points d’échange internet IXP, fournisseurs de services DNS et registre de noms de domaine de premier niveau).

Investir dans la gestion des risques

L’Europe fixe un cap, mais ce sont les États membres de l’UE qui devront identifier les entités concernées par la directive. Chaque État membre devra déterminer quelles autorités nationales sont compétentes pour contrôler l’application de la directive. Et, si cela n’est pas déjà fait, adopter une stratégie nationale de sécurité des réseaux et des systèmes d’information (identification des risques, prévention, gestion et réponse à incidents). Sans oublier que la sécurité des réseaux et des SI inclut la sécurité des données stockées, transmises et traitées.

La France s’est déjà lancée. Elle a notamment publié les premiers arrêtés encadrant la sécurité des OIV (Opérateurs d’importance vitale). Ces mesures qui découlent de l’article 22 de la Loi de programmation militaire votée fin 2013, incluent la notification des incidents de sécurité à l’Anssi (Agence nationale de sécurité des systèmes d’information).

Les représentants de l’industrie numérique, de Tech in France (ex-Afdel) à Syntec Numérique, constatent que les micro-entreprises et les petites entreprises du numérique seront exemptées des exigences prévues dans la nouvelle législation européenne. Mais ils redoutent encore qu’une extension indifférenciée des obligations de sécurité aux entreprises porte atteinte à leur compétitivité, et se traduise par des investissements contraints supplémentaires. Après tout, un État membre peut aller au-delà des exigences fixées par la directive européenne…

Répondre aux incidents

Chaque État membre devra désigner un ou des centres de réponse aux incidents de sécurité informatique (CSIRT), ou un centre de réponse aux urgences informatiques (CERT), pour alerter, suivre et analyser les incidents à l’échelon national. La création d’un réseau européen de CSIRT nationaux est prévue, ainsi que la mise en place d’un « groupe de coopération » stratégique de cybersécurité. Il sera composé de représentants des États membres, de la Commission européenne et de l’Agence européenne de la sécurité des réseaux et de l’information (ENISA).

La directive NIS entrera en vigueur vingt jours après sa publication prochaine au Journal officiel de l’Union européenne. Les États membres de l’UE auront ensuite 21 mois, soit jusqu’au début de l’année 2018, pour transposer la directive dans leur législation nationale.