Pour gérer vos consentements :

Directive NIS adoptée : quelles conséquences pratiques pour les entreprises ?

C’est fait ! La directive NIS a été approuvée le 6 juillet par le Parlement européen en seconde lecture, après avoir été adoptée en mai dernier par le Conseil de l’Union européenne. Cette directive est destinée à assurer un « niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne ». Les « opérateurs de services essentiels » et certains fournisseurs de services numériques seront bien soumis à des exigences de sécurité et de notification d’incidents de sécurité.

Sécuriser les infrastructures

Du côté des fournisseurs de services numériques, les places de marché en ligne, les moteurs de recherche et les fournisseurs de services de Cloud actifs dans l’UE sont concernés. Ils devront prendre des mesures pour « assurer la sécurité de leur infrastructure » et signaler « les incidents majeurs » aux autorités nationales. Mais les exigences auxquelles devront se plier ces fournisseurs, seront moins élevées que celles applicables aux opérateurs de services essentiels.

Ces opérateurs s’activent dans des secteurs tels que : l’énergie, les transports, les banques et les marchés financiers, la santé, le fourniture et la distribution d’eau potable ou encore les infrastructures numériques (points d’échange internet IXP, fournisseurs de services DNS et registre de noms de domaine de premier niveau).

Investir dans la gestion des risques

L’Europe fixe un cap, mais ce sont les États membres de l’UE qui devront identifier les entités concernées par la directive. Chaque État membre devra déterminer quelles autorités nationales sont compétentes pour contrôler l’application de la directive. Et, si cela n’est pas déjà fait, adopter une stratégie nationale de sécurité des réseaux et des systèmes d’information (identification des risques, prévention, gestion et réponse à incidents). Sans oublier que la sécurité des réseaux et des SI inclut la sécurité des données stockées, transmises et traitées.

La France s’est déjà lancée. Elle a notamment publié les premiers arrêtés encadrant la sécurité des OIV (Opérateurs d’importance vitale). Ces mesures qui découlent de l’article 22 de la Loi de programmation militaire votée fin 2013, incluent la notification des incidents de sécurité à l’Anssi (Agence nationale de sécurité des systèmes d’information).

Les représentants de l’industrie numérique, de Tech in France (ex-Afdel) à Syntec Numérique, constatent que les micro-entreprises et les petites entreprises du numérique seront exemptées des exigences prévues dans la nouvelle législation européenne. Mais ils redoutent encore qu’une extension indifférenciée des obligations de sécurité aux entreprises porte atteinte à leur compétitivité, et se traduise par des investissements contraints supplémentaires. Après tout, un État membre peut aller au-delà des exigences fixées par la directive européenne…

Répondre aux incidents

Chaque État membre devra désigner un ou des centres de réponse aux incidents de sécurité informatique (CSIRT), ou un centre de réponse aux urgences informatiques (CERT), pour alerter, suivre et analyser les incidents à l’échelon national. La création d’un réseau européen de CSIRT nationaux est prévue, ainsi que la mise en place d’un « groupe de coopération » stratégique de cybersécurité. Il sera composé de représentants des États membres, de la Commission européenne et de l’Agence européenne de la sécurité des réseaux et de l’information (ENISA).

La directive NIS entrera en vigueur vingt jours après sa publication prochaine au Journal officiel de l’Union européenne. Les États membres de l’UE auront ensuite 21 mois, soit jusqu’au début de l’année 2018, pour transposer la directive dans leur législation nationale.

Lire aussi :

Cybersécurité : l’UE débloque 450 M€ pour doper l’industrie européenne
Cybersécurité : Les réseaux sociaux boutés de la directive NIS
Directive NIS : ce que l’Europe prépare pour les acteurs du Web

crédit photo © silver tiger / Shutterstock.com

Recent Posts

Chargeur universel : l’USB-C, spectre mondial pour Apple

L'aboutissement des démarches de l'UE sur la question du « chargeur universel » a suscité…

33 minutes ago

Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains…

15 heures ago

Open Source : la Fondation Linux veut normaliser l’accès aux DPU

L’effort porte sur la standardisation de la pile logicielle prenant en charge les processeurs de…

17 heures ago

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

18 heures ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

22 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

2 jours ago