La loi française de transposition de la directive sécurité des réseaux et de l’information ou NIS (Network and Information Security) du 6 juillet 2016 a été promulguée lundi 26 février 2018. Soit plus de deux mois avant la date butoir (9 mai 2018) fixée par Bruxelles.
La directive NIS étend à d’autres acteurs économiques que les opérateurs d’importance vitale (OIV) des obligations de sécurité et de notification d’incidents de sécurité.
En France, la loi « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » a été présentée au parlement par Mounir Mahjoubi, secrétaire d’État chargé du numérique. Ce texte « donne à la France les moyens de mieux protéger ses entreprises et services publics essentiels face aux attaques informatiques ».
Ces dispositions légistatives prévoient que les opérateurs de services essentiels (OSE) au fonctionnement de l’économie et de la société appliqueront des règles de sécurité concoctées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les OSE devront également informer l’ANSSI des incidents de sécurité dont l’impact pourrait être significatif sur la continuité des services proposés par leurs soins. À défaut de se conformer aux obligations de sécurité, ils seront passibles de sanctions financières.
Différents secteurs sont concernés : énergie, transports, banques et marchés financiers, santé, fourniture et distribution d’eau potable ou encore infrastructures numériques (points d’échange internet IXP, fournisseurs de services DNS et registre de noms de domaine de premier niveau).
Par ailleurs, la loi de transposition prévoit également le renforcement de la sécurité des fournisseurs de services numériques (FSN), à savoir : les places de marché en ligne, les moteurs de recherche et les fournisseurs de services Cloud actifs dans l’UE.
Les exigences auxquelles devront se plier ces fournisseurs seront moins élevées que celles applicables aux opérateurs de services essentiels. Néanmoins, ils seront également passibles de sanctions financières en cas de manquements.
La France, comme tous les États membres de l’Union européenne, a jusqu’au 9 novembre 2018 pour identifier et désigner les OSE en se basant sur les dispositions de la directive.
Bercy a confirmé mardi que les travaux interministériels de préparation des textes réglementaires sont engagés. Ces textes visent justement à fixer la liste des services essentiels concernés et à déterminer les règles de sécurité applicables aux OSE.
« Afin d’assurer une mise en œuvre à la fois efficace, progressive et soutenable de ce nouveau dispositif, ces opérateurs seront individuellement désignés par le Premier ministre après consultation des acteurs concernés », a déclaré le secrétariat d’État par voie de communiqué.
La liste à venir d’opérateurs de servises essentiels sera réexaminée à partir du 9 mai 2019.
Lire également :
Cyber-risque : 10 préconisations du Club des Juristes pour « assurer »
Directive NIS adoptée : quelles conséquences pratiques pour les entreprises ?
(crédit photo © silver tiger / Shutterstock.com)
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…
Comme avant la Coupe du monde de rugby, l'ANSSI dresse un état des lieux de…