Sécurité des réseaux : la France transpose la directive NIS

La loi française de transposition de la directive NIS a été promulguée. La définition d’une liste d’opérateurs de services essentiels concernés se prépare.

La loi française de transposition de la directive sécurité des réseaux et de l’information ou NIS (Network and Information Security) du 6 juillet 2016 a été promulguée lundi 26 février 2018. Soit plus de deux mois avant la date butoir (9 mai 2018) fixée par Bruxelles.

La directive NIS étend à d’autres acteurs économiques que les opérateurs d’importance vitale (OIV) des obligations de sécurité et de notification d’incidents de sécurité.

En France, la loi « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » a été présentée au parlement par Mounir Mahjoubi, secrétaire d’État chargé du numérique. Ce texte « donne à la France les moyens de mieux protéger ses entreprises et services publics essentiels face aux attaques informatiques ».

Ces dispositions légistatives prévoient que les opérateurs de services essentiels (OSE) au fonctionnement de l’économie et de la société appliqueront des règles de sécurité concoctées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les OSE devront également informer l’ANSSI des incidents de sécurité dont l’impact pourrait être significatif sur la continuité des services proposés par leurs soins. À défaut de se conformer aux obligations de sécurité, ils seront passibles de sanctions financières.

Différents secteurs sont concernés : énergie, transports, banques et marchés financiers, santé, fourniture et distribution d’eau potable ou encore infrastructures numériques (points d’échange internet IXP, fournisseurs de services DNS et registre de noms de domaine de premier niveau).

Par ailleurs, la loi de transposition prévoit également le renforcement de la sécurité des fournisseurs de services numériques (FSN), à savoir : les places de marché en ligne, les moteurs de recherche et les fournisseurs de services Cloud actifs dans l’UE.

Les exigences auxquelles devront se plier ces fournisseurs seront moins élevées que celles applicables aux opérateurs de services essentiels. Néanmoins, ils seront également passibles de sanctions financières en cas de manquements.

Consultation des futurs OSE

La France, comme tous les États membres de l’Union européenne, a jusqu’au 9 novembre 2018 pour identifier et désigner les OSE en se basant sur les dispositions de la directive.

Bercy a confirmé mardi que les travaux interministériels de préparation des textes réglementaires sont engagés. Ces textes visent justement à fixer la liste des services essentiels concernés et à déterminer les règles de sécurité applicables aux OSE.

« Afin d’assurer une mise en œuvre à la fois efficace, progressive et soutenable de ce nouveau dispositif, ces opérateurs seront individuellement désignés par le Premier ministre après consultation des acteurs concernés », a déclaré le secrétariat d’État par voie de communiqué.

La liste à venir d’opérateurs de servises essentiels sera réexaminée à partir du 9 mai 2019.

Lire également :

Cyber-risque : 10 préconisations du Club des Juristes pour « assurer »

Directive NIS adoptée : quelles conséquences pratiques pour les entreprises ?

(crédit photo © silver tiger / Shutterstock.com)