L’Union européenne se protège en créant un véritable cadre juridique sur la cybersécurité pour la première fois de son histoire. Les acteurs concernés sont évidemment déjà soumis à des règles semblables à travers l’Union européenne, notamment quant à la notification des failles. Ces obligations de conformité diffèrent toutefois sensiblement les unes des autres.

Harmonisation en vue ?

Malgré l’existence de l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) qui émet des recommandations et assiste les Etats membres dans la mise en œuvre de solutions de cybersécurité, aucun cadre commun n’était prévu et ces enjeux étaient traités à l’échelle nationale. Les entreprises étaient donc confrontées à une multitude de réglementations nationales, avec toute l’insécurité juridique que cela entraîne.

Après trois ans de négociations, le Parlement européen et le Conseil de l’Union européenne ont adopté le 6 juillet 2016 la directive concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, ou plus simplement « Directive NIS ». S’agissant d’une directive et non d’un règlement, sa transposition dans les droits nationaux de chaque Etat membre devra intervenir avant le 9 mai 2018. Pour rappel, la transposition d’une directive laisse une certaine marge aux Etats membres quant aux moyens à mettre en place pour atteindre les objectifs fixés par la directive, contrairement à un règlement.

L’exigence de nouvelles mesures de sécurité

Le périmètre de la directive est assez étroit et ne concerne que deux types d’acteurs : les opérateurs fournissant des services essentiels (finance, transports, santé, etc.) et certaines plateformes numériques.

Les opérateurs fournissant des services essentiels sont des entités publiques ou privées jouant un rôle important voire critique au sein de la société et l’économie. Les Etats membres doivent identifier quelles seront les entités qualifiées comme telles, dans un délai de six mois à compter du 9 mai 2018, date à laquelle ils devront avoir transposé la Directive.

Dans ce contexte, l’annexe II de la Directive comprend des catégories d’acteurs pouvant être qualifiés d’opérateurs fournissant des services essentiels. Les trois critères d’identification de ces opérateurs sont la fourniture d’un service essentiel au maintien d’activités sociétales et/ou économiques critiques ; la fourniture de ce service étant tributaire des réseaux et des systèmes d’information ; et tout incident aurait un effet disruptif important sur la fourniture dudit service. Les autorités françaises pourront s’appuyer sur le cadre déjà mis en place et relatif aux Opérateurs d’Importance Vitale (OIV).

mathias-avocats-gestion-risques-cybersecuriteLa directive oblige chaque Etat membre à s’assurer que ces opérateurs fournissant des services essentiels prennent toutes mesures techniques et organisationnels appropriées dans le cadre d’une politique de gestion de risques. Ces mesures ayant vocation à éviter autant que possible ou à tout le moins réduire les conséquences des éventuels incidents de sécurité. En cas d’incident ayant un impact significatif sur la continuité de services de ces opérateurs, ces derniers devront les notifier aux autorités désignées, répondre à leurs demandes d’information et se conformer à leurs instructions.

Ces obligations s’appliquent par ailleurs à trois types de fournisseurs de services numériques : les marchés en ligne, les moteurs de recherche et les prestataires de cloud computing. Le niveau de sécurité mis en œuvre par ces derniers devra être proportionnel aux risques potentiels qu’ils rencontrent dans le cadre de leur activité. Il s’agit donc de prendre en compte des facteurs de risques tels que la continuité de service, la sécurité logique et physique des infrastructures ou encore leur degré de conformité aux standards internationaux en matière de sécurité. Cela ne concerne pas les PME.

Une nouvelle stratégie nationale pour les Etats membres

Chaque Etat membre devra désigner une ou plusieurs autorités nationales et mettre en place une stratégie pour gérer les cybermenaces.

La directive NIS définit les grandes lignes que stratégie nationale doit contenir :

  • les objectifs et priorités;
  • le cadre de gouvernance permettant d’atteindre ces objectifs et priorités;
  • les rôles et responsabilités des organismes publics et des acteurs privés;
  • la liste des mesures de préparation, d’intervention et de récupération, en ce compris les mesures de coopération entre secteurs public et privé;
  • des modèles de programmes de sensibilisation et de formation;
  • des projets de recherche et de développement;
  • un plan d’évaluation des risques;
  • une liste des acteurs chargés de la mise en œuvre de cette stratégie nationale.

Au plus tard le 9 mai 2018, puis tous les deux ans à compter de cette date, les Etats membres devront communiquer à la Commission européenne les informations nécessaires pour l’évaluation de la mise en œuvre de la directive NIS. Les Etats membres de l’Union peuvent toutefois exclure de cette communication les éléments de la stratégie relatifs à la sécurité nationale.

A compter du 9 mai 2018, les Etats de l’Union auront également pour obligation de procéder à un réexamen ainsi qu’à une mise à jour de la liste des opérateurs de services essentiels désignés.

Une coopération accrue entre les autorités

La directive NIS devrait permettre de renforcer la coopération entre les États membres dans le domaine de la cybersécurité. Un groupe de coopération stratégique et d’échange d’informations entre Etats est créé en ce sens. Il sera composé des représentants des Etats membres de l’Union, de la Commission et de l’ENISA.

Mathias Avocats se tient à votre disposition pour toute question relative aux impacts que pourrait avoir cette directive sur votre organisme.