La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 dite directive « Network and Information Security », autrement appelée Directive NIS, a été transposée en droit français par le titre premier de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

Mathias Avocats vous avait exposé les principales dispositions du projet de loi en schémas après son adoption devant le Sénat. Il s’agit aujourd’hui de faire le point sur le texte adopté.

Qui sont les acteurs concernés ?

Le texte transpose en droit français les deux nouvelles catégories élaborées par la directive NIS, à savoir les Opérateurs de Service Essentiel (OSE) et les Fournisseurs de Service Numérique (FSN).

Le but de la directive NIS était d’instaurer au sein de l’Union européenne une harmonisation des règles en matière de cybersécurité : c’est chose faite. La loi reprend les définitions des acteurs concernés, sans changement significatif par rapport à la directive NIS et aux acteurs qu’elle listait.

Pour ce qui concerne les OSE, tous les acteurs chargés de services importants pour la société ou l’économie ne sont pas concernés par les nouvelles obligations. Sont ainsi explicitement exclus :

  • Les Opérateurs d’Importance Vitale (OIV), qui restent soumis à leurs obligations propres, par ailleurs plus lourdes que les mesures prévues par cette loi.
  • Les prestataires de service de confiance issu du règlement EIDAS du 23 juillet 2014, soumis à un régime propre.
  • Les opérateurs de télécommunications, uniquement en ce qui concerne leurs activités liées à l’exploitation de réseaux de communication électronique ou à la fourniture de service de communication électronique.
  • Tout opérateur pouvant être qualifié d’OSE ou de FSN s’il a déjà fait l’objet d’une norme sectorielle lui imposant des mesures de cybersécurité d’un niveau au moins équivalent à celui prévu par la loi.

A noter qu’il est tout à fait possible qu’un opérateur soit concerné pour une partie de ses activités seulement par la qualification d’OSE ou de FSN.

Quelles nouvelles obligations ?

Les OSE comme les FSN vont être soumis à un certain nombre de mesures de sécurité.

Pour ce qui concerne les OSE, le Premier Ministre va devoir fixer en application de cette loi une série de règles de sécurité afin d’assurer un standard de sécurité sur les systèmes et réseaux d’information des OSE. Ces règles devront être définies pour quatre domaines :

  • La gouvernance de la sécurité des réseaux et systèmes d’information.
  • La protection des réseaux et systèmes d’information.
  • La défense des réseaux et systèmes d’information.
  • La résilience des activités.

On sait d’ores et déjà que les frais engendrés par ces politiques de sécurité seront à la charge des opérateurs eux-mêmes, et qu’elles pourront leur imposer de recourir à du matériel ou à des logiciels « dont la sécurité a été certifiée », probablement par l’ANSSI. Le non-respect des obligations de sécurité est puni d’une amende pouvant aller jusqu’à 100 000 euros pour les OSE.

Les FSN sont eux tenus de prendre un certain nombre de mesures intervenant dans les domaines suivants :

  • La sécurité des systèmes et des installations.
  • La gestion des incidents.
  • La gestion de la continuité des activités.
  • Le suivi, l’audit et le contrôle.
  • Le respect des normes internationales.

Il n’est pas précisé si des règles de sécurité plus précises seront édictées par le Premier Ministre. Le non-respect de ces obligations de sécurité pourra être puni de 75 000 euros d’amende pour les FSN.

OSE comme FSN devront désormais déclarer sans délai à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) tout incident susceptible d’avoir un impact significatif sur la fourniture ou la continuité des services. Le non-respect de cette obligation de signalement est puni de 75 000 euros d’amende pour les OSE et de 50 000 euros d’amende pour les FSN.

L’ANSSI sera par ailleurs chargée d’effectuer des contrôles sur place et sur pièces auprès des opérateurs. Tout obstacle à ces contrôles sera sanctionné d’une amende maximum de 125 000 euros pour les OSE et de 100 000 euros pour les FSN.

Des questions en suspens

Des incertitudes demeurent sur la composition de la liste des OSE. La première version de celle-ci doit faire l’objet d’un décret en Conseil d’Etat avant le 9 novembre 2018 au plus tard. Cette liste devra être actualisée régulièrement et au maximum tous les deux ans. Pour se faire une idée des acteurs concernés, le mieux consiste à se reporter à l’annexe 2 de la directive, qui liste les secteurs compris dans la notion d’OSE. On y trouve notamment les secteurs de l’énergie, les banques ou encore les infrastructures financières.

La teneur des règles et mesures de sécurité imposée par le Premier Ministre reste également à définir. Cela fera nécessairement partie d’une réflexion d’ensemble, esquissée par le projet de loi de programmation militaire pour la période 2019/2025.

La date d’entrée en vigueur des obligations instaurées par cette loi doit être décidée via un décret en Conseil d’Etat, et au plus tard le 10 mai 2018.

Mai 2018 sera donc placé sous le signe de la conformité pour un grand nombre d’entreprise puisque c’est également en mai que rentre en application le Règlement Général sur la Protection des Données (RGPD).