La directive 2016/1148 du 6 juillet 2016, aussi appelée directive SRI ou directive NIS (pour Network Information Security), définit des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne. Cette directive oblige les Etats membres à adopter une stratégie nationale en la matière.

Pour atteindre ce but, la directive crée notamment deux nouvelles catégories d’acteurs qui devront être soumis à des standards plus élevés en matière de sécurité informatique. Il s’agit des Opérateurs de Services Essentiels (OSE) et des fournisseurs de service numérique.

Il convient de noter que les obligations de sécurité imposées par la directive NIS ont vocation à pallier à un manque de cybersécurité. Ainsi, si des lois nationales imposent des obligations liées à la cybersécurité plus lourdes à des opérateurs qui pourraient être concernés par la qualification d’OSE ou de fournisseur de service numérique, la directive NIS ne s’appliquera pas.

De plus, la directive exclut d’office certains opérateurs. Les entreprises qui fournissent des réseaux de communications publics ou des services de communications électroniques accessibles au public, qui sont déjà soumises à des exigences particulières relatives à la sécurité par la directive 2002/21/CE, ne sont pas concernées par la directive NIS. C’est également vrai pour les prestataires de services de confiance au sens du règlement (UE) no 910/2014, dit « eIDAS ».

Quelles sociétés sont susceptibles d’être soumises aux obligations instaurées par la directive NIS ? Mathias Avocats vous en dit plus.

Les fournisseurs de service numérique, une catégorie large

« Une personne morale qui fournit un service numérique » : c’est de cette manière laconique que la directive les définit. Pour savoir ce que la directive entend par « service numérique », il faut se reporter à une autre directive, la directive 2015/1535 du 9 septembre 2015. Cette dernière prévoit une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information. Il s’agit de « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».

La directive NIS vise en particulier trois fournisseurs de service numérique. Il s’agit :

  • Des places de marchés en ligne ;
  • Des moteurs de recherche en ligne ;
  • Des « services d’informatique en nuage », ceci désignant « un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ».

Ces catégories de fournisseurs sont particulièrement larges. De plus, contrairement aux OSE, les fournisseurs de service numérique n’ont pas à être identifiés par les Etats-membres : un très grand nombre d’acteurs va donc être concerné par ces nouvelles obligations, parmi lesquels les opérateurs proposant des prestations SaaS, IaaS, ou encore PaaS.

Les OSE, présents dans de nombreux secteurs d’activités

La directive NIS fait mention d’une série de secteurs au sein desquels les Etats membres devront identifier des OSE.

Ces secteurs sont les suivants :

  • Energie : concerne les sous-secteurs de l’électricité, du pétrole et du gaz ;
  • Transports : concerne les sous-secteurs des transports aérien, ferroviaire, routier, et par voie d’eau ;
  • Banques : la directive désigne ainsi les établissements de crédit, entendu comme « une entreprise dont l’activité consiste à recevoir du public des dépôts ou d’autres fonds remboursables et à octroyer des crédits pour son propre compte »;
  • Infrastructures de marchés financiers : concerne tout autant les exploitants de plate-forme de négociation que les contreparties centrales ;
  • Santé : concerne tout établissement de soins de santé, y compris les hôpitaux et cliniques privées ;
  • Fourniture et distribution d’eau potable ;
  • Infrastructures numériques : il s’agit des IXP (Internet eXchange Point ou « points d’échange internet»), définis comme « une structure de réseau qui permet l’interconnexion de plus de deux systèmes autonomes indépendants, essentiellement aux fins de faciliter l’échange de trafic internet », des fournisseurs de services DNS et des registres de noms de domaines de haut niveau.

On peut noter que les acteurs de tous ces secteurs sont, en France, déjà potentiellement concernés par la qualification d’Opérateur d’Importance Vitale (OIV). La liste des OIV relève du secret de la défense et est classée Confidentiel Défense. Notons que cela ne sera pas le cas pour la liste des OSE.

Une entité, publique ou privée, est susceptible d’être désignée comme OSE si elle fait partie de l’un de ses secteurs et si elle correspond aux critères d’identification suivants :

  • Elle fournit un service « essentiel au maintien d’activités sociétales et ou économiques critiques » ;
  • « La fourniture de ce service est tributaire des réseaux et des systèmes d’information » ;
  • « Un incident aurait un effet disruptif important sur la fourniture dudit service ».

Les Etats membres ont l’obligation d’identifier ces OSE au plus tard le 9 novembre 2018, et de réexaminer la liste des OSE au plus tard tous les deux ans à compter du 9 mai 2018.

La marge de manœuvre des Etats membres est grande. La directive donne quelques indications quant à la manière d’apprécier la notion d’effet disruptif, mais ne précise pas ce qui constitue une activité sociétale ou économique critique. L’appréciation de ces critères par les Etats membres leur permet au choix d’être très restrictif dans l’identification des OSE, ou au contraire d’être très inclusif.  Une vision restrictive permettra à un Etat membre de contrôler de manière stricte l’application effective des mesures de cybersécurité chez les opérateurs, tandis qu’une vision inclusive assurera la promotion globale d’un niveau de cybersécurité élevé au sein de l’Etat membre.

Vers l’application de normes de cybersécurité à tous les acteurs ?

La directive met en place une harmonisation minimale au niveau de l’Union européenne, et les Etats membres « peuvent adopter ou maintenir des dispositions en vue de parvenir à un niveau de sécurité plus élevé des réseaux et des systèmes d’information » (article 3 de la directive NIS). L’article 7 spécifie que la stratégie nationale devant être élaborée par les Etats-membres doit « au moins » couvrir les secteurs des OSE et les fournisseurs de service numérique.

La directive encourage en filigrane les Etats-membres à étendre à d’autres acteurs que les OSE et les fournisseurs de service numérique les obligations issues de la directive. Il n’est ainsi pas dit que des entreprises ne correspondant à aucune de ces catégories ne se retrouvent pas obligées de respecter la stratégie nationale élaborée par l’Etat membre dont elles relèvent.

Mathias Avocats ne manquera pas de vous tenir informé de l’arrivée de la loi de transposition de la directive NIS et de son impact sur les entreprises.