Adoption de la directive Network and Information Security (NIS) : l’ANSSI, pilote de la transposition en France


Après près de trois ans de négociation, le Parlement européen et le Conseil de l’Union européenne (UE) ont adopté le 6 juillet 2016 la directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation « directive NIS ».

Celle-ci entrera en vigueur vingt jours après sa publication au journal officiel intervenue le 19 juillet 2016. Les Etats membres auront jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

Chef de file en France pour la négociation de ce texte, l’ANSSI se félicite de l’adoption de la directive qui  positionne l’Union européenne en pointe en matière de cybersécurité . Elle prévoit en effet  le renforcement des capacités nationales de cybersécurité et  établit un cadre formel de coopération entre Etats membres, auquel l’ANSSI entend prendre une part active. La directive prévoit également le renforcement de la cybersécurité d’opérateurs issus de secteurs clés ainsi que de certaines plateformes numériques.

La transposition de la directive NIS en France, qui sera assurée par l’ANSSI en lien avec l’ensemble des acteurs concernés, pourra bénéficier des travaux réalisés dans le cadre du renforcement de la cybersécurité des opérateurs d’importance vitale dont la compatibilité avec la directive a été assurée.

L’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information (ENISA) avec laquelle l’ANSSI travaille étroitement, sera chargée d’aider les Etats dans la bonne mise en œuvre de la directive.

 

Présentation de la directive

Structurée autour de quatre axes, la directive prévoit

  • le renforcement des capacités nationales de cybersécurité. Les Etat membres devront notamment se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cybersécurité. Respectivement en France, l’ANSSI, le CERT-FR et la stratégie nationale pour la sécurité du numérique ;
  • l’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE via la création de
    • un « groupe de coopération » des Etats membres sur les aspects politiques de la cybersécurité ;
    • un « réseau européen des CSIRT » des Etats membres. Ce dernier visera notamment à faciliter le partage d’informations techniques sur les risques, vulnérabilités ;
  • le renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société via
    • la définition au niveau national de règles de cybersécurité auxquels ces derniers devront se conformer ;
    • l’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.
  • l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.

 

Chronologie de la directive

nis_chronologie