FAQ – Opérateurs de services essentiels (OSE)


Quels sont les références juridiques du cadre réglementaire applicable aux Opérateurs de services essentiels (OSE) ?

  • Directive européenne (UE) 2016/1148
  • Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité – chapitre II « dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels ».
  • Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’informations des opérateurs de service essentiels et des fournisseurs de service numérique. – Chapitre Ier : Dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels
  • Arrêtés à paraître :
    • Arrêté relatif au coût des contrôles de sécurité.
    • Arrêté fixant les règles de sécurité relatif à la sécurité des réseaux et systèmes d’informations des opérateurs de services essentiels ;

 

 

DÉSIGNATION DES OPERATEURS DE SERVICES ESSENTIELS (OSE)

Qu’est-ce qu’un opérateur de service essentiel (OSE) ? Qu’est-ce qu’un service essentiel ?

Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.

Un service essentiel correspond à 3 critères :

  • ce service est essentiel au maintien d’activités sociétales ou économiques critiques ;
  • la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
  • un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service.

L’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :

  1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
  2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
  3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
  4. la part de marché de cette entité ;
  5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
  6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Comment est désigné un opérateur de services essentiels ?

Sur la base de la liste des services essentiels publiée dans le décret, l’ANSSI, en coordination avec les ministères, propose au Premier ministre une liste d’OSE potentiels.Par la suite, la désignation s’effectue selon un contradictoire :
  1. une lettre d’intention de désignation est envoyée à l’opérateur pressenti ;
  2. l’opérateur répond à cette lettre, en exposant notamment ses éventuelles réserves ;
  3. en lien avec les ministères, le Premier ministre prend ou non la décision de désigner l’opérateur comme OSE par le biais d’un arrêté de désignation.

Toutes ces étapes s’accompagnent des échanges informels nécessaires pour expliquer le cadre réglementaire aux opérateurs pressentis et discuter avec eux de l’opportunité de les désigner comme OSE, au vu des services essentiels qu’ils assurent et de la dépendance de ces services à leurs systèmes d’information.

Un OSE pressenti est-il forcément désigné OSE ?

Non. A l’issue du contradictoire, les éléments apportés par l’opérateur peuvent montrer que sa désignation n’apparaît pas justifiée. L’intérêt du contradictoire est justement de s’assurer de la pertinence des désignations.In fine, la décision de désignation appartient au Premier ministre.

A partir de quand sont désignés les OSE ?

Dès la parution du décret, l’identification par les ministères et l’ANSSI des opérateurs pressentis est initiée. Sur la base des résultats obtenus, les premiers contacts auprès des opérateurs pressentis sont initiés, afin de dérouler le contradictoire permettant leur désignation.
L’ANSSI doit avoir désigné les premiers OSE pour le 9 novembre 2018. Le processus de désignation se poursuivra néanmoins au-delà de cette date, pour élargir le cercle des OSE.

Quelles sont les premières étapes de mise en conformité, une fois un OSE désigné ?

L’OSE doit :
  1. désigner une personne chargée de le représenter auprès de l’ANSSI pour toutes les questions relatives la mise en œuvre de la directive NIS, dans un délai de 2 mois à compter de la date de désignation ;
  2. déclarer ses systèmes d’information essentiels (SIE) dans un délai de 3 mois à compter de la date de désignation.

De quelle nature sont les obligations s’appliquant aux OSE ?

Les obligations s’appliquant aux OSE sont de trois sortes :
  • application de règles de sécurité aux systèmes d’information essentiels (SIE) identifiés par l’OSE ;
  • notification à l’ANSSI des incidents de sécurité survenus sur les SIE ;
  • l’ANSSI, ou un prestataire d’audit qualifié par l’ANSSI, peut contrôler la conformité de l’OSE aux règles de sécurité ainsi que son niveau de sécurité.

 

 

IDENTIFICATION ET DECLARATION DES SYSTÈMES D’INFORMATION ESSENTIELS (SIE)

Comment déterminer si un système d’information est un SIE ?

L’identification des SIE se fait dans le cadre d’une démarche générale d’analyse des risques.
On rappelle que la désignation d’un OSE se fait au titre des services essentiels que fournit l’opérateur. L’OSE doit identifier les systèmes d’information dont sont tributaires les services essentiels identifiés.
Parmi ces systèmes, l’OSE doit désigner comme SIE ceux sur lesquels un incident de sécurité en disponibilité, intégrité ou confidentialité aurait un effet disruptif important sur la fourniture des services essentiels identifiés.L’évaluation de l’importance d’un effet disruptif est déterminée notamment en prenant en compte les facteurs transsectoriels suivants :
  1. le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;
  2. la dépendance des autres secteurs visés à l’annexe II à l’égard du service fourni par cette entité ;
  3. les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;
  4. la part de marché de cette entité ;
  5. la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
  6. l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.

Une marge de manœuvre est volontairement laissée dans l’appréciation de l’effet disruptif important, au vu de la variété des OSE, de leur taille et de leur activité.

Comment déclarer ses SIE ?

Un formulaire de déclaration sera mis à disposition sur le site internet de l’ANSSI.

 

 

RÈGLES DE SÉCURITÉ

Quand entreront en application les règles de sécurité ?

Les règles de sécurité seront précisées dans un arrêté, à paraître à l’été 2018. Cet arrêté précisera les délais d’application des règles.
Pour un OSE, les règles entreront en application à compter de la date de désignation de l’opérateur, dans les délais prévus par l’arrêté.

 

 

NOTIFICATION DES INCIDENTS DE SÉCURITÉ

Quel est l’objectif de l’obligation de déclaration des incidents de sécurité à l’ANSSI ?

La notification des incidents de sécurité a pour objectif de permettre à l’ANSSI et aux autorités compétentes des autres Etats membres :
  • de proposer selon les cas, à la victime de l’incident, une assistance adaptée ;
  • d’évaluer la menace au plus vite et de manière plus précise ;
  • d’organiser une réponse collective aux attaques informatiques majeures ;
  • si nécessaire au vu de la nature de l’incident, de se coordonner entre différents Etats membres.

Comment déclarer un incident de sécurité à l’ANSSI ?

Un formulaire de déclaration d’incident sera mis à disposition des OSE sur le site internet de l’agence.