Directive NIS


Adoptée par les institutions européennes le 6 juillet 2016, la directive Network and Information Security (NIS) poursuit un objectif majeur : assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Les 28 Etats membres ont maintenant jusqu’au 9 mai 2018 pour transposer cette directive dans leur droit national.

La directive Network and Information Security (NIS) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la nation afin de faire face collectivement aux risques de cyberattaques.

En tant que cheffe de file nationale, l’ANSSI a suivi la négociation de la directive et pilote depuis plus d’un an les travaux de transposition, en concertation avec les ministères, les différentes parties-prenantes nationales et ses partenaires européens afin de répondre aux enjeux défendus par ce premier texte européen en matière de cybersécurité.

Forte de son engagement et de son expérience en matière de cybersécurité, la France procède à une transposition ambitieuse de la directive NIS.
Une vision qui correspond à l’esprit de la directive NIS pour définir un cadre règlementaire commun aux États membres, avec l’adoption de dispositions complémentaires pour renforcer le niveau de sécurité des États membres.

 

Mettre en place un cadre de gouvernance pour chaque État membre

Le premier volet de la directive prévoit notamment le renforcement des capacités nationales de cybersécurité des États membres.

En cohérence avec l’application du Livre Blanc sur la défense et la sécurité nationale, la plupart des dispositions de gouvernances visées par la directive sont d’ores et déjà couvertes par la France. En effet, le pays se repose déjà sur une organisation nationale existante, mature et fonctionnelle :

  • une stratégie nationale pour la sécurité du numérique, présentée en 2015 ;
  • une autorité nationale en matière de cybersécurité et de cyberdéfense, l’ANSSI, qui participe par ailleurs au groupe de coopération rassemblant les États membres (art.11) ;
  • un centre de réponse aux incidents, le CERT-FR, impliqué dans les échanges opérationnels avec les CSIRT nationaux existants.

 

 

Formalisation d’un cadre de coopération efficace au niveau européen

La multiplication des vagues d’attaques, sans frontières, a mis en évidence la nécessité de pouvoir s’appuyer sur un réseau global de vigilance à l’échelle européenne. La directive prévoit la mise en place d’une coopération entre les États membres portant sur les aspects politiques et opérationnels de la cybersécurité. Une démarche vertueuse pour la formalisation d’un réseau des CSIRT nationaux des 28 états membres (art. 12). Le cadre de cette coopération renforcée constituera la base d’échanges entre les Etats et permettra à terme de renforcer la réponse collective et coordonnée en cas de cyberattaques ciblant des pays européens, et ce 24 heures sur 24.

Créer des dispositifs de cybersécurité spécifiques pour les OSE et les FSN

La directive NIS prévoit la création de deux cadres réglementaires pour renforcer la cybersécurité des Opérateurs de services qui sont essentiels au fonctionnement de l’économie et de la société (OSE) et celle des Fournisseurs de service numérique (FSN).

Le texte de loi définitif, adopté par le Parlement, fixe le cadre général pour réguler la sécurité des systèmes d’information de ces acteurs essentiels au maintien de l’activité économique et sociétale des pays européens.

Concernant les opérateurs de service essentiel (OSE)(chapitre IV):

Le nouveau dispositif proposé est conçu comme pouvant s’appliquer à un champ large d’opérateurs fournissant des services essentiels pour le fonctionnement de l’économie et de la société.

L’ANSSI a capitalisé sur la méthodologie appliquée au niveau national lors de la mise en œuvre du dispositif, complémentaire, de protection des Opérateurs d’importance vitale (OIV), introduit par la loi de programmation militaire de 2013. Les retours d’expérience qui ont suivi la publication des premiers arrêtés sectoriels, en juillet 2016, ont été précieux pour mener les travaux de transposition de la directive concernant les opérateurs de service essentiel  (OSE).

Le Premier ministre assurera la mise en œuvre du dispositif et la coordination interministérielle en s’appuyant sur l’ANSSI qui œuvrera en collaboration avec les ministères pour identifier les OSE. Désignés par le Premier ministre, ces opérateurs appliqueront des règles de sécurité informatique élaborées par l’ANSSI. Ils devront également informer l’agence de tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés

Les OSE seront enfin soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.

 

 

Concernant les fournisseurs de service numérique (chapitre V) :

La loi de transposition introduit un cadre réglementaire destiné à renforcer la cybersécurité des fournisseurs de services numériques qui seront tenus d’assurer la sécurité de leurs services et de notifier leurs incidents à l’ANSSI.

 

 

Quelles sont les prochaines étapes ?

Le dispositif de transposition proposé prévoit des mesures réglementaires d’application, qui seront prises par décret en Conseil d’État et par des arrêtés du Premier ministre.

Le décret fixera la liste des services essentiels pour chaque secteur d’activités.

Il renverra lui-même vers des arrêtés qui indiqueront notamment :

  • les règles de sécurité informatique qui s’appliqueront aux opérateurs de service essentiel ;
  • le coût des contrôles destinés à vérifier le respect des obligations relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Les opérateurs de service essentiel seront individuellement désignés par le Premier ministre. La liste de ces opérateurs sera actualisée au moins tous les deux ans.

Enfin le décret n° 2009-834 du 7 juillet 2009 , portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information », sera modifié en conséquence des nouvelles missions attribuées à l’ANSSI.

 

En savoir plus : Sécurité du numérique : 2018, une année déterminante à l’échelle européenne

 

 

Liens externes