• Perspective
Publié le 16 mars 2018

Transposition de la directive NIS en FRANCE

1/ Introduction

Une nouvelle loi (n°2018-133) vient d’être publiée au Journal Officiel du 27 février 2018 pour transposer la directive européenne NIS (Network & Information System : 2016/1148) en droit français, afin d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne.

Cette loi prévoit que les opérateurs fournissant des services essentiels au fonctionnement de l’économie et de la société française appliqueront des règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Ces opérateurs devront informer l’ANSSI des incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent. La loi introduit également un cadre destiné à renforcer la cybersécurité des fournisseurs de services numériques.

Toutefois, la mise en œuvre effective de cette loi nécessite la publication d’un décret qui devrait être publié avant le 9 novembre 2018 par le Conseil d’État précisant la liste des « opérateurs de services essentiels » et des « fournisseurs de service numérique » opérant sur le territoire français.

2/ Rappel sur le contenu de la Directive NIS

Adoptée par les institutions européennes le 6 juillet 2016, la directive NIS (2016/1148) applicable dans l’Union Européenne prévoit quatre axes principaux :

  • Le renforcement des capacités nationales de cybersécurité.

Les États membres devront se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT) et des stratégies nationales de cybersécurité. Ainsi, la France dispose de l’ANSSI, le CERT-FR et la stratégie nationale pour la sécurité du numérique.

  • L’établissement d’un cadre de coopération volontaire entre États membres de l’UE

La création d’un « groupe de coopération » des États membres sur les aspects politiques de la cybersécurité ; un « réseau européen des CSIRT » des États membres.

  • Le renforcement par chaque État de la cybersécurité d’opérateurs de services essentiels

Au fonctionnement de l’économie et de la société via :

  • La définition au niveau national de règles de cybersécurité auxquels ces derniers devront se conformer ;
  • L’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.
  • L’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques

Dans les domaines de l’informatique Cloud, des moteurs de recherche et places de marché en ligne.

3/ Définitions

Cette nouvelle loi s’applique à deux nouvelles catégories d’opérateur public ou privé offrant des services essentiels ou des fournisseurs de service numérique.

3.1/ Opérateur de Services Essentiels

L’article 5 de la loi n°2018-133 donne une définition très large « Les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services sont soumis aux dispositions du présent chapitre. »

Or, la directive NIS, fournit une définition plus précise : « une entité publique ou privée dont le type figure à l'annexe II et qui répond aux critères énoncés à l'article 5, paragraphe 2 :

a) Une entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques.

b) La fourniture de ce service est tributaire des réseaux et des systèmes d'information.

c) Un incident aurait un effet disruptif important sur la fourniture dudit service. »

3.2/ Fournisseur de service numérique

L’article 10 de la loi n°2018-133 précise la notion de fournisseur de service numérique : « toute personne morale qui fournit l'un des trois services suivants :

BSSI Fournisseur service numerique

  • Place de marché en ligne. A savoir un service numérique qui permet à des consommateurs ou à des professionnels, au sens du dernier alinéa de l'article liminaire du code de la consommation, de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d'un professionnel qui utilise les services informatiques fournis par la place de marché en ligne.
  • Moteur de recherche en ligne. A savoir un service numérique qui permet aux utilisateurs d'effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d'une requête lancée sur n'importe quel sujet sous la forme d'un mot clé, d'une phrase ou d'une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé.
  • Service d'informatique en nuage. A savoir un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées. » [« Cloud Computing »]

4/ Obligations

Cette nouvelle loi impose des nouvelles obligations spécifiques aux deux entités FSN et OSE.

BSSI Obligations

Des contrôles de conformité peuvent être effectués, sur pièce et sur place, par l’ANSSI. Ces contrôles peuvent également être effectués par des prestataires de service qualifiés par le Premier ministre. Cela étend le périmètre de couverture actuel des PASSI aux OSE.

5/ Sanctions

En cas de manquements graves, les montants des sanctions s’appliquant aux dirigeants sont distincts suivant la nature de l’entité : OSE (Opérateur de Service Essentiels) ou FSN (Fournisseurs de Service Numérique), et la nature de l’infraction.

Nature de l’infraction OSE (Opérateur de Service Essentiels) FSN (Fournisseurs de Service Numérique)
Non-déclaration des incidents de sécurité à l’ANSSI ou au public 75 000€ d’amende 50 000€ d’amende
Non-respect ou absence de règles de sécurité 100 000€ d’amende 75 000€ d’amende
Faire obstacle aux opérations de contrôle 125 000€ d’amende 100 000€ d’amende
Article rédigé par
Grégoire VIALARET