Académique Documents
Professionnel Documents
Culture Documents
Directive NIS 1 - 2 - Quels Enjeux Juridiques - Orange Cyberdefense PDF
Directive NIS 1 - 2 - Quels Enjeux Juridiques - Orange Cyberdefense PDF
| Orange Cyberdefense
Cyberdefense Le Blog Orange Cyberdefense Directive NIS 1/2 : Quels enjeux juridiques ?
Le 6 Juillet 2016, le Parlement européen adoptait la Directive (UE) 2016/1148[1], aussi appelée Directive Network
and Information System Security (NIS). Celle-ci a pour objectifs de renforcer le niveau de sécurité des réseaux et
des systèmes d’informations essentiels (SIE) ainsi que d’améliorer le partage d’informations au niveau européen.
Focus avec Edouard Bedoucha, consultant sécurité chez Orange Cyberdefense.
Les états membres de l’Union européenne avaient jusqu’au 9 mai 2018 pour transposer la
directive NIS au sein de leur cadre réglementaire national. En France, cette intégration s’est
effectuée en plusieurs étapes :
• la publication, le 28 février 2018, d’une loi transposant1 les obligations aux opérateurs de
services essentiels (OSE) et aux fournisseurs de services numériques (FSN) ainsi que les
sanctions en cas de non-respect de celles-ci ;
• la publication, le 25 mai 2018, d’un décret d’application2, publié au journal officiel,
comprenant en annexe la liste des secteurs d’activité, des types d’opérateurs ainsi que des
services essentiels concernés ;
• la publication, le 1er août 2018, de l’arrêté relatif au coût* d’un contrôle effectué par
l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;
Les ministères concernés par les secteurs d’activités référencés doivent établir avec l’aide de
l’ANSSI une liste de sociétés qui seront désignées en tant qu’opérateur de services essentiels
(OSE). Contrairement à celle des OIV, elle ne relève pas du secret Défense. Elle pourrait faire
l’objet d’un décret au Conseil d’Etat et devrait être actualisée à intervalles réguliers (au moins
tous les deux ans).
En outre, un arrêté unique pour tous les secteurs, contenant l’ensemble des règles de sécurité
applicables aux OSE, a été publié mi-septembre permettant ainsi aux sociétés relevant de ce
cadre réglementaire d’amorcer leur démarche de mise en conformité. En France, une première
liste comprenant 122 entreprises a été transmise, à terme ce n’est pas moins de 1000
entreprises qui devraient être ainsi recensées.
https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 1/4
01/04/2020 Directive NIS 1/2 : Quels enjeux juridiques ? | Orange Cyberdefense
Cybersécurité et télémaintenance des L’analyse comportementale peut-elle COVID-19 : les bons gestes de
systèmes industriels révolutionner la détection ? sécurité informatique à adopter
• notification à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) des incidents cyber affectant les systèmes supportant les
services essentiels ;
• mise en œuvre des règles de sécurité définies par les services du Premier Ministre ;
• coopération des OSE lors de contrôles réalisés par l’ANSSI ou par un prestataire de services de confiance qualifié (PASSI).
Les OSE sont passibles d’une amende de 75 000 € en cas de non-déclaration d’incident, 100 000 € en cas de non-respect des obligations de
sécurité, et 125 000 € si la société a fait obstacle aux opérations de contrôle menées par l’ANSSI ou au prestataire désigné. Nous sommes loin
des montants record des amendes que la Commission nationale de l’informatique et des libertés (CNIL) peut imposer aux sociétés ne
respectant pas le Règlement européen général sur la protection des données (RGPD). L’amende peut en effet atteindre entre 2 à 4% du chiffre
d’affaires mondial d’une entreprise.
• 15 secteurs d’activité ;
• 58 types d’opérateurs différents ;
• 94 services essentiels.
Ce sont 8 secteurs d’activité et 39 services essentiels de plus par rapport aux exigences initiales de la directive NIS. Celle-ci introduit
également de nouveaux secteurs qui n’étaient pas pris en compte par la Loi de Programmation Militaire (LPM) comme la restauration ou le
social. Pour un certain nombre de secteurs, comme l’énergie ou le transport, les activités concernées ont également été étendues.
L’article 6 de la directive prévoit en effet que « le Premier ministre, sur proposition du ministre dont le domaine de compétence recouvre un
secteur ou sous-secteur d’activités (…) met fin à la désignation des opérateurs de services essentiels qui ne satisfont plus aux critères (…) ».
C’est la première fois qu’est évoquée la possibilité pour une société de sortir d’une liste établie par les instances gouvernementales. Dans le
cadre de la LPM, ce processus est en effet incertain.
Deuxième point d’importance, la mise en place d’un contrôle : les articles 13, 14 et 15 fixent le processus qui sera mis en place pour contrôler
que les OSE ont bien appliqué les règles de sécurité. Il est notamment prévu l’établissement d’une convention de service entre l’organisme
contrôleur et l’organisme contrôlé. L’OSE peut faire valoir ses observations directement dans le rapport et la société en charge du contrôle
peut se faire auditer par l’ANSSI.
Cette procédure se rapproche, par certains côtés, à ce que l’on pourrait rencontrer dans le cadre d’un audit de certification ISO 27001.
Il reste néanmoins une question à laquelle le document ne répond pas : au-delà du fait que seules les sociétés qualifiées prestataires d’audit
de la sécurité des systèmes d’information qualifiés (PASSI) et l’ANSSI pourront faire les audits de contrôle, ces sociétés devront-elles être
labellisées spécifiquement sur la directive NIS comme c’est aujourd’hui le cas sur la LPM avec un nombre très restreint de sociétés
référencées PASSI LPM ?
Liens utiles :
1https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036644772&dateTexte=&categorieLien=id
2
https://www.legifrance.gouv.fr/eli/decret/2018/5/23/PRMD1809740D/jo/texte
3
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037444012
*1200 euros/jour
https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 2/4
01/04/2020 Directive NIS 1/2 : Quels enjeux juridiques ? | Orange Cyberdefense
Se former au RGPD
La mise en application du Règlement général sur la protection
des données, plus connu sous son acronyme RGPD, est un
passage complexe pour de nombreuses entreprises. Afin d’aider
[…]
https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 3/4
01/04/2020 Directive NIS 1/2 : Quels enjeux juridiques ? | Orange Cyberdefense
https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 4/4