01/04/2020 Directive NIS 1/2 : Quels enjeux juridiques ?

| Orange Cyberdefense

Directive NIS 1/2 : Quels enjeux juridiques ?

Cyberdefense  Le Blog Orange Cyberdefense  Directive NIS 1/2 : Quels enjeux juridiques ?

Le 6 Juillet 2016, le Parlement européen adoptait la Directive (UE) 2016/1148[1], aussi appelée Directive Network
and Information System Security (NIS). Celle-ci a pour objectifs de renforcer le niveau de sécurité des réseaux et
des systèmes d’informations essentiels (SIE) ainsi que d’améliorer le partage d’informations au niveau européen.
Focus avec Edouard Bedoucha, consultant sécurité chez Orange Cyberdefense.

Les états membres de l’Union européenne avaient jusqu’au 9 mai 2018 pour transposer la
directive NIS au sein de leur cadre réglementaire national. En France, cette intégration s’est
effectuée en plusieurs étapes :

• la publication, le 28 février 2018, d’une loi transposant1 les obligations aux opérateurs de
services essentiels (OSE) et aux fournisseurs de services numériques (FSN) ainsi que les
sanctions en cas de non-respect de celles-ci ;
• la publication, le 25 mai 2018, d’un décret d’application2, publié au journal officiel,
comprenant en annexe la liste des secteurs d’activité, des types d’opérateurs ainsi que des
services essentiels concernés ;
• la publication, le 1er août 2018, de l’arrêté relatif au coût* d’un contrôle effectué par
l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;

la publication, le 14 septembre 2018, de l’arrêté3 fixant les règles de sécurité à mettre en

place et à respecter pour les OSE et les FSN.

OSE ? FSN ? De quoi parle-t-on ?

La notion d’opérateurs d’importance vitale (OIV) a été créée en France par la loi de
programmation militaire (LPM). La directive NIS ajoute deux nouvelles catégories d’acteurs, A propos du blogueur
les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN).
Consultant Sécurité chez Orange
Cyberdéfense, Edouard Bedoucha est
Les FSN diplomé de l’ESIEA. Il intervient depuis
plusieurs années dans des missions d’audit
Un FSN est défini comme une « une personne morale qui fournit un service numérique ».
et d’accompagnement à la sécurisation des
Aujourd’hui, il s’agit :
systèmes critiques. Il accompagne les
• des places de marché, clients, en France et à l’international, dans
• des moteurs de recherche,
leurs démarches de définition et de mise en
place de leur politique de Sécurité. Edouard
• des opérateurs de « services d’informatique en nuage » autrement dit, le cloud.
est également réserviste opérationnelle dans
le cadre de la Garde Nationale.
Les OSE
Un OSE est une entité publique ou privée travaillant dans l’un des secteurs identifiés par la
NIS. Il fournit un service essentiel au maintien d’activités sociétales et/ou économiques
critiques pour lequel un incident cyber aurait un effet disruptif important sur la fourniture dudit
service. La liste des secteurs et des services essentiels est fournie dans le décret
d’application de la loi de transposition.

Les ministères concernés par les secteurs d’activités référencés doivent établir avec l’aide de
l’ANSSI une liste de sociétés qui seront désignées en tant qu’opérateur de services essentiels
(OSE). Contrairement à celle des OIV, elle ne relève pas du secret Défense. Elle pourrait faire
l’objet d’un décret au Conseil d’Etat et devrait être actualisée à intervalles réguliers (au moins
tous les deux ans).

En outre, un arrêté unique pour tous les secteurs, contenant l’ensemble des règles de sécurité
applicables aux OSE, a été publié mi-septembre permettant ainsi aux sociétés relevant de ce
cadre réglementaire d’amorcer leur démarche de mise en conformité. En France, une première
liste comprenant 122 entreprises a été transmise, à terme ce n’est pas moins de 1000
entreprises qui devraient être ainsi recensées.


https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 1/4
01/04/2020 Directive NIS 1/2 : Quels enjeux juridiques ? | Orange Cyberdefense

Cybersécurité et télémaintenance des L’analyse comportementale peut-elle COVID-19 : les bons gestes de
systèmes industriels révolutionner la détection ? sécurité informatique à adopter

Les obligations et sanctions prévues pour les Opérateurs de Services Essentiels

La loi détaille trois grandes obligations envers les OSE :

• notification à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) des incidents cyber affectant les systèmes supportant les

services essentiels ;
• mise en œuvre des règles de sécurité définies par les services du Premier Ministre ;
• coopération des OSE lors de contrôles réalisés par l’ANSSI ou par un prestataire de services de confiance qualifié (PASSI).

Les OSE sont passibles d’une amende de 75 000 € en cas de non-déclaration d’incident, 100 000 € en cas de non-respect des obligations de
sécurité, et 125 000 € si la société a fait obstacle aux opérations de contrôle menées par l’ANSSI ou au prestataire désigné. Nous sommes loin
des montants record des amendes que la Commission nationale de l’informatique et des libertés (CNIL) peut imposer aux sociétés ne
respectant pas le Règlement européen général sur la protection des données (RGPD). L’amende peut en effet atteindre entre 2 à 4% du chiffre
d’affaires mondial d’une entreprise.

Qui est concerné par le statut d’opérateur de services essentiels ?

L’ANSSI, en charge de définir pour la France les secteurs d’activité, les types d’opérateurs ainsi que les services essentiels concernés par le
décret d’application de la directive NIS, a vu les choses en grand. L’annexe du décret d’application français recense :

• 15 secteurs d’activité ;
• 58 types d’opérateurs différents ;
• 94 services essentiels.

Ce sont 8 secteurs d’activité et 39 services essentiels de plus par rapport aux exigences initiales de la directive NIS. Celle-ci introduit
également de nouveaux secteurs qui n’étaient pas pris en compte par la Loi de Programmation Militaire (LPM) comme la restauration ou le
social. Pour un certain nombre de secteurs, comme l’énergie ou le transport, les activités concernées ont également été étendues.

Qui est concerné par le statut d’opérateur de services essentiels ?

L’importance des audits
Le décret d’application impose aux OSE un certain nombre d’obligations fortement similaires à celles que l’on retrouve dans la LPM, comme la
nomination d’un référent ou la communication d’informations à l’ANSSI. Néanmoins ce décret introduit son lot de nouveautés, a minima sur
deux points, et non des moindres.

L’article 6 de la directive prévoit en effet que « le Premier ministre, sur proposition du ministre dont le domaine de compétence recouvre un
secteur ou sous-secteur d’activités (…) met fin à la désignation des opérateurs de services essentiels qui ne satisfont plus aux critères (…) ».
C’est la première fois qu’est évoquée la possibilité pour une société de sortir d’une liste établie par les instances gouvernementales. Dans le
cadre de la LPM, ce processus est en effet incertain.

Deuxième point d’importance, la mise en place d’un contrôle : les articles 13, 14 et 15 fixent le processus qui sera mis en place pour contrôler
que les OSE ont bien appliqué les règles de sécurité. Il est notamment prévu l’établissement d’une convention de service entre l’organisme
contrôleur et l’organisme contrôlé. L’OSE peut faire valoir ses observations directement dans le rapport et la société en charge du contrôle
peut se faire auditer par l’ANSSI.

Cette procédure se rapproche, par certains côtés, à ce que l’on pourrait rencontrer dans le cadre d’un audit de certification ISO 27001.

Il reste néanmoins une question à laquelle le document ne répond pas : au-delà du fait que seules les sociétés qualifiées prestataires d’audit
de la sécurité des systèmes d’information qualifiés (PASSI) et l’ANSSI pourront faire les audits de contrôle, ces sociétés devront-elles être
labellisées spécifiquement sur la directive NIS comme c’est aujourd’hui le cas sur la LPM avec un nombre très restreint de sociétés
référencées PASSI LPM ?

Liens utiles :
1https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036644772&dateTexte=&categorieLien=id

2
https://www.legifrance.gouv.fr/eli/decret/2018/5/23/PRMD1809740D/jo/texte
3
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037444012


*1200 euros/jour
https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 2/4
01/04/2020 Directive NIS 1/2 : Quels enjeux juridiques ? | Orange Cyberdefense

Sur le même sujet

Se former au RGPD
La mise en application du Règlement général sur la protection
des données, plus connu sous son acronyme RGPD, est un
passage complexe pour de nombreuses entreprises. Afin d’aider
[…]

Directive NIS 2/2 : quels impacts pour les

entreprises ?
La directive NIS, très proche de la loi de programmation militaire
(LPM), aura des impacts certains sur la vie des entreprises qu’elle
désigne. Lesquels sont-ils ? Est-ce la […]

OIV et PDIS : tout ce qu’il faut savoir

La qualification PDIS permet aux OIV d’identifier des prestataires
capables de leur fournir un service de détection des incidents de
sécurité en conformité avec les exigences de l’ANSSI, […]

Lois, Directives et Qualifications liées à la

cybersécurité : notre guide pratique pour s’y
retrouver
PDIS, PASSI, PRIS, OSE, OIV… difficile de faire la différence entre
tous les acronymes liés à l’aspect réglementaire de la
cybersécurité. Alors qu’Orange Cyberdefense consacre le mois
de […]


https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 3/4
01/04/2020 Directive NIS 1/2 : Quels enjeux juridiques ? | Orange Cyberdefense

https://cyberdefense.orange.com/fr/blog/directive-nis-1-2-quels-enjeux-juridiques/ 4/4