En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 03/10/2017
    Microsoft Experiences’17

    Les 3 et 4 octobre 2017 : voici deux jours dédiés à l'intelligence numérique pour le…

    en détail En détail...
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
Appels d'offres en cours
  • Refonte de 3 sites internet
    < 10 000 €
    > En savoir plus
  • Story-boarder pour la conception de dessins et l'animatique 2D pour un court-métrage d'animation
    < 3 000 €
    > En savoir plus
  • Migration d'un site catalogue vers un site e-commerce pour la vente de prêt-à-porter
    < 6 000 €
    > En savoir plus
SIGMA_Transfo digitale_banniere animée

NIS : adoption de la directive européenne sur la cybersécurité, harmonisation en vue ?

elo_processus pointe_pave

Pourquoi une directive sur la cybersécurité ? Quelles sont les nouvelles obligations ? Et que peut-on reprocher au législateur européen ? Garance Mathias, Avocat à la Cour (www.avocats-mathias.com), fait le tour de ces questions pour Solutions-numériques.

L’Union européenne se protège en créant un véritable cadre juridique sur la cybersécurité pour la première fois de son histoire. Les acteurs concernés sont évidemment déjà soumis à des règles semblables à travers l’Union européenne, notamment quant à la notification des failles. Ces obligations de conformité diffèrent toutefois sensiblement les unes des autres.

Après trois ans de négociations, le Parlement européen et le Conseil de l’Union européenne ont adopté le 6 juillet 2016 la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, ou bien « Directive NIS ». S’agissant d’une directive et non d’un règlement, sa transposition dans les droits nationaux de chaque Etat membre devra intervenir avant le 9 mai 2018. Pour rappel, la transposition d’une directive laisse une certaine marge aux Etats membres quant aux moyens à mettre en place pour atteindre les objectifs fixés par la directive, contrairement à un règlement.

La Directive devrait permettre de renforcer la coopération entre les États membres en ce domaine. Elle prévoit également des obligations en matière de sécurité pour les opérateurs fournissant des services essentiels (finance, transports, santé, etc.) et pour les fournisseurs de services numériques. Chaque Etat membre devra par ailleurs désigner une ou plusieurs autorités nationales et mettre en place une stratégie pour gérer les cybermenaces.

Malgré l’existence de l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) qui émet des recommandations et assiste les Etats membres dans la mise en œuvre de solutions de cybersécurité, aucun cadre commun n’était prévu et ces enjeux étaient traités à l’échelle nationale. Les entreprises étaient donc confrontées à un patchwork de réglementations nationales, avec toute l’insécurité juridique que cela entraîne.

Par exemple, en ce qui concerne les obligations de notification des failles de sécurité impliquant des données à caractère personnel, on constate une grande diversité. Ainsi, en France ou en Pologne, des obligations de notification existent pour certains acteurs (opérateurs de télécommunication, etc.). En Italie, les obligations de notification s’imposent en cas de fuite de données de santé et/ou biométriques. Au Royaume-Uni ou en Irlande, ces notifications sont recommandées par les autorités mais ne sont pas imposées par la loi. En outre, les modalités de notification sont loin d’être identiques.

Quelles sont les nouvelles obligations ?

On peut regretter que le périmètre de cette Directive soit assez étroit et ne concerne que deux types d’acteurs : les opérateurs fournissant des services essentiels et certaines plateformes numériques.

Que sont les opérateurs fournissant des services essentiels ? Des entreprises jouant un rôle important voire critique au sein de la société et l’économie. Les Etats membres doivent identifier quelles seront les entités qualifiées comme telles, dans un délai de six mois à compter du 9 mai 2018, date à laquelle ils devront avoir transposé la Directive. Dans ce contexte, l’annexe II de la Directive comprend des catégories d’acteurs pouvant être qualifiés d’opérateurs fournissant des services essentiels. Les trois critères d’identification de ces opérateurs sont la fourniture d’un service essentiel au maintien d’activités sociétales et/ou économiques critiques ; la fourniture de ce service étant tributaire des réseaux et des systèmes d’information ; et tout incident aurait un effet disruptif important sur la fourniture dudit service. Il est probable que les autorités françaises s’appuient sur le cadre déjà mis en place, relatif aux Opérateurs d’Importance Vitale (OIV) que l’on considère comme des infrastructures critiques. En France, il y en a environ 150 OIV dans sept secteurs dont l’alimentation, la gestion de l’eau ou encore l’énergie.

La Directive oblige chaque Etat membre à s’assurer que ces opérateurs fournissant des services essentiels prennent toutes mesures techniques et organisationnels appropriées dans le cadre d’une politique de gestion de risques. Ces mesures ayant vocation à éviter autant que possible ou à tout le moins réduire les conséquences des éventuels incidents de sécurité. En cas d’incident ayant un impact significatif sur la continuité de services de ces opérateurs, ces derniers devront les notifier aux autorités désignées, répondre à leurs demandes d’information et se conformer à leurs instructions.

Ces obligations s’appliquent par ailleurs à trois types de fournisseurs de services numériques : les marchés en ligne, les moteurs de recherche et les prestataires de cloud computing. Le niveau de sécurité mis en œuvre par ces derniers devra être proportionnel aux risques potentiels qu’ils rencontrent dans le cadre de leur activité. Il s’agit donc de prendre en compte des facteurs de risques tels que la continuité de service, la sécurité logique et physique des infrastructures ou encore leur degré de conformité aux standards internationaux en matière de sécurité. Cela ne concerne pas les PME.

A noter que la Directive prévoit l’adoption par la Commission Européenne de plusieurs actes d’exécution afin d’apporter des précisions sur ces obligations.

Que peut-on reprocher au législateur européen ?

La définition de « place de marché en ligne » semble assez réductrice eu égard aux ambitions affichées par le législateur européen. Il s’agit, au sens de la Directive, d’un service numérique permettant de conclure des contrats en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne. Qu’en est-il des entreprises qui vendent leurs produits et services sur leurs propres sites internet ?

La Directive paraît également imprécise sur de nombreux points. Quelles seront les mesures techniques et organisationnelles concrètes à mettre en œuvre dans le cadre d’une gestion de risques ? Qu’est-ce qu’un impact significatif sur les services fournis par les opérateurs concernés ? En cas d’incident, quelles sont les modalités d’information du public par les autorités désignées ? Quels seront les pouvoirs et compétences de ces dernières ? Quelles seront les sanctions en cas de non-conformité ? Les seules exigences pour les sanctions étant qu’elles soient effectives, proportionnées et dissuasives.

L’harmonisation des règles relatives à la sécurité des réseaux et des systèmes d’information au sein de l’Union n’est peut-être pas pour demain…

 

Auteur : Juliette Paoli

NIS : adoption de la directive européenne sur la cybersécurité, harmonisation en vue ?
Notez cet article

Laisser un commentaire

2 jours consacrés à l’intelligence numérique

Les 3 et 4 octobre, Microsoft experiences’ 17 accueillera plus de 14 000 visiteurs au Palais des Congrès de Paris, dont les managers des plus grandes sociétés européennes, start-ups, incubateurs...

Agenda & inscription

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Le hacker de Deutsche Telekom condamné en Allemagne est extradé au Royaume-Uni

    Un hacker israélo-britannique accusé d'avoir attaqué deux banques britanniques et un fournisseur d'accès internet libérien,…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - SD-WAN : comment éviter les problèmes de déploiements en dix points clés 

    Une migration SD-WAN sans couture à l’heure du tout connecté ? Alexandre Chichkovsky, Global Network Evangelist…

    > En savoir plus...
Etudes/Enquêtes
  • Lutte contre les ransomwares : en France, les PME préfèrent la formation à l'approche technologique

    On sait les entreprises françaises attachées à la formation de leurs collaborateurs. En matière de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
kaspersky_attaques ciblees_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • SECTEUR DE LA SANTÉ : VOTRE MISSION EST-ELLE IMPIRATABLE ?

    > Voir le livre
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
TSystems_Cybercrime_skycrapper