Garance Mathias,
Associé Fondateur Mathias Avocats
Le Parlement européen et le Conseil de l’Union européenne (UE) ont adopté le 6 juillet 2016 la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, dite « Directive SRI » ou bien « Directive NIS »(1). S’agissant d’une directive et non d’un règlement, sa transposition dans les droits nationaux de chaque Etat membre devait intervenir avant le 9 mai 2018. A noter qu’avant l’adoption de la directive dite NIS, aucun cadre commun n’était prévu et les enjeux de cybersécurité étaient traités à l’échelle nationale. Par cette directive, l’UE souhaitait ainsi renforcer la cyber-résilience des réseaux en Europe en instaurant un cadre commun harmonisé. La cybersécurité des organismes, des entreprises est une priorité pour l’UE.
La directive définit deux notions importantes, les opérateurs fournissant des services essentiels et les fournisseurs de services numériques. Par « opérateur fournissant des services essentiels », les institutions européennes entendent toute entreprise qui joue un rôle important pour la société et l’économie, et qui évoluerait dans les secteurs suivants : l’énergie (électricité, pétrole et gaz), les transports (aérien, ferroviaire, par voie d’eau et routier), les services bancaires (établissements de crédit), les infrastructures de marchés financiers (plateformes de négociation, contreparties centrales), la santé (prestataires de soins de santé) ou encore l’eau (fourniture et distribution d’eau potable)(2). Les trois critères d’identification de ces opérateurs sont la fourniture d’un service essentiel au maintien d’activités sociétales et/ou économiques critiques ; la fourniture de ce service étant tributaire des réseaux et des systèmes d’information et tout incident aurait un effet disruptif important sur la fourniture dudit service. Quant aux « fournisseurs de services numériques », il s’agit notamment des prestataires de cloud, des moteurs de recherche ou encore des plateformes en ligne comme Amazon. La directive oblige chaque Etat membre à s’assurer que ces acteurs économiques prennent toutes mesures techniques et organisationnelles appropriées dans le cadre d’une politique de gestion de risques. Ces mesures ayant vocation à éviter autant que possible ou à tout le moins réduire les conséquences des éventuels incidents de sécurité. En cas d’incident ayant un impact significatif sur la continuité de services de ces opérateurs, ces derniers devront les notifier aux autorités désignées, répondre à leurs demandes d’information et se conformer à leurs instructions.
Le niveau de sécurité mis en œuvre par ces acteurs doit être proportionnel aux risques potentiels qu’ils rencontrent dans le cadre de leur activité. Il s’agit donc de prendre en compte des facteurs de risques tels que la continuité de service, la sécurité logique et physique des infrastructures ou encore leur degré de conformité aux standards internationaux en matière de sécurité. Cependant, dans le cas des « fournisseurs de service numérique », ces exigences ne sont pas être applicables aux microentreprises et aux petites entreprises(3).
Outre les obligations imposées aux « fournisseurs de service numérique » et aux « opérateurs de services essentiels », chaque État membre doit également adopter une stratégie nationale en matière de sécurité des réseaux. A ce titre, des objectifs stratégiques et des mesures politiques et réglementaires concrètes devront être définies et régulièrement actualisées. Les États membres doivent également veiller à disposer de CSIRT(4), afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et assurer une coopération efficace au niveau de l’UE.
La France a transposé cette directive par une loi du 26 février dernier (5) . Ce texte prévoit notamment des sanctions pour les acteurs qui n’auraient pas respecté les obligations mises à leur charge. La non-déclaration des incidents de sécurité exposera les opérateurs de services essentiels à 75 000 euros d’amende contre 50 000 euros pour les fournisseurs de service numérique. Le non-respect des règles de sécurité ou l’absence de mesure de sécurité sera passible de 100 000 euros d’amende pour les opérateurs de services essentiels et 75 000 euros d’amende pour les fournisseurs de service numérique. Enfin, en cas d’obstacle aux contrôles de l’ANSSI, les opérateurs de services essentiels s’exposent à 125 000 euros d’amende, contre 100 000 euros pour les fournisseurs de service numériques. Ce cadre législatif a également été complété par un décret n°2018-384 du 23 mai 2018 (6) qui a permis de clarifier et préciser certains éléments du régime juridique des opérateurs de services essentiels. En revanche, la liste des fournisseurs de services numériques ne sera pas établie par décret. Il reviendra donc aux acteurs de s’identifier comme tels et de se conformer à leurs nouvelles obligations. La Commission européenne a toutefois adressé le 19 juillet 2018 (7) une lettre de mise en demeure à 17 États membres, dont la France, leur demandant de transposer intégralement en droit national la directive NIS. En effet, il convient de noter que la loi exclut explicitement les Opérateurs d’importance vitale, mais également les prestataires de service de confiance issus du règlement eIDAS, les opérateurs de télécommunications pour leurs activités liées à l’exploitation de réseaux de communication électronique ou à la fourniture de service de communication électronique, ainsi que tout opérateur faisant déjà l’objet d’une norme sectorielle lui imposant des mesures de cybersécurité d’un niveau au moins équivalent à celui prévu par la loi.
Pour résumer, ce dispositif en matière de cybersécurité tend à permettre aux différents acteurs économiques de se prémunir des attaquer que de disposer de moyens pour y répondre.
(1) JOUE du 19.07.2016, Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union et qui est entrée en vigueur en août 2016.
(2)L’annexe II de la directive comprend des catégories d’acteurs pouvant être qualifiés d’opérateurs fournissant des services essentiels.
(3)Article 16-11 de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Centres de réponse aux incidents de sécurité informatique, également connus sous la dénomination de centres de réponse aux urgences informatiques (CERT)
(5) Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité
(6) Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique
