Accueil Réglementation La directive NIS publiée – La France relève d’un cran son dispositif...

La directive NIS publiée – La France relève d’un cran son dispositif de cybersécurité

La directive européenne Nis transposée en droit français.
La directive européenne Nis transposée en droit français.

La loi transposant la directive européenne sur la sécurité des réseaux et des systèmes d’information (directive NIS) a été publiée mardi 27 février au journal officiel, relevant d’un cran le dispositif de cybersécurité en France.

En vertu de ce texte, plusieurs centaines d’organismes publics et privés, les opérateurs de services essentiels (OSE), vont devoir suivre les règles de sécurité informatique fixées par l’Etat dans un contexte de risque grandissant d’attaques cyber. « Cette nouvelle loi donne à la France les moyens de mieux protéger ses entreprises et services publics essentiels face aux attaques informatiques », souligne le secrétariat d’Etat chargé du Numérique dans un communiqué.
Dans la pratique, cette loi élargit le dispositif de cybersécurité mis en place depuis 2013 en France et qui portait sur 230 opérateurs d’importance vitale (OIV). Ce dispositif se concentrait sur les opérateurs « qui exploitent ou utilisent des installations jugées indispensables pour la survie de la Nation« , comme les centrales nucléaires, les entreprises clés de transport, de télécommunications ou les services de santé.

Appliquer les règles de l’ANSSI

La liste des OSE, qui ne sera pas publique, sera élargie à plusieurs centaines d’administrations, comme Pôle Emploi, ou à d’autres entreprises, comme celles de la grande distribution. Ces opérateurs qui fournissent des services essentiels au fonctionnement de l’économie et de la société devront appliquer les règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ils devront informer « sans délai » l’ANSSI des incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent, sous peine d’une amende de 75 000 euros.
En fonction du problème de sécurité, les autorités pourront informer le public « lorsque cette information est nécessaire pour prévenir ou traiter un incident« .

A côté des OSE, la loi introduit également des règles pour renforcer la cybersécurité des fournisseurs de services numériques, comme les places de marché en ligne, les moteurs de recherche en ligne et les services cloud.

 

Auteur : La Rédaction avec AFP