Septembre 2016 : L’adoption de la directive NIS (Network and Information Security) par Donatienne Blin, Avocat, SEA AVOCATS

Publié le : 14/09/2016 14 septembre Sept. 2016
La directive NIS 1 (Network and Information Security) a été adoptée le 6 juillet 2016 par le Parlement européen et le Conseil. Les Etats membres auront jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

Ce texte intervient dans un contexte où la fréquence et l'impact des incidents de cybersécurité dont les entreprises sont victimes ne cessent de croître.

Selon la directive, une perturbation des réseaux et des systèmes, qu'elle soit intentionnelle ou non et indépendamment du lieu où elle se produit dans un état membre, pourrait avoir des conséquences sur l’ensemble des autres états membres.

L’objectif de la directive est donc d’établir des mesures harmonisées visant à assurer dans l’Union un niveau élevé et commun de sécurité des réseaux et des systèmes d’information.

La transposition de la directive sera assurée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) avec l’aide de l’ENISA (Agence européenne chargée de la sécurité des réseaux et des systèmes d’information).

En synthèse, les principaux apports de cette directive sont les suivants :

-    La désignation d’ « Autorités nationales compétentes » et d’un « point de contact unique »

Les états membres devront désigner une ou plusieurs autorités nationales spécialisées en matière de sécurité des réseaux et des systèmes d'information.

En France, c’est l’ANSSI, créée par décret le 7 juillet 2009, qui est prévue pour assurer cette fonction.

Les états devront également désigner un « point de contact national unique ». Celui-ci devra exercer une « fonction de liaison pour assurer une coopération transfrontalière entre les autorités des États membres », ainsi qu'avec le « Groupe de coopération » et le « Réseau des CSIRT » (cf. ci-dessous).

Les états membres rendront publique la désignation de l'Autorité nationale compétente et du point de contact unique.

-    La création d’un « Réseau de centre de réponse aux incidents de sécurité informatiques » (CSIRT)

Chaque état membre devra désigner un ou plusieurs CSIRT. En France, c’est le CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) qui assurera cette fonction.

Le « Réseau des CSIRT» devra contribuer au renforcement de la confiance entre les États membres et « promouvoir une coopération rapide et effective au niveau opérationnel ».

Les CSIRT seront notamment chargés de la gestion des incidents (ils recevront les notifications) et des risques selon un processus défini. Ils auront également pour tâche d’aider les états membres à faire face aux incidents transfrontaliers, de publier des lignes directrices pour « faciliter la convergence des pratiques opérationnelles entre les différents états ».

Ils devront enfin avoir accès « à une infrastructure d'information et de communication adaptée, sécurisée et résiliente au niveau national ».

Le secrétariat du réseau des CSIRT tiendra à jour un site internet mettant à la disposition du public des informations générales sur les principaux incidents qui sont survenus dans toute l'Union.

-    La création d’un « Groupe de coopération » :

Ce Groupe doit réunir les représentants des états membres, de la Commission et de l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA).

Il aura pour mission de « soutenir et de faciliter la coopération stratégique entre les États membres », de faciliter l’échange d’information et de renforcer la confiance mutuelle.

A titre d’exemple, ce Groupe aidera les états membres à suivre une approche cohérente dans le processus d'identification des opérateurs de services essentiels. Il sera chargé de fournir des orientations stratégiques, d’évaluer les stratégies nationales mises en place par les états membres en matière de sécurité, ou encore plus généralement d’échanger sur les bonnes pratiques dans le domaine de la sécurité informatique.

-    Des exigences de sécurité spécifiques et renforcées pour les « Opérateurs de services essentiels » et les « Fournisseurs de services numériques »

Selon la directive, les « Opérateurs de services essentiels » sont des opérateurs publics ou privés qui (i) fournissent « un service essentiel au maintien d'activités sociétales et/ou économiques critiques », (ii) qui sont « tributaires des réseaux et des systèmes d'information », et (iii) pour lesquels « un incident aurait un effet disruptif important sur la fourniture du service ».

En France, cette définition est proche de celle d’ « Opérateurs d’importance vitale » (OIV) déjà prévue dans la loi de programmation militaire du 19 décembre 2013, et dont les entités y répondant sont soumises à des obligations de sécurité spécifiques.

Les secteurs concernés sont l’énergie, les transports, les banques et infrastructures de marchés financiers, la santé, les fournisseurs d’eau potable et les infrastructures numériques.   

Chaque état doit les identifier et constituer une liste, qui devra être mise à jour tous les deux ans.

Les « Fournisseurs de services numériques » relevant de la directive « sont ceux qui sont considérés comme offrant des services numériques sur lesquels de nombreuses entreprises de l'Union s'appuient de plus en plus ». Il s’agit précisément des marchés en ligne (site d’e-commerce comme Amazon), des moteurs de recherche et des fournisseurs de services Cloud.

Les Opérateurs de services essentiels et les Fournisseurs de services numériques devront mettre en œuvre les mesures techniques et organisationnelles renforcées pour prévenir les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent dans le cadre de leurs activités.

Ils seront également astreints à une obligation de notification à l'Autorité compétente ou au CSIRT.

Les exigences imposées aux fournisseurs de services numériques seront moins contraignantes que celles applicables aux opérateurs de services essentiels.

-    La définition d’une « Stratégie nationale »

La directive prévoit un renforcement des obligations de sécurité imposées aux états membres. Elle impose notamment à chaque état la création d’une « stratégie nationale en matière de sécurité des réseaux et des systèmes d'information ».

Cette stratégie doit notamment inclure les objectifs et priorités de la stratégie, un cadre de gouvernance, l'inventaire des mesures en matière de préparation, d'intervention et de récupération, un plan d'évaluation des risques, ou encore la liste des acteurs chargés de la mise en œuvre de la stratégie nationale.

En France, la « stratégie nationale pour la sécurité du numérique » a fait l’objet de travaux interministériels coordonnés par l’ANSSI. Cette stratégie nationale a été publiée le 16 octobre 2015.

1- Directive (UE) 2016/1148 du parlement européen et du conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'union

Donatienne Blin, Avocat,
SEA AVOCATS

Historique

<< < 1 > >>