Publication de l’arrêté des règles de sécurité s’appliquant aux opérateurs de services essentiels (OSE)

La directive Network and Information System Security (NIS) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la Nation, pour faire face collectivement aux risques de cyberattaques. Elle définit notamment le statut d’Opérateur de services essentiels (OSE), qui doivent identifier leurs systèmes d’information essentiels sur lesquels ils devront appliquer des règles de sécurité et déclarer à l’ANSSI les incidents de sécurité survenus. L’arrêté publié le 29 septembre 2018 précise ces règles de sécurité ainsi que leurs délais d’application.

Les règles sont les mêmes pour tous les opérateurs de services essentiels et s’inscrivent dans une véritable approche de management des risques, déclinée en quatre chapitres :

• La gouvernance de la sécurité des réseaux et systèmes d’information ;
• La protection de la sécurité des réseaux et systèmes d’information ;
• La défense de la sécurité des réseaux et systèmes d’information ;
• La résilience des activités.

Ces règles de sécurité sont conformes aux recommandations émises par le groupe de coopération créé dans le cadre de la Directive NIS et aux échanges duquel l’ANSSI prend une part active. Leur contenu est par ailleurs directement inspiré des règles mises en œuvre par les opérateurs d’importance vitales, règles élaborées en lien avec les opérateurs et les ministères concernés.

Une question concernant les OSE et leurs obligations ? Consultez notre foire aux questions.