Publication du décret d’application pour la directive européenne Network and Information System Security (NIS)
C’est un nouveau pas qui est franchi avec la transposition de la Directive européenne Network and Information System Security (NIS) et que marque la publication du décret d’application au journal officiel, le 25 mai 2018. Il précise les mesures réglementaires et détaille notamment les secteurs d’activité concernés dans le cadre de la protection des services essentiels.
La directive Network and Information System Security (NIS) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la nation, pour faire face collectivement aux risques de cyberattaques. Le décret en Conseil d’Etat, publié le 25 mai 2018, précise les mesures d’application de la loi et renvoie à des arrêtés d’application pour certaines modalités.
La transposition de la directive NIS
En tant que cheffe de file nationale, l’ANSSI a suivi la négociation de la directive et pilote depuis plus d’un an les travaux de transposition, en concertation avec les ministères, les différentes parties-prenantes nationales et ses partenaires européens afin de répondre aux enjeux défendus par ce premier texte européen en matière de cybersécurité.
La Directive NIS intervient dans le prolongement du dispositif de cybersécurité des opérateurs d’importance vitale (OIV), introduit en France en 2013, et permet de renforcer la protection d’acteurs indispensables à la vie quotidienne de nos concitoyens.
Les grands objectifs de la directive NIS
La directive européenne NIS répond à 4 enjeux majeurs :
- La création d’un cadre de coopération européen ;
- La mise en place d’un cadre de gouvernance pour chaque État membre ;
- Le renforcement de la cybersécurité des opérateurs de service essentiel (OSE) ;
- Le renforcement la cybersécurité des fournisseurs de service numérique (FSN).
Tout savoir sur la directive NIS
Services essentiels et opérateurs de services essentiels (OSE)
La mise en œuvre de ce dispositif est progressive. Faisant le choix d’une transposition ambitieuse, la France a établi une liste de services essentiels, suite aux consultations menées par l’ANSSI avec des acteurs publics et privés et ses partenaires européens. Cette liste, que détaille le décret, désigne, au-delà de l’annexe II de la directive, de nombreux secteurs essentiels au fonctionnement de l’économie et de la société française dont les assurances, la logistique, les organismes sociaux ou encore la restauration collective.
Se fondant sur cette liste, le Premier ministre désignera des opérateurs de services essentiels, avec les recommandations des ministères du secteur d’activité concerné et de l’ANSSI.
Parmi leurs obligations, les OSE devront appliquer les règles de sécurité élaborées par l’ANSSI et conformes aux recommandations émises par le groupe de coopération dans le cadre de la Directive NIS et où l’ANSSI prend une part active. Ces règles, dont les chapitres sont repris dans la loi, définissent une méthodologie innovante pour la maîtrise du risque cyber basée sur une approche de management des risques :
- La gouvernance de la sécurité des réseaux et systèmes d’information ;
- La protection de la sécurité des réseaux et systèmes d’information ;
- La défense de la sécurité des réseaux et systèmes d’information ;
- La résilience des activités.
La publication prochaine d’arrêtés précisera les règles de sécurité ainsi que les modalités de déclaration auxquels les OSE et les FSN seront soumis.
Une question concernant les OSE et leurs obligations ? Consultez notre foire aux questions.
Fournisseurs de service numérique
Le décret en Conseil d’Etat renvoie au Règlement d’exécution 2018/151 de la Commission du 30 janvier 2018 qui précise les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.
Le décret précise également les obligations des Fournisseurs de service numérique vis-à-vis de l’ANSSI. Les FSN seront par ailleurs soumis à des contrôles de sécurité.
Pour tout renseignement complémentaire sur les Fournisseurs de service numérique, rendez-vous sur notre foire aux questions.