Où en sont les Etats membres dans la mise en place des exigences imposées par la Directive NIS (ou SRI en français) sur la sécurité des réseaux et des systèmes d’information ? Le 28 octobre 2019, la Commission européenne a publié un rapport évaluant la cohérence de l’approche adoptée par les Etats membres pour identifier les opérateurs de services essentiels (OSE) conformément à l’article 23 de ladite directive.
La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information (SI) dans l’Union européenne (UE) est le premier instrument du marché intérieur visant à améliorer la résilience de l’UE contre les risques liés à la cybersécurité. Le texte de la directive prévoit que la Commission réexamine périodiquement le fonctionnement global de la directive et évalue la liste des secteurs et sous-secteurs dans lesquels sont identifiés des OSE et les types de services numériques couverts par la directive. Le premier rapport doit être présenté avant le 9 mai 2021.
Renforcer les capacités de l’Europe en matière de cybersécurité
Cette directive européenne vise à garantir la continuité de services permettant le bon fonctionnement de l’économie de l’Union européenne et de la société. Le texte introduit à cet effet des mesures concrètes destinées à renforcer les capacités en matière de cybersécurité dans tout l’Union et à atténuer les menaces croissantes qui pèsent sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés.
Le 1er chapitre de la directive prévoit la création d’un cadre réglementaire pour renforcer la cybersécurité des Opérateurs de services essentiels. Un OSE est un opérateur tributaire des réseaux ou systèmes d’information, qui fournit un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.
Pour être qualifié d’OSE, un opérateur doit répondre à 3 critères :
- Ce service est essentiel au maintien d’activités sociétales ou économiques critiques
- La fourniture de ce service est tributaire des réseaux et des systèmes d’information
- Un incident sur ces réseaux et systèmes aurait un effet disruptif important sur la fourniture dudit service
L’identification des Opérateurs de services essentiels par les Etats membres
Dans son évaluation, publiée le 28 octobre dernier, la Commission européenne s’est concentrée sur l’identification des opérateurs de services essentiels par les Etats membres. « L’obligation d’identifier les opérateurs de services essentiels a donné lieu à une évaluation globale des risques associés aux opérateurs dont les activités sont critiques et aux réseaux et aux systèmes d’information modernes dans presque tous les Etats membres. Ce résultat peut être considéré comme une réussite pour l’ensemble de l’Union européenne au regard des objectifs de la directive », peut-on lire dans le rapport.
Elever au niveau juste la sécurité des réseaux et des SI
Fin 2018, la France avait identifié 122 OSE au stade de l’échéance du 9 novembre 2018 fixée par la directive NIS. « La démarche de la France, s’appuyant sur l’expérience positive des démarches conduites, avec les opérateurs d’importance vitale depuis 2013, a pour ambition d’élever au juste niveau la sécurité des réseaux et des systèmes d’information, en national mais également à l’échelle européenne », avait alors assuré Guillaume Poupard, Directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Mais tous les pays membres n’en sont pas au même stade d’avancement.
Les pays membres de l’UE devaient achever leur processus d’identification de leurs OSE avant la publication du rapport de la Commission. Cinq pays (Belgique, Autriche, Hongrie, Roumanie, Slovénie) n’ont cependant rendu que des données partielles concernant l’identification des OSE qu’ils jugent essentiels pour les secteurs clés de l’énergie, des transports, des banques et marchés financiers, de la santé, de l’eau potable et des infrastructures numériques.
Identification des Opérateurs de services essentiels : des disparités au sein de l’UE
Dans son rapport, la Commission dénonce des disparités entre les Etats membres. En effet, ils utilisent des seuils et des approches différents pour évaluer leurs OSE. De plus, « les interprétations quant à la nature d’un service essentiel au titre de la directive SRI divergent » selon les pays. « Il devient dès lors difficile de comparer les listes de services essentiels », regrette la Commission. D’après l’exécutif européen, certains pays ont également identifié des OSE dans des secteurs non couverts par la directive « ce qui montre bien que des secteurs autres que ceux pris en compte par la directive SRI sont potentiellement vulnérables à des cyber incidents ».
