Transposition de la directive NIS : des précisions sur les opérateurs de services essentiels

Le décret d’application pour la directive NIS (directive européenne Network and Information System) a été publié au journal officiel le 25 mai dernier. Cette nouvelle étape est l’occasion de préciser les mesures réglementaires et détailler les secteurs d’activité concernés dans la cadre de la protection des services essentiels.

L’objectif principal de ce texte est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information au sein de l’Union européenne. Structurée autour de 4 axes, la directive prévoit notamment le renforcement des capacités nationales de cybersécurité et l’établissement d’un cadre de coopération volontaire entre les Etats membres.

Directive NIS : faire face collectivement à la cybermenace

La directive NIS « vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales de nation, pour faire face collectivement aux risques de cyberattaques », a déclaré l’ANSSI.

La directive NIS a été adoptée par le Parlement européen en juillet 2016. La loi transposant le texte en droit français a été promulguée en février 2018. Le décret permet à la France de préciser certains éléments de la loi et notamment d’établir une liste de services essentiels. « Cette liste désigne de nombreux secteurs essentiels au fonctionnement de l’économie et de la société française, dont les assurances, la logistique les organismes sociaux ou encore la restauration collective », a précisé l’ANSSI.

Des précisions sur les Opérateurs de services essentiels

A partir de cette liste, le Premier ministre sera chargé de désigner les opérateurs de services essentiels (OSE). Ces organismes seront tenus d’appliquer un certain nombre de règles dictées par l’ANSSI. « Ces règles […] définissent une méthodologie innovante pour la maîtrise du risque cyber basée sur une approche de management des risques », a expliqué l’Agence de sécurité.

Les critères d’identification des opérateurs de services essentiels sont les suivants:

• Une entité qui fournit un service qui est essentiel au maintien d’activité sociétales et/ou économiques critiques
• La fourniture de ce service est tributaire des réseaux et des systèmes d’information
• Un incident aurait un effet disruptif important sur la fourniture dudit service

Une fois désigné, un opérateur de service essentiel devra :

• Identifier un représentant auprès de l’ANSSI
• Identifier son ou ses système(s) d’information essentiel
• Appliquer dans des délais impartis des règles de sécurité
• Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les Etats membres concernés
• Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de services qualifiés.