Directive NIS 1/2 : Quels enjeux juridiques ?

Celle-ci a pour objectifs de renforcer le niveau de sécurité des réseaux et des systèmes d’informations essentiels (SIE) ainsi que d’améliorer le partage d’informations au niveau européen.

Les états membres de l’Union européenne avaient jusqu’au 9 mai 2018 pour transposer la directive NIS au sein de leur cadre réglementaire national. En France, cette intégration s’est effectuée en plusieurs étapes :

• la publication, le 28 février 2018, d’une loi transposant¹ les obligations aux opérateurs de services essentiels (OSE) et aux fournisseurs de services numériques (FSN) ainsi que les sanctions en cas de non-respect de celles-ci ;
• la publication, le 25 mai 2018, d’un décret d’application², publié au journal officiel, comprenant en annexe la liste des secteurs d’activité, des types d’opérateurs ainsi que des services essentiels concernés ;
• la publication, le 1^er août 2018, de l’arrêté relatif au coût* d’un contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;

la publication, le 14 septembre 2018, de l’arrêté³ fixant les règles de sécurité à mettre en place et à respecter pour les OSE et les FSN.

La notion d’opérateurs d’importance vitale (OIV) a été créée en France par la loi de programmation militaire (LPM). La directive NIS ajoute deux nouvelles catégories d’acteurs, les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN).

Un FSN est défini comme une « une personne morale qui fournit un service numérique ». Aujourd’hui, il s’agit :

• des places de marché,
• des moteurs de recherche,
• des opérateurs de « services d’informatique en nuage » autrement dit, le cloud.

Un OSE est une entité publique ou privée travaillant dans l’un des secteurs identifiés par la NIS. Il fournit un service essentiel au maintien d’activités sociétales et/ou économiques critiques pour lequel un incident cyber aurait un effet disruptif important sur la fourniture dudit service. La liste des secteurs et des services essentiels est fournie dans le décret d’application de la loi de transposition.

Les ministères concernés par les secteurs d’activités référencés doivent établir avec l’aide de l’ANSSI une liste de sociétés qui seront désignées en tant qu’opérateur de services essentiels (OSE). Contrairement à celle des OIV, elle ne relève pas du secret Défense. Elle pourrait faire l’objet d’un décret au Conseil d’Etat et devrait être actualisée à intervalles réguliers (au moins tous les deux ans).

En outre, un arrêté unique pour tous les secteurs, contenant l’ensemble des règles de sécurité applicables aux OSE, a été publié mi-septembre permettant ainsi aux sociétés relevant de ce cadre réglementaire d’amorcer leur démarche de mise en conformité. En France, une première liste comprenant 122 entreprises a été transmise, à terme ce n’est pas moins de 1000 entreprises qui devraient être ainsi recensées.

La loi détaille trois grandes obligations envers les OSE :

• notification à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) des incidents cyber affectant les systèmes supportant les services essentiels ;
• mise en œuvre des règles de sécurité définies par les services du Premier Ministre ;
• coopération des OSE lors de contrôles réalisés par l’ANSSI ou par un prestataire de services de confiance qualifié (PASSI).

Les OSE sont passibles d’une amende de 75 000 € en cas de non-déclaration d’incident, 100 000 € en cas de non-respect des obligations de sécurité, et 125 000 € si la société a fait obstacle aux opérations de contrôle menées par l’ANSSI ou au prestataire désigné. Nous sommes loin des montants record des amendes que la Commission nationale de l’informatique et des libertés (CNIL) peut imposer aux sociétés ne respectant pas le Règlement européen général sur la protection des données (RGPD). L’amende peut en effet atteindre entre 2 à 4% du chiffre d’affaires mondial d’une entreprise.

L’ANSSI, en charge de définir pour la France les secteurs d’activité, les types d’opérateurs ainsi que les services essentiels concernés par le décret d’application de la directive NIS, a vu les choses en grand. L’annexe du décret d’application français recense :

• 15 secteurs d’activité ;
• 58 types d’opérateurs différents ;
• 94 services essentiels.

Ce sont 8 secteurs d’activité et 39 services essentiels de plus par rapport aux exigences initiales de la directive NIS. Celle-ci introduit également de nouveaux secteurs qui n’étaient pas pris en compte par la Loi de Programmation Militaire (LPM) comme la restauration ou le social. Pour un certain nombre de secteurs, comme l’énergie ou le transport, les activités concernées ont également été étendues.

L’importance des audits

Le décret d’application impose aux OSE un certain nombre d’obligations fortement similaires à celles que l’on retrouve dans la LPM, comme la nomination d’un référent ou la communication d’informations à l’ANSSI. Néanmoins ce décret introduit son lot de nouveautés, a minima sur deux points, et non des moindres.

L’article 6 de la directive prévoit en effet que « le Premier ministre, sur proposition du ministre dont le domaine de compétence recouvre un secteur ou sous-secteur d’activités (…) met fin à la désignation des opérateurs de services essentiels qui ne satisfont plus aux critères (…) ». C’est la première fois qu’est évoquée la possibilité pour une société de sortir d’une liste établie par les instances gouvernementales. Dans le cadre de la LPM, ce processus est en effet incertain.

Deuxième point d’importance, la mise en place d’un contrôle : les articles 13, 14 et 15 fixent le processus qui sera mis en place pour contrôler que les OSE ont bien appliqué les règles de sécurité. Il est notamment prévu l’établissement d’une convention de service entre l’organisme contrôleur et l’organisme contrôlé. L’OSE peut faire valoir ses observations directement dans le rapport et la société en charge du contrôle peut se faire auditer par l’ANSSI.

Cette procédure se rapproche, par certains côtés, à ce que l’on pourrait rencontrer dans le cadre d’un audit de certification ISO 27001.

Il reste néanmoins une question à laquelle le document ne répond pas : au-delà du fait que seules les sociétés qualifiées prestataires d’audit de la sécurité des systèmes d’information qualifiés (PASSI) et l’ANSSI pourront faire les audits de contrôle, ces sociétés devront-elles être labellisées spécifiquement sur la directive NIS comme c’est aujourd’hui le cas sur la LPM avec un nombre très restreint de sociétés référencées PASSI LPM ?

Liens utiles :

¹https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000036644772&dateTexte=&categorieLien=id

²https://www.legifrance.gouv.fr/eli/decret/2018/5/23/PRMD1809740D/jo/texte

³ https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037444012

*1200 euros/jour