Directive NIS

Présentée au Sénat par le Secrétaire d’Etat au numérique  la transposition de la directive européenne 2016/1148, dite directive NIS, est adoptée.

Le projet de loi de transposition de la directive européenne 2016/1148 du 6 juillet 2016 validé en première lecture.

Cette directive est destinée à assurer un « niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne ». Les « opérateurs de services essentiels » et certains fournisseurs de services numériques seront bien soumis à des exigences de sécurité et de notification d’incidents de sécurité.

Ainsi « Ce projet de loi nous offre l’occasion de mieux nous protéger collectivement face à des attaques informatiques de plus en plus nombreuses et de plus en plus sophistiquées, dont les effets, qui restaient autrefois confinés à l’espace numérique, peuvent désormais avoir des impacts potentiellement catastrophiques dans le monde physique. » indique le Secrétaire d’Etat au numérique, Mounir Majoubi.

Structurée autour de quatre axes, la directive prévoit :

  • le renforcement des capacités nationales de cybersécurité. Les Etat membres devront notamment se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cybersécurité. Respectivement en France, l’ANSSI, le CERT-FR et la stratégie nationale pour la sécurité du numérique ;
  • l’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE via la création de
    • un « groupe de coopération » des Etats membres sur les aspects politiques de la cybersécurité ;
    • un « réseau européen des CSIRT » des Etats membres. Ce dernier visera notamment à faciliter le partage d’informations techniques sur les risques, vulnérabilités ;
  • le renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société via
    • la définition au niveau national de règles de cybersécurité auxquels ces derniers devront se conformer ;
    • l’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.
  • l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.

Cette directive s’inscrit dans le prolongement du dispositif de cybersécurité des opérateurs d’importance vitale (OIV) introduit par le législateur en 2013. Elle permettra de renforcer la protection de nombreux autres acteurs indispensables à la vie quotidienne des français. Beaucoup de ces acteurs, publics comme privés, demeurent en effet très vulnérables aux attaques informatiques.

Ainsi, le projet de loi prévoit que les opérateurs qui fournissent des services essentiels au fonctionnement de notre économie et de notre société appliqueront des règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Ensuite, ces opérateurs devront informer l’ANSSI des incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent.

À cet effet, ce projet de loi introduit également un cadre destiné à renforcer la cybersécurité. Une cybersécurité concernant les fournisseurs de services numériques. Ils seront tenus d’assurer la sécurité de leurs services et de notifier leurs incidents à l’ANSSI.