Directive NIS : enjeux pour les OSE (OIV en France)

La transposition de la directive NIS entrée en vigueur le 19 juillet 2016, doit intervenir au plus tard le 9 mai 2018.

La directive NIS (1) (Acronyme de Network and Information Security) adoptée par le Parlement européen et le Conseil le 6 juillet 2016 et dont les dispositions d’appliqueront dans les Etats membres de l’Union dès le 10 mai 2018, définit des critères permettant aux Etats de l’Union d’évaluer si une entité fournit ou non des services nécessaires au maintien de fonction sociétales ou économiques critiques.

Toutefois, au cours de la période de transposition, le groupe de coopération et le réseau des centres de réponse aux incidents de sécurité informatiques (CSIRT) devront commencer à s’acquitter des tâches définies à l’article 11, paragraphe 3 (Points a) à l)) et à l’article 12, paragraphe 3 (Points a) à j)), au plus tard le 9 février 2017.

L’harmonisation minimale et l’évaluation biennale

La directive NIS opère une harmonisation minimale. En effet, les Etats membres peuvent adopter ou maintenir des dispositions dans leur droit national pour atteindre un niveau de sécurité plus élevé que celui obtenu avec la mise en œuvre de la directive NIS.

Au plus tard le 9 mai 2018, puis tous les deux ans à compter de cette date, les Etats membres de l’Union devront communiquer à la Commission les informations nécessaires pour l’évaluation de la mise en œuvre de la directive NIS.

La directive NIS est sans préjudice des mesures prises par les Etats pour préserver leurs fonctions étatiques essentielles et en particulier la sécurité nationale et en particulier la divulgation des informations considérées comme contraire aux intérêts essentiels de sécurité et de maintien de l’ordre public (détection des infractions pénales, enquêtes et poursuites) (3).

L’opérateur de services essentiels

L’article 4 paragraphe 4) de la directive NIS donne une définition légale de l’opérateur de services essentiels (OSE). Il s’agit de toute « entité publique ou privée » dans l’un des secteurs ou sous-secteurs décrits ci-après, qui répond aux trois critères d’identification de l’article 5 paragraphe 2) de la directive, à savoir :

• l’entité fournit un service qui est essentiel au maintien d’activités sociales et économiques critiques ;
• la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
• un incident aurait un effet disruptif important sur la fourniture dudit service.

A compter du 9 mai 2018, les Etats de l’Union auront également l’obligation de procéder à un réexamen ainsi qu’à une mise à jour de la liste des opérateurs de services essentiels identifiés.

Les secteurs ou sous-secteurs concernés

Les secteurs au sein desquels les opérateurs de services essentiels fournissent des services tributaires des réseaux et des systèmes d’information sont au nombre de 7. Il s’agit des secteurs de l’énergie, les transports, les banques, les infrastructures de marchés financiers, la santé, la fourniture et distribution d’eau potable, les infrastructures numériques.

Deux secteurs comportent des sous-secteurs, l’énergie (sous-secteurs de l’électricité, du pétrole et du gaz) et des transports (sous-secteurs du transport aérien, du transport ferroviaire, du transport par voie d’eau, du transport routier).

La France a quant à elle identifié 12 secteurs, ainsi que des sous-secteurs. La législation française permet donc d’atteindre un niveau de sécurité plus élevé en couvrant plus de secteurs, ainsi que des sous-secteurs.

La stratégie nationale en matière de sécurité des réseaux et des systèmes d’information

La directive NIS impose à tous les Etats membres de l’Union d’adopter une stratégie nationale en matière de sécurité des réseaux et des systèmes d’information définissant les objectifs stratégiques ainsi que les mesures politiques et réglementaires en vue de parvenir à un niveau élevé de sécurité, couvrant les secteurs et sous-secteurs (Annexe II de la Directive) et les services numériques (a) (place de marché en ligne, moteurs de recherche en ligne, service d’information en nuage) fournis par toute personne morale fournissant un service numérique.

La directive NIS définit également le contenu minimal de toute stratégie nationale d’un Etat membre de l’Union qui doit contenir les points suivants :

• les objectifs et priorités de la stratégie nationale ;
• le cadre de gouvernance permettant d’atteindre les objectifs et priorités ainsi que les rôles et responsabilités des organismes publics et des acteurs privés ;
• l’inventaire des mesures de préparation, d’intervention et de récupération y compris les mesures de coopération entre acteurs des secteurs public et privé ;
• un aperçu des programmes d’éducation et surtout de sensibilisation et de formation par rapport aux objectifs de la stratégie nationale ;
• un aperçu des plans de recherche et de développement ;
• un plan d’évaluation des risques ;
• une liste des acteurs chargés de la mise en œuvre de la stratégie nationale.

Enfin, les Etats membres de l’Union qui ont l’obligation de communiquer leur stratégie à la Commission dans le délai de trois mois à compter de son adoption, peuvent toutefois exclure de cette communication les éléments de la stratégie relatifs à la sécurité nationale.

La mise en place d’un groupe de coopération stratégique et d’échange d’informations entre Etats de l’Union

La directive NIS institue un groupe de coopération stratégique et d’échange d’informations entre Etats de l’Union afin de renforcer la confiance et promouvoir la coopération opérationnelle entre Etats de l’Union.

Le groupe de coopération stratégique est composé des représentants des Etats membres de l’Union, de la Commission et de l’ENISA (4).

L’établissement des centres de réponse aux incidents de sécurité informatiques (CSIRT) et du réseau des CSIRT

Est également institué par la directive NIS, un réseau des centres de réponse aux incidents de sécurité informatiques dénommé réseau des CSIRT. Chaque Etat de l’Union a l’obligation de désigner un ou plusieurs centres de réponse aux incidents de sécurité informatiques. Les obligations et tâches de chaque CSIRT doivent être définies soit par une politique soit par la réglementation nationale.

Les obligations assignées aux CSIRT sont de veiller à un niveau élevé de disponibilité des services de communication, d’assurer la continuité des opérations. Les tâches de chaque CSIRT sont notamment le suivi des incidents, l’activation des mécanismes d’alerte précoce, la diffusion d’informations sur les risques et incidents, l’intervention en cas de survenance d’incident, l’analyse dynamique des risques et incidents, la participation au réseau des CSIRT et la coopération avec les acteurs du secteur privé.

Les autorités nationales et point de contact unique

Chaque Etat membre de l’Union doit désigner une ou plusieurs autorités nationales couvrant les secteurs et les services, objet de la directive NIS ainsi qu’un point de contact national unique. Lorsqu’un Etat désigne une seule autorité nationale compétente, celle-ci est automatiquement désignée comme point de contact national unique.

Le législateur européen a émis le souhait que les Etats membres veillent à ce que toute autorité compétente et point de contact disposent de ressources suffisantes permettant la réalisation des tâches respectives leur incombant de manière effective et efficace.

Lorsque l’autorité compétente nationale, le ou les CSIRT, le point de contact unique sont distincts, ces entités doivent naturellement coopérer afin de respecter les obligations de la directive NIS.

L’instauration d’exigences de sécurité et de notification d’incidents pour les opérateurs de services essentiels

La directive NIS définit très précisément les obligations qui incombent aux opérateurs de services essentiels. Les opérateurs de services essentiels doivent :

• prendre les mesures techniques et organisationnelles nécessaires, proportionnées et adaptées à la gestion des risques menaçant la sécurité des réseaux et des systèmes d’information ;
• prendre les mesures appropriées pour prévenir les incidents de compromission de la sécurité des réseaux et systèmes d’information ;
• veiller à notifier à l’autorité compétente au plan national ou au CSIRT et sans retard injustifié, les incidents ayant un impact significatif sur la continuité des services essentiels.

L’un des points de débats précédant la publication de la directive NIS, concernait le périmètre et le contenu des notifications d’incidents par l’opérateur de services essentiels. La directive NIS ne se prononce pas sur le contenu de la notification d’incident incombant à l’opérateur de services essentiels. La directive NIS laisse finalement à l’opérateur de services essentiels le soin de déterminer quelles sont les informations permettant à l’autorité compétente ou au CSIRT de déterminer si l’incident a un impact au niveau transfrontalier.

Il incombe à l’autorité nationale compétente ou au CSIRT de préserver la sécurité, la confidentialité des informations communiquées ainsi que les intérêts commerciaux de l’opérateur de services essentiels.

La directive prévoit toutefois que de concert au sein du groupe de concertation, les autorités compétentes peuvent élaborer et adopter des lignes directrices précisant les circonstances dans lesquelles les opérateurs de services essentiels sont tenus de notifier les incidents.

L’instauration d’exigences de sécurité et notification d’incidents pour les fournisseurs de services numériques

Le fournisseur de service numérique est défini par la directive NIS comme toute personne morale qui fournit un service numérique.

Le chapitre V de la directive NIS ne s’applique pas aux microentreprises et petites entreprises au sens de la recommandation de la Commission n° 2003/361/CE du 06 mai 2003 (5).

Un fournisseur de service numérique est considéré comme relevant de la compétence d’une Etat membre, s’il y a son établissement principal ou lorsque son siège social se trouve dans cet Etat membre de l’Union. Un fournisseur qui n’est pas établi sur un Etat membre de l’Union mais fournit néanmoins des services numériques sur le territoire de l’un des Etats membres de l’Union a l’obligation de désigner un représentant dans l’Union.

La désignation d’un représentant dans l’Union est sans préjudice des actions en justice qui pourraient être intentées directement contre le fournisseur de service.

Pour les trois types de services numériques (places de marché et moteurs de recherche en ligne et services informatique en nuage), les fournisseurs de services doivent également identifier les risques menaçant la sécurité des réseaux et des systèmes d’information utilisés pour fournir leurs services numériques et prendre les mesures nécessaires, adaptées et proportionnées pour les gérer.

Les mesures prises doivent, compte tenu de l’état des connaissances, garantir un niveau de sécurité prenant en compte les points suivants :

• la sécurité de systèmes et des installations ;
• la gestion des incidents ;
• la gestion de la continuité d’activités ;
• le suivi, l’audit et le contrôle ainsi que le respect des normes internationales.

Comme pour les opérateurs de services essentiels, les fournisseurs de services en ligne précités doivent également notifier, sans retard injustifié, à l’autorité compétente ou au CSIRT les incidents afin de garantir la continuité de ces services.

La notification par le fournisseur de service numérique d’un incident n’accroît pas la responsabilité de la partie qui en est à l’origine.

La directive NIS apporte toutefois un tempérament à l’obligation faite au fournisseur de service de notifier un incident : l’obligation de notifier ne s’impose au fournisseur de service que lorsqu’il a accès aux informations nécessaires pour l’évaluation de l’impact de l’incident.

De plus, lorsqu’un opérateur de services essentiels fait appel à un fournisseur de service numérique pour fournir un service essentiel au maintien de fonctions critiques, tout impact significatif sur la continuité des services doit être notifié par l’opérateur de services essentiels et non par le fournisseur de service.

L’impact de la directive NIS sur notre actuel cadre juridique

La notion d’ installation d’importance vitale est apparue très tôt dans notre droit avec l’ordonnance du 29 décembre 1953 (2), qui a pour objet le renforcement de la protection des installations d’importance vitale.

La France fait donc figure de pionner au sein de l’UE, puisqu’elle avait identifié dans la loi de programmation militaire du 19 décembre 2013 pour les années 2014 à 2019 un cadre juridique spécifique visant à consolider la sécurité des points d’importance vitale (PIV).

Les différences entre le cadre juridique européen et français existant, avant publication de la directive NIS, porte avant tout sur les concepts utilisés. La directive utilise la notion d’ « Opérateur de service essentiel (OSE) » tandis que les arrêtés sectoriels français utilisent la notion d’« opérateur d’importance vitale (OIV) ».

L’ensemble des exigences en matière de sécurité des activités d’importance vitale figurent dans l’instruction générale interministérielle relative à la sécurité des activités d’importance vitale du 7 janvier 2014 (6).

La France a dès le 7 juillet 2009, décidé la création d’un service à compétence nationale, qui est l’ANSSI. L’ANSSI étant l’autorité nationale en matière de sécurité des systèmes d’information. La France devra dans le cadre de la transposition de la directive NIS simplement notifier à la Commission, si le point de contact unique en France est également l’autorité compétente nationale, à savoir l’ANSSI.

Les dispositions qui sont impactées par la transposition de la directive NIS sont :

• celles des articles L.1332-1 et suivants de la section I du titre II du Code de la défense ;
• celles des articles L.1332-6-1 et suivants du Code de la défense relatives à la protection des installations d’importance vitale ;
• le décret 2015-351 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense ;
• les trois arrêtés sectoriels relatifs au secteur de l’alimentation, au secteur de la gestion de l’eau et au secteur des produits de santé.

Le décret 2015-350 du 27 mars 2015 qui est relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale n’est donc pas impacté par la directive NSI du fait qu’il concerne les mesures prises par la France pour préserver les fonctions étatiques et notamment la sécurité nationale.

Compte tenu des différences de définitions entre les notions d’opérateur de services essentiels et d’opérateur d’importance vitale utilisée dans les arrêtés sectoriels de la législation française, et dans la mesure où la directive doit être transposée au plus tard le 9 mai 2018, les adaptations à réaliser pour adapter notre législation pour la transposition de la directive NIS sont mineures.

En effet, les décrets précisant les conditions de mise en œuvre de la loi de programmation militaire sont compatibles avec la directive NIS.

En outre, la directive NIS étant une directive d’harmonisation minimale, la France reste libre d’adopter ou de maintenir des dispositions en vue de parvenir à un niveau de sécurité plus élevé que les exigences de la directive. La seule exception résulte des dispositions de l’article 16 paragraphe 10 de la directive NIS qui prévoit que les Etats membres ne peuvent pas imposer aux fournisseurs de service numérique d’autres exigences liées à la sécurité ou aux notifications.

Le retroplanning de transposition de la directive NIS.

Didier Gazagne
Lexing Cybersecurite et cyberdefense

(a) La notion de « service numérique » s’entend d’un service au sens de l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535.
(1) Directive (UE) 2016/1148 du 6-7-2016.
(2) Ordonnance n° 58-1371 du 29-12-1953 tendant à renforcer la protection des installations d’importance vitale.
(3) Directive (UE) 2015/1535 du Parlement européen et du Conseil prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information.
(4) ENISA (European Union Agency for Network and Information Security) – Agence européenne chargée de la sécurité et des réseaux de l’information (Cybersécurité).
(5) Recommandation de la Commission du 6-5-2003 concernant la définition des micro, petites et moyennes entreprises [notifiée sous le numéro C(2003) 1422] (JO L 124 du 20.5.2003, p. 36-41).
(6) Instruction générale interministérielle relative à la sécurité des activités d’importance vitale.