Directive NIS et fournisseurs de services numériques

La directive du 6 juillet 2016, dite « directive NIS », a instauré la notion de fournisseurs de services numériques.

La directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union crée un régime juridique spécial applicable à la sécurité des réseaux et systèmes d’information des fournisseurs de services numériques.

Cette directive, par renvoi à la directive 2015/1535, définit le fournisseur de services numériques comme « une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ». Aux termes de l‘annexe III de la directive, il existe trois types de services numériques :

• les places de marché ;
• les moteurs de recherche en ligne ;
• les services d’informatique en nuage.

La directive NIS devra être transposée en droit interne au plus tard le 9 mai 2018.

Régime de sécurité des réseaux et systèmes d’information des fournisseurs de services numériques

Les réseaux et les services d’information jouent « un rôle crucial dans la société » (considérant 1 de la directive NIS). Un régime spécial de sécurité et de notification d’incidents (article 16 de la directive NIS) a donc été instauré et devra être transposé en droit interne par les Etats membres.

Ce régime s’articule principalement autour de trois axes.

Tout d’abord, les fournisseurs de services numériques devront identifier les risques qui menacent la sécurité des réseaux et des systèmes d’information (SI).

Ensuite, des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques devront être adoptées en prenant en considération les éléments suivants :

• la sécurité des systèmes et des installations ;
• la gestion des incidents ;
• la gestion de la continuité des activités ;
• le suivi, l’audit et le contrôle ;
• le respect des normes internationales.

Enfin, des mesures devront être prises pour évités les incidents, entendus comme « tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information ». L’impact d’un incident devra être évalué selon les critères suivants :

• le nombre d’utilisateurs touchés par l’incident, en particulier ceux qui recourent au service pour la fourniture de leurs propres services ;
• la durée de l’incident ;
• la portée géographique eu égard à la zone touchée par l’incident ;
• la gravité de la perturbation du fonctionnement du service ;
• l’ampleur de l’impact sur les fonctions économiques et sociétales.

De surcroît, l’incident devra être notifié à l’autorité nationale compétente ou à un Centre de réponse aux incidents de sécurité informatique (CSIRT).

Transposition de la directive NIS en droit français

Les travaux de transposition de la directive NIS en droit positif ont débuté à l’automne 2016. Ces travaux consistent à intégrer en droit interne la notion de fournisseur de services numériques. Mais aussi les règles de sécurité qui en découlent.

C’est l’Anssi (1) qui assurera le travail préparatoire de transposition, des règles spéciales applicables aux fournisseurs de services numériques pourraient être créées (2). Des règles spécifiques par types de fournisseurs de services numériques pourraient être élaborées ou des règles propres à chaque type de fournisseurs.

L’Anssi pourra mettre à profit les travaux de renforcement des règles de sécurité qui incombent aux opérateurs d’importance vitale (OIV). L’Anssi pourra s’appuyer également sur l’Enisa (3) en charge d’assister les Etats pour la mise en œuvre de la directive. Le détail des règles relatives à la sécurité des systèmes informatiques d’importance vitale a récemment été publié (4). Ainsi, étant donné l’importance de l’activité des fournisseurs de services numériques pour la société, ces règles de sécurité informatique pourraient trouver à s’appliquer à ces derniers.

Ces fournisseurs ne semblent pas pouvoir être considérés comme des OIV. Des règles strictes de sécurité informatique devraient leur être applicables. Les fournisseurs de services numériques notifieront à l’Anssi leurs « incidents significatifs ».

Cumul des statuts de fournisseurs de services numériques et d’opérateur de services essentiels (OSE)

Sauf situations particulières, il ne semble pas qu’un fournisseur de services numériques puisse être également un OSE. Toutefois, à titre d’exemple, d’un opérateur de réseau de communications électroniques qui fournit des services d’informatique en nuage pourra, dans certains cas, être qualifié d’OSE. La fourniture de services informatique en nuage fera également dudit opérateur un fournisseur de services numériques.

Pour certains opérateurs, les règles spéciales de sécurité propres aux régimes des OSE (5) et au régime des fournisseurs de services numériques (6) leur seront applicables. La PSSI (7) de nombreux opérateurs devra être modifiée pour intégrer ces nouvelles règles.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense

(1) L’ANSSI effectue déjà ces missions, son décret de création précise qu’elle « participe aux négociations internationales et assure la liaison avec ses homologues étrangers ».
(2) Décret 2009-834 du 7-7-2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information »
(3) ENISA : Agence européenne chargée de la sécurité des réseaux et de l’information.
(4) Post du 4-8-2016
(5) Code de la défense
(6) Directive (UE) 2016/1148 du 6-7-2016
(7) PSSI : Politique de Sécurité des Systèmes d’information