Directive NIS et fournisseurs de services numériques

Directive NIS et fournisseurs de services numériques (DSP)

La directive du 6 juillet 2016, dite « directive NIS », a instauré la notion de fournisseurs de services numériques.

La directive (UE) 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union crée un régime juridique spécial applicable à la sécurité des réseaux et systèmes d’information des fournisseurs de services numériques.

Cette directive, par renvoi à la directive 2015/1535, définit le fournisseur de services numériques comme « une personne morale qui fournit tout service de la société de l’information, c’est-à-dire tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ». Aux termes de l‘annexe III de la directive, il existe trois types de services numériques :

  • les places de marché ;
  • les moteurs de recherche en ligne ;
  • les services d’informatique en nuage.

La directive NIS devra être transposée en droit interne au plus tard le 9 mai 2018.

Régime de sécurité des réseaux et systèmes d’information des fournisseurs de services numériques

Les réseaux et les services d’information jouent « un rôle crucial dans la société » (considérant 1 de la directive NIS). Un régime spécial de sécurité et de notification d’incidents (article 16 de la directive NIS) a donc été instauré et devra être transposé en droit interne par les Etats membres.

Ce régime s’articule principalement autour de trois axes.

Tout d’abord, les fournisseurs de services numériques devront identifier les risques qui menacent la sécurité des réseaux et des systèmes d’information (SI).

Ensuite, des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques devront être adoptées en prenant en considération les éléments suivants :

  • la sécurité des systèmes et des installations ;
  • la gestion des incidents ;
  • la gestion de la continuité des activités ;
  • le suivi, l’audit et le contrôle ;
  • le respect des normes internationales.

Enfin, des mesures devront être prises pour évités les incidents, entendus comme « tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information ». L’impact d’un incident devra être évalué selon les critères suivants :

  • le nombre d’utilisateurs touchés par l’incident, en particulier ceux qui recourent au service pour la fourniture de leurs propres services ;
  • la durée de l’incident ;
  • la portée géographique eu égard à la zone touchée par l’incident ;
  • la gravité de la perturbation du fonctionnement du service ;
  • l’ampleur de l’impact sur les fonctions économiques et sociétales.

De surcroît, l’incident devra être notifié à l’autorité nationale compétente ou à un Centre de réponse aux incidents de sécurité informatique (CSIRT).

Transposition de la directive NIS en droit français

Les travaux de transposition de la directive NIS en droit positif ont débuté à l’automne 2016. Ces travaux consistent à intégrer en droit interne la notion de fournisseur de services numériques. Mais aussi les règles de sécurité qui en découlent.

C’est l’Anssi (1) qui assurera le travail préparatoire de transposition, des règles spéciales applicables aux fournisseurs de services numériques pourraient être créées (2). Des règles spécifiques par types de fournisseurs de services numériques pourraient être élaborées ou des règles propres à chaque type de fournisseurs.

L’Anssi pourra mettre à profit les travaux de renforcement des règles de sécurité qui incombent aux opérateurs d’importance vitale (OIV). L’Anssi pourra s’appuyer également sur l’Enisa (3) en charge d’assister les Etats pour la mise en œuvre de la directive. Le détail des règles relatives à la sécurité des systèmes informatiques d’importance vitale a récemment été publié (4). Ainsi, étant donné l’importance de l’activité des fournisseurs de services numériques pour la société, ces règles de sécurité informatique pourraient trouver à s’appliquer à ces derniers.

Ces fournisseurs ne semblent pas pouvoir être considérés comme des OIV. Des règles strictes de sécurité informatique devraient leur être applicables. Les fournisseurs de services numériques notifieront à l’Anssi leurs « incidents significatifs ».

Cumul des statuts de fournisseurs de services numériques et d’opérateur de services essentiels (OSE)

Sauf situations particulières, il ne semble pas qu’un fournisseur de services numériques puisse être également un OSE. Toutefois, à titre d’exemple, d’un opérateur de réseau de communications électroniques qui fournit des services d’informatique en nuage pourra, dans certains cas, être qualifié d’OSE. La fourniture de services informatique en nuage fera également dudit opérateur un fournisseur de services numériques.

Pour certains opérateurs, les règles spéciales de sécurité propres aux régimes des OSE (5) et au régime des fournisseurs de services numériques (6) leur seront applicables. La PSSI (7) de nombreux opérateurs devra être modifiée pour intégrer ces nouvelles règles.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense

(1) L’ANSSI effectue déjà ces missions, son décret de création précise qu’elle « participe aux négociations internationales et assure la liaison avec ses homologues étrangers ».
(2) Décret 2009-834 du 7-7-2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information »
(3) ENISA : Agence européenne chargée de la sécurité des réseaux et de l’information.
(4) Post du 4-8-2016
(5) Code de la défense
(6) Directive (UE) 2016/1148 du 6-7-2016
(7) PSSI : Politique de Sécurité des Systèmes d’information




La sécurité des systèmes d’information de santé

La sécurité des systèmes d’information de santéLes établissements de santé devront veiller à se conformer à de nouvelles normes en matière de sécurité.

Publication de la directive sur la sécurité des systèmes d’information

La directive européenne relative à la sécurité des systèmes d’information du 6 juillet 2016 (1), plus connue sous le nom « directive NIS », pour « network and information security », est entrée en vigueur le 9 septembre 2016, après sa publication au journal officiel le 19 juillet 2016.

Les Etats membres ont jusqu’au 9 mai 2018 pour transposer ladite directive. Les dispositions de la loi nationale devront être applicables au 10 mai 2018.

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est chargée de la transposition de la directive en lien avec l’ensemble des acteurs concernés (2).

L’Agence européenne chargée de la sécurité des réseaux et des systèmes d’information (ENISA) sera chargée d’aider les Etats membres pour la transposition de la directive.

La directive s’articule autour de quatre axes selon l’ANSSI :

  • le renforcement des capacités nationales de cybersécurité ;
  • l’établissement d’un cadre de coopération volontaire entre Etats membres de l’UE via la création de groupes et réseaux ;
  • le renforcement par chaque Etat de la cybersécurité d’« opérateurs de services essentiels » au fonctionnement de l’économie et de la société ;
  • l’instauration de règles européennes communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne.
Notion d’« opérateurs de services essentiels »

Les établissements de santé, y compris les hôpitaux et les cliniques privées, sont qualifiés comme « opérateurs de services essentiels » au sens de la directive.

Les Etats membres devront pour le 9 novembre 2018 au plus tard, identifier les opérateurs de services essentiels, pour chaque secteur et sous-secteur.

Pour la santé, il s’agit des « prestataires de soins de santé » au sens de l’article 3, point g), de la directive 2011/24/UE relative aux soins transfrontaliers (3). Ceux-ci se définissent comme : « toute personne physique ou morale ou toute autre entité qui dispense légalement des soins de santé sur le territoire d’un État membre ».

Cette définition extrêmement large dépasse la catégorie des établissements de santé. Il appartiendra à chaque Etat membre d’appliquer les critères d’identification détaillés à l’article 5 de la directive :

« a) une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques;
b) la fourniture de ce service est tributaire des réseaux et des systèmes d’information; et
c) un incident aurait un effet disruptif important sur la fourniture dudit service. »

En outre, cette notion d’opérateurs de services essentiels n’est pas sans rappeler celle d’ « opérateur d’importance vitale » (4), qui doivent se conformer à des normes de sécurité contraignantes, en raison de leur statut. L’ANSSI s’est assurée de la compatibilité de ces deux régimes.

Nouvelles obligations de sécurité

Les articles 14 et 15 de la directive détaillent les exigences de sécurité des réseaux et des systèmes d’information des opérateurs de services essentiels.

Les opérateurs de services essentiels devront mettre en place des « mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités ».

L’étendue des mesures à prendre est néanmoins restreinte à « l’état des connaissances ». Les opérateurs ne peuvent en effet être soumis à plus que ce qu’ils sont capables de réaliser.

A l’instar de ce qui est prévu par le Règlement européen de protection des données (5), les opérateurs auront également l’obligation de notifier « à l’autorité compétente ou au CSIRT [centres de réponse aux incidents de sécurité informatique], sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent. »

Des pouvoirs et des moyens adéquats devront être donnés par les Etats membres aux autorités compétentes afin d’exercer leur mission de contrôle sur les opérateurs de services essentiels. Si l’incident entraîne également une violation de données à caractère personnel, l’autorité compétente, en France l’ANSSI, devra coopérer étroitement avec la Cnil.

Les établissements de santé identifiés comme opérateurs de services essentiels devront ainsi veiller à leur mise en conformité avec les nouvelles normes de sécurité dès la transposition de la directive.

Marguerite Brac de la Perrière
Aude Latrive
Lexing Santé numérique

(1) Directive (UE) 2016/1148 du 6-7-2016.
(2) ANSSI, Actualité, « Adoption de la directive Network and information security (NIS) : l’ANSSI, pilote de la transposition en France ».
(3) Directive 2011/24/UE du 9-3-2011.
(4) Code de la défense, art. R1332-1 et s.
(5) Règlement (UE) 2016/679 du 27-4-2016.




Cybersécurité : accord sur la proposition de directive SRI

Cybersécurité : accord sur la proposition de directive SRILe projet de directive SRI (1) définit des « opérateurs de services essentiels » devant renforcer leur cybersécurité.

Devant l’augmentation des incidents de cybersécurité, qu’ils soient causés par des « erreurs humaines, des catastrophes naturelles, des défaillances techniques ou des actes de malveillance » et les enjeux économiques et stratégiques de tels incidents, le Parlement européen, le Conseil et la Commission ont trouvé un accord sur la directive « sécurité des réseaux et de l’information » (SRI), premier acte législatif de niveau européen en matière de cybersécurité.

La nouvelle directive SRI vise à « assurer un niveau commun élevé de sécurité des réseaux et de l’information (SRI) dans l’Union ». Afin d’atteindre cet objectif :

  • « elle fixe des obligations à tous les États membres en ce qui concerne la prévention et la gestion de risques et incidents touchant les réseaux et systèmes informatiques ainsi que les interventions en cas d’événement de ce type » ;
  • « elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l’Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d’incidents touchant les réseaux et systèmes informatiques » ;
  • « elle établit des exigences en matière de sécurité pour les acteurs du marché et les administrations publiques ».

Chaque Etat membre devra adopter une stratégie nationale en matière de SRI qui permettra de parvenir à un niveau élevé de SRI et à le maintenir.

La directive SRI impose ainsi aux administrations publiques et aux « acteurs du marché » des mesures de prévention des risques en termes de cybersécurité et des mesures de notification à l’autorité compétente (en France, l’Agence nationale de la sécurité des systèmes d’information (2) qui est depuis 2009, l’autorité nationale en matière de sécurité et de défense des systèmes d’information) des incidents « qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

Les « acteurs du marché », qu’il appartiendra à chaque Etat membre de lister, sont définis par la directive SRI. Il s’agit notamment :

  • pour les acteurs d’internet : des plateformes de commerce électronique, des passerelles de paiement par internet, des réseaux sociaux, des moteurs de recherche, des fournisseurs de cloud. Les fournisseurs d’accès à internet, les fournisseurs de messagerie électronique et les prestataires de stockage en sont expressément exclus, car ils sont concernés par d’autres dispositions spécifiques ;
  • pour les autres acteurs « opérateurs fournissant des services essentiels », il s’agit principalement des acteurs de l’énergie, des transports notamment aériens), des services bancaires, des infrastructures de marchés financiers et des entreprises du secteur de la santé.

L’autorité compétente pourra procéder à des audits de sécurité.

Enfin, une coopération renforcée entre Etats membres est mise en place pour signaler les incidents, sous l’égide de l’Agence européenne chargée de la sécurité des réseaux et de l’information (3).

Tous ces acteurs seront soumis aux nouvelles obligations de sécurité telles qu’elles découleront de la transposition de cette directive en droit interne qui doit encore être approuvée formellement par le Parlement et le Conseil.

Après la publication au Journal officiel de la directive SRI, les Etats membres disposeront d’un délai de 21 mois pour transposer la directive dans leur droit national et d’un délai de 6 mois complémentaire pour identifier les « opérateurs de services indispensables ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique

(1) PDE 2013/0027 (COD) 29-4-2016.
(2) ANSSI.
(3) AESRI (ENISA, en anglais).