Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Quel est le statut d' "Opérateur de services essentiels" prévu par la directive européenne sur la cybersécurité ?

Twitter Facebook Linkedin Google + Email
×

Cette semaine, l'avocat Eric Caprioli nous offre un éclairage sur le projet de loi de transposition de la directive SRI sur la cybersécurité.

Quel est le statut d' Opérateur de services essentiels prévu par la directive européenne sur la cybersécurité ?
20141208_Datacenter Equinix P4 © ©2014 Epaillard+Machado - Tous droits réservés/All rights reserved

Les risques liés à la cybersécurité étant mondiaux, les enjeux de cybersécurité doivent être traités à l’échelle de l’Union européenne en raison des coûts générés par les incidents/attaques pour le marché intérieur. C’est ce qu’a entrepris la Commission européenne avec le projet de directive SRI en 2013 (Document COM(2013) 48 final du 7 février 2013) qui est devenu la directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (directive SRI ou directive NIS (Network Information Security) , adoptée le 6 juillet 2016.

 

Le contexte

Le projet de ce texte a déjà inspiré le législateur français dans la loi de programmation militaire du 13 décembre 2013  et ses textes d’application, spécialement en ce qui concerne les Opérateurs d’importance vitale (OIV). Avec la directive SRI, les Etats membres de l’UE ont jusqu’au 9 mai 2018 pour transposer la directive, et jusqu’au 9 novembre 2018 pour identifier et désigner les Opérateurs de Services Essentiels (OSE) en se fondant sur les critères définis par la directive. La liste des opérateurs fera l’objet d’un réexamen par les Etats à compter du 9 mai 2019.

 

Le projet de loi (PL) de transposition portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (LIEN) traite de trois sujets : Directive SRI, Directive sur le contrôle de l’acquisition et de la détention d’armes, la mise en œuvre de la décision n° 1104/2011/UE du 25 octobre 2011 du Parlement européen et du Conseil aux modalités d’accès au service public par Galileo. Nous n’adresserons que la première directive.

 

La directive SRI cherche à atteindre trois objectifs principaux : renforcer la cybersécurité au niveau des Etats membres, consolider la coopération entre les Etats européens et assurer la gestion des risques liés à la sécurité avec notamment la notification des failles de sécurité (distincte des notifications des violations de données personnelles à l’autorité de contrôle que l’on trouve dans le  RGPD/GDPR , article 33).

 

Renforcement de la cyber-sécurité dans l’UE

La directive définit la sécurité des réseaux et des systèmes d’information comme « la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la Disponibilité, l’Authenticité, l’Intégrité ou la Confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles » (art. 4-2° ; repris à l’art. 1, 3° du projet de loi). Les fonctions classiques de la sécurité de l’information sont reprises dans l’acronyme DAIC, auquel on peut ajouter en services connexes, la traçabilité et la preuve.

 

En terme de cyber-sécurité, il est fondamental de garantir la cyber-résilience des réseaux et des systèmes d’information des infrastructures critiques, c’est à dire « la capacité de ces réseaux et systèmes de fonctionner à un niveau suffisant pour permettre d’assurer la continuité des services qui en dépendent en cas d’attaques ou d’incidents ». Les Opérateurs de Services Essentiels (OSE) doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et des systèmes d’information. Sont visés les secteurs suivants : énergie, transports, banques, infrastructures de marchés financiers, santé, fourniture et distribution d’eau potable et infrastructures numériques. A côté des OSE, les dispositions concerneront les fournisseurs de services numériques (FSN), à savoir : les places de marché en ligne, les moteurs de recherche en ligne et les service d’informatique en nuage (Cloud) dans la mesure où leur rôle est très important quant au fonctionnement de l’économie et de la société. Pourtant, leurs obligations sont plus légères que celles applicables pour les OSE, mais non applicables aux entreprises de moins de 50 salariés et dont le chiffre d’affaire n’excède pas 10 millions d’euros (art. 11, al. 2 du PL).

 

Au titre du renforcement des capacités des Etats membres en matière de cyber-sécurité (chapitre II de la directive), ces derniers devront notamment se doter d’autorités nationales compétentes en matière de cyber-sécurité (ANSSI) et de Centres de réponse aux incidents de sécurité informatique/CSIRT (désignation du CERT-FR de l’ANSSI) dont les missions figurent à l’annexe I de la directive. La France s’est déjà dotée d’une stratégie nationale pour la sécurité numérique répondant ainsi à l’obligation prévue à l’article 7 de la directive.

 

Nouvelles obligations des opérateurs de service essentiels

Pour faire face aux risques cybers, de nouvelles obligations en matière de cybersécurité s’imposent aux opérateurs de services essentiels. Ces dispositions ont pour but de contribuer au bon fonctionnement de l’économie et de la société, ainsi que des fournisseurs de services numériques en assurant un niveau élevé commun de sécurité des réseaux et de l’information dans l’UE. Les obligations préconisées par la Directive SRI couvrent toutes les étapes de la sécurisation des systèmes d’information, de la prévention à la gestion d’une éventuelle attaque. Les frais liés aux mesures à prendre sont à la charge des opérateurs (art. 6 du PL).

 

  • S’agissant des obligations de sécurité, les opérateurs doivent prendre les mesures appropriées et proportionnelles pour sécuriser leurs systèmes. Le texte du projet de loi précise que le niveau doit être adapté au risque existant et avoir pour objectif la minimisation des incidents et la continuité des services (article 14-1° et 2° de la directive et 6 du PL). Le respect de ces obligations sous-entend qu’il faut procéder à une analyse de risques cyber.
  • Concernant la notification des incidents, les opérateurs doivent notifier, sans retard injustifié, à l’autorité compétente désignée (l’ANSSI), les incidents de sécurité ayant un impact significatif sur la continuité des services essentiels fournis (article 14-3° et 4° de la directive et 7 du PL). Le cas échéant, l’autorité compétente pourra informer le public et les Etats membres de l’incident en tenant compte des intérêts économiques des OSE et FSN (art. 3, al. 2 du PL).

 

Sanctions

Les dirigeants des OSE sont passibles d’une amende de 100.000 euros, après mise en demeure restée infructueuse et dont le délai a expiré, pour ne pas s’être conformés aux obligations de sécurité, de 75.000 euros pour ne pas avoir déclaré un incident et de 125.000 euros s’ils ont fait obstacle aux opérations de contrôle (art. 9 du PL). De même, les dirigeants des FSN sont passibles d’une amende de 100.000 euros, après mise en demeure restée infructueuse et dont le délai a expiré, pour ne pas s’être conformés aux obligations de sécurité, de 50.000 euros pour ne pas avoir déclaré un incident ou informé le public en application de l’art. 13 du PL et de 100.000 euros s’ils ont fait obstacle aux opérations de contrôle (art. 15 du PL).

 

Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit, Membre de la délégation française aux Nations Unies, Vice-Président de la FNTC et du CESIN

Société d’avocats membre du réseau JurisDéfi

 

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale