Riskinsight-wavestone.com
\nBilan septembre 2018 sur la directive NIS
\nEtienne Capgras ManagerAcc\u00e9der au profil de l’auteur
\n11-14 minutes<\/p>\n
Cybers\u00e9curit\u00e9 et confiance num\u00e9rique Strat\u00e9gie & Conformit\u00e9<\/p>\n
Publi\u00e9 le 28\/09\/2018<\/p>\n
La directive NIS (Network and Information Security) \u2013 (UE) 2016\/1148 \u2013 est entr\u00e9e en vigueur en ao\u00fbt 2016, avec pour objectif d\u2019assurer un niveau \u00e9lev\u00e9 commun de s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information dans l\u2019Union Europ\u00e9enne : coop\u00e9ration entre les autorit\u00e9s nationales, mise en \u0153uvre d\u2019une strat\u00e9gie nationale de s\u00e9curit\u00e9 dans chacun des Etats membres, coop\u00e9ration entre Etats membres, institution d\u2019un r\u00e9seau des CSIRT europ\u00e9ens (Computer Security Incident Response Team), \u00e9tablissement d\u2019exigences en mati\u00e8re de s\u00e9curit\u00e9 et de notifications pour les op\u00e9rateurs de services essentiels (OSE) et les fournisseurs de services num\u00e9riques (FSN), d\u00e9signation d\u2019autorit\u00e9s nationales comp\u00e9tentes en mati\u00e8re de s\u00e9curit\u00e9 des r\u00e9seaux et de syst\u00e8mes d\u2019information.<\/p>\n
La France finalise les textes pour se mettre en conformit\u00e9 avec la directive europ\u00e9enne NIS (Network and Information Security), avec trois textes qui transposent la directive dans le droit national Fran\u00e7ais, et un quatri\u00e8me qui sera publi\u00e9 sous peu.<\/p>\n
Quels ont \u00e9t\u00e9 les choix de transposition de la directive NIS dans le droit national Fran\u00e7ais ? Et quelles seront les entreprises soumises \u00e0 cette nouvelle l\u00e9gislation et les impacts pour celles-ci ?
\nLa transposition dans le droit national fran\u00e7ais<\/p>\n
Pour entrer en vigueur, chaque Etat membre de l\u2019Union europ\u00e9enne doit transposer la directive NIS dans son droit national, avec une date butoir fix\u00e9e au 09 mai 2018 : sp\u00e9cification des mesures de s\u00e9curit\u00e9 \u00e0 mettre en place, d\u00e9finition des proc\u00e9dures de notification, sanctions applicables\u2026<\/p>\n
La France respecte globalement ce calendrier, avec trois textes qui d\u00e9finissent en grande partie les modalit\u00e9s d\u2019application de la directive NIS sur son territoire national :<\/p>\n
La loi n\u00b0 2018-133 du 26 f\u00e9vrier 2018 qui pr\u00e9sente les mesures de transposition de la directive NIS dans la l\u00e9gislation nationale,
\nLe d\u00e9cret n\u00b0 2018-384 du 23 mai 2018 qui d\u00e9taille les modalit\u00e9s d\u2019application des obligations l\u00e9gislatives, et liste les secteurs, les types d\u2019op\u00e9rateur et les services essentiels concern\u00e9s,
\nL\u2019arr\u00eat\u00e9 du 13 juin 2018 qui fixe les modalit\u00e9s de d\u00e9clarations des incidents de s\u00e9curit\u00e9.<\/p>\n
Pour que la transposition de la directive europ\u00e9enne dans la l\u00e9gislation Fran\u00e7aise soit compl\u00e8te, un dernier arr\u00eat\u00e9 fondamental va \u00eatre publi\u00e9, et viendra pr\u00e9ciser les mesures de s\u00e9curit\u00e9 \u00e0 mettre en \u0153uvre par les op\u00e9rateurs de services essentiels. Il fera \u00e9cho \u00e0 la lettre de mise en demeure par la commission europ\u00e9enne, qui avait jug\u00e9 la France en retard sur l\u2019exhaustivit\u00e9 de la transposition dans le droit national, tout comme 16 autres Etats membres.
\nOSE et FSN : deux grandes typologies d\u2019acteurs concern\u00e9s<\/p>\n
La loi fran\u00e7aise rappelle les deux grandes typologies d\u2019acteurs concern\u00e9s par la directive europ\u00e9enne : les Op\u00e9rateurs de Services Essentiels (OSE) et les Fournisseurs de Services Num\u00e9riques (FSN).
\nOp\u00e9rateurs de services essentiels : la France \u00e9largit la liste des secteurs concern\u00e9s<\/p>\n
Les OSE sont les entit\u00e9s qui d\u00e9livrent des services essentiels au fonctionnement de la nation, notamment au travers de leur Syst\u00e8me d\u2019Information Essentiel (SIE). Le d\u00e9cret n\u00b0 2018-384 compl\u00e8te la liste de la directive, en y ajoutant les secteurs de l\u2019assurance, de la logistique, des produits pharmaceutiques, des services sociaux (partie paiement des prestations), de l\u2019\u00e9ducation et de la restauration collective dans les environnements sensibles.<\/p>\n
Liste des secteurs d\u2019activit\u00e9s concern\u00e9s pour les OSE<\/p>\n
(L\u2019ic\u00f4ne pr\u00e9cise les secteurs ajout\u00e9s par la l\u00e9gislation Fran\u00e7aise par rapport \u00e0 la Directive NIS)<\/p>\n
La d\u00e9signation des OSE sera effectu\u00e9e par arr\u00eat\u00e9s du Premier Ministre d\u2019ici novembre 2018, en lien avec les OSE, les Minist\u00e8res concern\u00e9s et l\u2019ANSSI. La liste des OSE sera par la suite r\u00e9guli\u00e8rement actualis\u00e9e, \u00e0 minima tous les deux ans.
\nFournisseurs de services num\u00e9riques : la France veille \u00e0 la bonne d\u00e9signation des repr\u00e9sentants<\/p>\n
Les FSN sont les entit\u00e9s qui fournissent directement des services en ligne, de type sites d\u2019e-commerce, moteurs de recherche ou services cloud, notamment utilis\u00e9s par les OSE. Les Etats membres n\u2019ont pas vocation \u00e0 dresser la liste des FSN \u00e0 l\u2019\u00e9chelle de leur territoire, mais la France pose pour autant un cadre en indiquant que les entreprises qui emploient moins de cinquante salari\u00e9s et dont le chiffre d\u2019affaire annuel n\u2019exc\u00e8de pas 10 millions d\u2019euros ne sont pas concern\u00e9es.<\/p>\n
Liste des secteurs d\u2019activit\u00e9s concern\u00e9s pour les FSN<\/p>\n
En compl\u00e9ment de la directive NIS, la France inscrit dans sa loi n\u00b0 2018-133 (Chapitre III, article 11) qu\u2019un FSN \u00e9tabli hors de l\u2019Union Europ\u00e9enne, qui offre ses services sur le territoire national et qui n\u2019a d\u00e9sign\u00e9 aucun repr\u00e9sentant dans un autre Etat membre de l\u2019Union europ\u00e9enne, proc\u00e8de \u00e0 la d\u00e9signation d\u2019un repr\u00e9sentant \u00e9tabli sur le territoire national aupr\u00e8s de l\u2019ANSSI. La France se positionne ainsi en gardienne de la bonne application de la directive NIS en ce qui concerne les FSN, dans la mesure o\u00f9 un FSN qui tarderait \u00e0 d\u00e9signer un repr\u00e9sentant en Europe serait donc l\u00e9galement contraint de le faire en France.
\nLes exclusions : ne pas cumuler les exigences l\u00e9gales<\/p>\n
Afin de ne pas surcharger de l\u00e9gislations les acteurs d\u00e9j\u00e0 soumis \u00e0 des r\u00e8glementations plus contraignantes, la loi mentionne dans ses articles 2 et 5 la liste d\u2019exclusions suivante :<\/p>\n
Les OSE ou les FSN soumis \u00e0 des exigences sectorielles au moins aussi contraignantes que la pr\u00e9sente l\u00e9gislation, en particulier les OIV (Op\u00e9rateurs d\u2019Importance Vitale) sur leur SIIV (Syst\u00e8me d\u2019Information d\u2019Importance Vitale) car d\u00e9j\u00e0 soumis aux exigences apport\u00e9es par la Loi de Programmation Militaire,
\nLes op\u00e9rateurs de r\u00e9seaux ou de services de communications \u00e9lectroniques, notamment car d\u00e9j\u00e0 soumis aux exigences du code des postes et des communications \u00e9lectroniques,
\nLes prestataires de services de confiance soumis aux exigences du r\u00e8glement eIDAS sur l\u2019identification \u00e9lectroniques et les transactions \u00e9lectroniques.<\/p>\n
Une l\u00e9gislation plus stricte pour les OSE que pour les FSN<\/p>\n
Le droit national Fran\u00e7ais traite des m\u00eames th\u00e9matiques pour les OSE et les FSN, mais dans une approche diff\u00e9rente : m\u00eame si une base commune est d\u00e9finie, les OSE devront respecter une liste pr\u00e9cise de mesures de s\u00e9curit\u00e9, tandis que les FSN seront sur une approche par les risques (pr\u00e9cis\u00e9e par le r\u00e8glement UE- 2018\/151 du 30 janvier 2018), restant libres de prendre les mesures techniques et organisationnelles qu\u2019ils jugent appropri\u00e9es et proportionn\u00e9es, et seront plut\u00f4t g\u00e9r\u00e9s \u00e0 l\u2019\u00e9chelle europ\u00e9enne.
\nUne base commune d\u2019obligations \u00e0 respecter\u2026<\/p>\n
En premier lieu, l\u2019identification d\u2019un repr\u00e9sentant de l\u2019entreprise, qui sera le point de contact unique de l\u2019ANSSI pour traiter les r\u00e9ceptions et les transmissions d\u2019information,<\/p>\n
Ensuite, la d\u00e9claration des r\u00e9seaux et des syst\u00e8mes d\u2019information n\u00e9cessaires \u00e0 la fourniture du services essentiels \/ num\u00e9riques, y compris ceux dont l\u2019exploitation est confi\u00e9e \u00e0 des tiers. Au-del\u00e0 d\u2019un simple inventaire ou cartographie des actifs, les enjeux seront :<\/p>\n
De lister les \u00e9l\u00e9ments n\u00e9cessaires \u00e0 la d\u00e9livrance des services essentiels \/ num\u00e9riques, afin de ne pas imposer les mesures de s\u00e9curit\u00e9 sur un p\u00e9rim\u00e8tre trop \u00e9tendu de l\u2019entreprise,
\nD\u2019exiger la mise en application de la r\u00e8glementation sur les syst\u00e8mes op\u00e9r\u00e9s par les tiers, en leur communiquant les mesures \u00e0 impl\u00e9menter, en r\u00e9visant les contrats de sous-traitance, voir en auditant leur conformit\u00e9.<\/p>\n
Puis la d\u00e9claration des incidents de s\u00e9curit\u00e9 sans d\u00e9lai aupr\u00e8s de l\u2019ANSSI (qu\u2019il est conseill\u00e9 de formaliser dans un processus), lorsqu\u2019ils sont susceptibles d\u2019avoir un impact significatif sur le service, en terme du nombre d\u2019utilisateur impact\u00e9s, de la zone g\u00e9ographique touch\u00e9e, de la dur\u00e9e de l\u2019incident\u2026 L\u2019ANSSI pourra alors \u00e9pauler l\u2019entreprise sur le traitement de l\u2019incident, notamment en activant le r\u00e9seau des CSIRT.<\/p>\n
Et enfin, l\u2019obligation de se soumettre \u00e0 des contr\u00f4les du respect des obligations ci-dessus, et qui devront faire l\u2019objet de conventions et de rapports formalis\u00e9s. Le 1er ministre indiquera si ces contr\u00f4les seront effectu\u00e9s par l\u2019ANSSI ou l\u2019un des prestataires de services qualifi\u00e9s PASSI (dans ce dernier cas, l\u2019entreprise choisira le prestataire sur la liste qui lui sera communiqu\u00e9e).
\n\u2026 Mais des obligations compl\u00e9mentaires structurantes pour les OSE.<\/p>\n
Contrairement \u00e0 la libert\u00e9 laiss\u00e9e aux FSN sur la mani\u00e8re de s\u00e9curiser leur services num\u00e9riques, les OSE devront mettre en \u0153uvre une d\u00e9marche de s\u00e9curisation de leur SIE selon 4 grands principes impos\u00e9s, qui seront bient\u00f4t d\u00e9taill\u00e9s par le futur arr\u00eat\u00e9 :<\/p>\n
Gouvernance de la s\u00e9curit\u00e9, via l\u2019\u00e9laboration de politique de s\u00e9curit\u00e9 et d\u2019homologation du SIE,
\nProtection des SIE, avec la s\u00e9curit\u00e9 de l\u2019architecture, de l\u2019administration et des acc\u00e8s au SI,
\nD\u00e9fense des SIE, avec la d\u00e9tection et le traitement des incidents de s\u00e9curit\u00e9,
\nR\u00e9silience des SIE, notamment au travers de la gestion de crise.<\/p>\n
Les op\u00e9rations de contr\u00f4le pourront \u00eatre d\u00e9clench\u00e9es sans condition par le 1er ministre pour les OSE, alors qu\u2019elles ne seront men\u00e9es chez les FSN que si le 1er ministre est inform\u00e9 du non-respect d\u2019une des obligations qui leur incombent.
\nQuels impacts financiers associ\u00e9s cette l\u00e9gislation ?<\/p>\n
Tout d\u2019abord, la l\u00e9gislation pr\u00e9cise clairement que les OSE et les FSN devront financer leurs diff\u00e9rentes actions de mise en conformit\u00e9, mais \u00e9galement les contr\u00f4les demand\u00e9s par l\u2019ANSSI.<\/p>\n
Ensuite, en cas de manquement \u00e0 leurs obligations, les dirigeants des OSE et des FSN pourront \u00e9coper d\u2019amendes, avec des montants sup\u00e9rieurs pour les OSE par rapport aux FSN :<\/p>\n
L\u2019ordre de grandeur et le principe des amendes sont quant \u00e0 eux plus proches de ceux apport\u00e9s par la Loi de Programmation Militaire que ceux du R\u00e8glement G\u00e9n\u00e9ral sur la Protection des Donn\u00e9es (RGPD).
\nQuelles sont les prochaines \u00e9tapes ?<\/p>\n
La publication de l\u2019arr\u00eat\u00e9 qui pr\u00e9cisera les r\u00e8gles de s\u00e9curit\u00e9 pour les OSE, indispensable pour compl\u00e9ter la transposition de la directive NIS dans le droit national Fran\u00e7ais. Il permettra de jauger le niveau de s\u00e9curisation souhait\u00e9 par l\u2019\u00e9tat Fran\u00e7ais, et d\u2019en d\u00e9duire l\u2019effort de mise en conformit\u00e9 des SIE.<\/p>\n
D\u2019ici au mois de novembre, la d\u00e9signation progressive des OSE, qui auront alors :<\/p>\n
Deux mois pour communiquer les coordonn\u00e9es de leur repr\u00e9sentant \u00e0 l\u2019ANSSI,
\nTrois mois pour formaliser et transmettre la liste et la description des r\u00e9seaux et syst\u00e8mes d\u2019information pour lesquels l\u2019existence d\u2019incidents pourrait gravement affecter la continuit\u00e9 des services essentiels au fonctionnement de la soci\u00e9t\u00e9 ou de l\u2019\u00e9conomie.<\/p>\n
Pour les FSN, la d\u00e9signation d\u2019un repr\u00e9sentant, avec deux cas possibles :<\/p>\n
Si le si\u00e8ge se situe en Union Europ\u00e9enne, d\u00e9claration aupr\u00e8s de l\u2019autorit\u00e9 de l\u2019Etat o\u00f9 se situe le si\u00e8ge,
\nSi le si\u00e8ge se situe hors de l\u2019Union Europ\u00e9enne, d\u00e9claration aupr\u00e8s d\u2019une autorit\u00e9 d\u2019un Etat membre o\u00f9 le FSN exerce son activit\u00e9.<\/p>\n
Les acteurs concern\u00e9s par la directive NIS sont consult\u00e9s en France et en Europe depuis plus d\u2019un an et sont inform\u00e9s de leur potentielle d\u00e9signation. Ils ne seront donc pas surpris le moment venu. Ces derniers peuvent d\u2019ores et d\u00e9j\u00e0 lancer les premi\u00e8res actions de mise en conformit\u00e9 : identification du p\u00e9rim\u00e8tre concern\u00e9, inventaire des r\u00e9seaux et syst\u00e8me d\u2019information qui le composent, formalisation du processus de d\u00e9claration des incidents de s\u00e9curit\u00e9 aux autorit\u00e9s.
\nDes modalit\u00e9s de mise en \u0153uvre qui restent \u00e0 pr\u00e9ciser aux niveaux national et local<\/p>\n
Une fois que le dernier arr\u00eat\u00e9 concernant les mesures de s\u00e9curit\u00e9 pour les OSE sera publi\u00e9, le cadre l\u00e9gislatif et r\u00e8glementaire Fran\u00e7ais posera des bases claires d\u2019application de la directive NIS, par ailleurs coh\u00e9rentes avec les diff\u00e9rentes r\u00e8glementations d\u00e9j\u00e0 en place sur le sujet.<\/p>\n
En revanche, des questions restent \u00e0 trancher au niveau europ\u00e9en pour faciliter la gestion des acteurs transfrontaliers : rattachement d\u2019un OSE \u00e0 plusieurs Etats membres ? D\u00e9signation d\u2019une autorit\u00e9 de r\u00e9f\u00e9rence ? Communications et hi\u00e9rarchie entre autorit\u00e9s nationales ?\u2026 Autant d\u2019enjeux \u00e0 adresser rapidement par le groupe de coop\u00e9ration d\u00e9di\u00e9 \u00e0 NIS, en place depuis f\u00e9vrier 2017.<\/p>\n
cf.www.riskinsight-wavestone.com\/2018\/09\/bilan-directive-nis\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Riskinsight-wavestone.com Bilan septembre 2018 sur la directive NIS Etienne Capgras ManagerAcc\u00e9der au profil de l’auteur 11-14 minutes Cybers\u00e9curit\u00e9 et confiance num\u00e9rique Strat\u00e9gie & Conformit\u00e9 Publi\u00e9 le 28\/09\/2018 La directive NIS (Network and Information Security) \u2013 (UE) 2016\/1148 \u2013 est entr\u00e9e en vigueur en ao\u00fbt 2016, avec pour objectif d\u2019assurer un niveau \u00e9lev\u00e9 commun de s\u00e9curit\u00e9 … Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false}}},"categories":[10],"tags":[],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/p7ALXt-vD","jetpack-related-posts":[],"_links":{"self":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts\/1961"}],"collection":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/comments?post=1961"}],"version-history":[{"count":2,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts\/1961\/revisions"}],"predecessor-version":[{"id":1971,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/posts\/1961\/revisions\/1971"}],"wp:attachment":[{"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/media?parent=1961"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/categories?post=1961"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/werle.pro\/index.php\/wp-json\/wp\/v2\/tags?post=1961"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}