mar. Déc 10th, 2019
devoteam - Chloé Niedergang

Directive NIS – Pourquoi une nouvelle réglementation cyber ?

Une exclusivité CyberExperts.tech

Par Chloé Niedergang, Consultante Cybersecurity & Data Protection, chez Devoteam

Pourquoi une nouvelle réglementation cyber?

En réponse  à l’augmentation croissante des vulnérabilités et des vagues d’attaques via les réseaux et systèmes d’information à grande échelle, la directive Network and Information Security (NIS) a pour but prioritaire d’instaurer et de garantir un niveau de sécurité élevé commun aux Etats membres.

L’impact est très important sur les organisations concernées et l’enjeu ne consiste pas uniquement à déployer des mesures de mise en conformité mais bien de garantir qu’elles soient pérennes dans le temps. Que ces organisations soient publiques ou privées, elles doivent être guidées dans ces nouvelles démarches afin d’éviter les risques, aussi bien d’intrusion que de sanction.

 

Comment savoir si je suis OSE ou FSN ? 

Les premiers Organismes de Services Essentiels (OSE) ont été désignés il y a maintenant un an, le 9 novembre 2018. L’ANSSI a dressé une liste, proposée au Premier Ministre, des OSE potentiels. Cela ne signifie pas pour autant qu’un OSE présent sur la liste le devient automatiquement. Avant toute désignation, une lettre d’intention de désignation est envoyée à l’organisme pressenti en laissant la possibilité à ce dernier d’y répondre en émettant ses potentielles réserves le cas échéant. Le choix a été fait de ne pas procéder à une désignation automatique et unilatérale afin de permettre aux opérateurs concernés de comprendre ce qu’implique ces nouvelles obligations et l’opportunité d’être désigné comme tel. 

Sans surprise, les secteurs tels que l’énergie, le transport, les services financiers ou encore la santé sont concernés : tout organisme dont le service est essentiel au maintien de l’activité économique et sociétale du pays doit être protégé et répondre à des obligations spécifiques pour éviter toute compromission.

Concernant les fournisseurs de service numérique (FSN), de manière plus large, sont caractérisés par toute organisation fournissant un service contre rémunération par voie électronique et à la demande individuelle d’un destinataire à partir d’un certain chiffre d’affaires (moteurs de recherches, services informatiques cloud, places de marchés en ligne…)

En France, toute organisation de ce type se doit d’appliquer les dispositions de la directive si son nombre d’employés est supérieur ou égal à 50, ou si son chiffre d’affaires annuel est supérieur à 10 millions d’euros. Il n’existe pas de système de désignation spécifique.

 

Quelles actions dois-je réaliser ?

Les délais de mise en conformité à la directive NIS sont relativement courts. En effet, une fois l’OSE désigné comme tel, l’organisation disposera d’un délai de deux mois pour identifier un correspondant interne auprès de l’ANSSI. 

Sous trois mois cette fois, les Systèmes d’Information Essentiels (SIE) de la structure devront être également identifiés et communiqués à l’ANSSI. Toujours dans ce délai de trois mois, un processus de traitement adapté des alertes devra être instauré et mis en œuvre de manière à être en capacité de recevoir les alertes de l’ANSSI et de pouvoir agir en conséquence très rapidement. 

La conformité à la directive quant à elle devra être complète sous deux ans, ainsi que l’homologation sous trois ans. 

Concernant les FSN dont le siège social ou l’établissement principal se situe en France, les dispositions de transposition doivent être appliquées depuis le 10 mai 2018 : l’identification des risques, l’adoption de mesures techniques et organisationnelles en réponse à ces risques et la mise en place d’une procédure de gestion et déclaration des incidents sont autant d’obligations qui incombent à ces fournisseurs. 

A l’instar du RGPD, peu importe la taille de l’entreprise, si celle-ci est identifiée comme un FSN ou un OSE, l’organisation devra se conformer aux exigences de la directive. 

 

Et si je ne me conforme pas, qu’est ce que je risque ?

Concernant la sanction, chaque Etat membre est tenu de définir leurs règles de pénalités financières et de prendre les mesures appropriées et proportionnées afin de s’assurer de la mise en œuvre de ces dernières. 

L’article 9 de la loi n°2018-133 dresse une liste de sanction à destination des dirigeants des OSE : 100 000 euros d’amende pour en cas de non conformité après mise en demeure et expiration d’un certain délai, 75 000 euros d’amendes en cas de non déclaration d’incident, et 125 000 euros d’amende en cas d’obstacle aux opérations de contrôles. 

En ce qui concerne les FSN, l’ANSSI se réserve le droit d’effectuer des contrôles de sécurité afin de vérifier l’effectivité des mesures sur la base d’une convention d’audit. En cas de non-conformité et d’infraction malgré la mise en demeure d’y remédier, le FSN encourt une amende de 75 000 euros d’amende.

Malgré l’absence de condamnation connue à ce jour, l’ANSSI pourrait avoir une démarche plus punitive et incitative que la CNIL avec le RGPD, notamment au vu de l’instauration des délais de mises en demeure préventifs après lesquels une amende de non-conformité sera de mise.

1 thought on “Directive NIS – Pourquoi une nouvelle réglementation cyber ?

Comments are closed.

%d blogueurs aiment cette page :