La directive NIS
La directive « Sécurité des réseaux et de l’information » (dite « directive NIS », de son nom anglais Network and Information System Security) poursuit un objectif majeur : assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne (UE). Elle a été adoptée le 6 juillet 2016 afin, entre autre, d’élever la maturité cyber des États membres de l’UE et préserver leurs intérêts économiques et sociaux et a été transposée en France le 26 février 2018.
En tant que cheffe de file nationale en matière de cybersécurité et représentante nationale au niveau européen, l’ANSSI a suivi la négociation de la directive et piloté les travaux de transposition, en concertation avec les ministères, les différentes parties prenantes nationales et ses partenaires européens afin de répondre aux enjeux défendus par ce premier texte européen en matière de cybersécurité.
Elle représente également la France au sein du groupe de coopération et du réseau des CSIRT.
Opérationnellement, l’ANSSI a pour double mission d’accompagner les OSE dans la sécurisation de leurs systèmes d’information critiques et de contrôler, en tant qu’autorité nationale, le respect des règles de sécurité.
À qui s'adresse cette réglementation ?
Cette réglementation s’adresse à tout opérateur désigné Opérateur de service essentiel par arrêté du Premier ministre.
Sont désignés « OSE » les opérateurs exerçant des missions dites « essentielles » au sens du (Ouvre une nouvelle fenêtre) décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.
Le statut de Fournisseur de Service Numérique (FSN) est également introduit par ce cadre réglementaire. Tout opérateur fournissant les types de services suivants sera considéré comme FSN et sera soumis à des obligations :
- les places de marché en ligne, qui permettent à des consommateurs ou à des professionnels de conclure des contrats de vente ou de service en ligne avec des professionnels, soit sur le site Internet de la place de marché en ligne, soit sur le site Internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;
- les moteurs de recherche en ligne, qui permettent aux utilisateurs d’effectuer des recherches sur, en principe, tous les sites Internet ou sur les sites Internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot clé, d’une phrase ou d’une autre entrée, et qui renvoient des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;
- les services d’informatique en nuage, qui permettent l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.
Tout FSN dont le service est fourni notamment à l’intérieur de l’UE doit appliquer les dispositions prises pour la transposition de la directive NIS sitôt que l’une des conditions suivantes est atteinte :-
- son nombre d’employés est supérieur ou égal à 50 ;
- son chiffre d’affaires annuel est supérieur à 10 millions d’euros.
Les FSN appliquent les dispositions prises pour la transposition de la directive NIS dans l’État membre dont ils relèvent. Ils relèvent de la compétence de l’État membre dans lequel ils ont leur établissement principal ou leur siège social. En France, les FSN ne sont pas désignés par l’autorité administrative et donc appliquent directement les dispositions de transposition de la directive dès leur entrée en vigueur (10 mai 2018).
Dans le cas d’un FSN qui n’est pas implanté dans l’Union mais fournit ses services à l’intérieur de l’Union, il doit désigner un représentant dans l’un des États membres dans lesquels ses services sont fournis – dans le cas de la France, il désigne ce représentant à l’ANSSI. Le FSN relève alors de la compétence de cet État membre et applique les dispositions prises pour la transposition de la directive NIS en France.
Quelles sont ses principales dispositions ?
1. Gouvernance
Le premier volet de la directive prévoit le renforcement des capacités nationales de cybersécurité des États membres.
Les principes prévus sont conformes à l’organisation nationale existante, mature et fonctionnelle :
- Une autorité nationale en matière de cybersécurité et de cyberdéfense, l’ANSSI, qui participe par ailleurs au groupe de coopération rassemblant les États membres (art.11) ;
- Un centre de réponse aux incidents, le CERT-FR (art. 9), impliqué dans les échanges opérationnels avec les CSIRT nationaux existants (art.12).
Cette organisation est supportée par la stratégie nationale pour la sécurité du numérique, présentée en 2015, et renforcée par la Revue stratégique de cyberdéfense (RSC) présentée le 12 février 2018.
2. Coopération
La multitude de vulnérabilités informatiques critiques, ainsi que la multiplication de réseaux de machines zombies « botnet » et de vagues d’attaques sans frontières, mettent en évidence la nécessité de pouvoir s’appuyer sur un réseau global d’expertise, de vigilance et de traitement des incidents cyber à l’échelle européenne.
La directive NIS prévoit la mise en place d’une coopération entre les États membres portant sur les aspects politiques et opérationnels de la cybersécurité.
Politique : Le groupe de coopération
L’article 11 de la directive NIS a mis en place un Groupe de coopération qui réunit depuis février 2017 les représentants des États membres, de la Commission européenne et de l’ENISA. Ses sessions plénières sont présidées par la présidence en exercice du Conseil de l’UE.
Ses objectifs :
- Soutenir et faciliter la coopération stratégique entre les États membres ;
- Faciliter l’échange d’information et renforcer la confiance mutuelle;
- Élever le niveau global de maturité et les capacités nationales de cybersécurité (formations, outillages, etc.).
En France, l’ANSSI, l’Agence nationale de la sécurité des systèmes d'information, autorité nationale, participe à ces échanges. Les travaux menés par le groupe de coopération ont permis d’accompagner les États membres pour la transposition de la directive en élaborant des méthodologies communes (règles de sécurité, identification des OSE et des FSN, etc.).
Le groupe de coopération est également une plateforme d’échange entre les États membres de l’UE permettant de mener des réflexions à l’échelle européenne, que ce soit sur des sujets transverses ou bien au niveau secteur d’activité.
Opérationnel : Le réseau des CSIRTS nationaux
En vertu de l’article 9 de la directive, chaque État membre a désigné un ou plusieurs CSIRT chargés de la gestion des incidents et des risques au niveau national. Depuis février 2017, ces CSIRT se retrouvent au sein du groupe des CSIRT nationaux (dénommé « CSIRT Network »), une base précieuse d’échanges entre les États, créée par l’article 12 de la directive.
Les membres du (Ouvre une nouvelle fenêtre) CERT-EU participent également aux rencontres, tout comme la Commission européenne en tant qu’observateur. L’ENISA assure quant à elle le secrétariat des rencontres et soutient la coopération entre les CSIRT.
Ses objectifs :
- Renforcer des capacités nationales de cybersécurité en constituant un réseau d’experts ;
- Consolider la confiance en favorisant les échanges entre les CSIRT nationaux ;
- Partager la connaissance des menaces portant sur l’espace européen ;
- Promouvoir la coopération opérationnelle multidomestique.
Le (Ouvre une nouvelle fenêtre) CERT-FR de l’ANSSI, qui représente la France dans de nombreux groupements de CSIRT européens et internationaux, a été désigné unique CSIRT pour assurer la mission de CSIRT national au sein du « CSIRT Network ».
3. Cybersécurité des OSE
Une fois désigné, un opérateur de service essentiel devra :
- Identifier un représentant auprès de l’ANSSI ;
- Identifier son ou ses système(s) d’information essentiel(s) (SIE) ;
- Appliquer dans des délais impartis des règles de sécurité (art. 6) ;
- Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés ;
- Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.
Les règles de sécurité sont définies dans (Ouvre une nouvelle fenêtre) l'arrêté du 14 septembre 2018.
Des sanctions sont également prévues en cas de non-respect de la réglementation. Le coût des contrôles, effectués par l’ANSSI, destinés à vérifier le respect des obligations relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels est précisé dans un (Ouvre une nouvelle fenêtre) arrêté paru le 1er août 2018.
4. Cybersécurité des FSN
Un fournisseur de service numérique devra :
- Analyser les risques sur ses systèmes d’information ;
- Prendre des mesures techniques et organisationnelles dans chacun des domaines suivants :
- La sécurité des systèmes et des installations ;
- La gestion des incidents ;
- La gestion de la continuité des activités ;
- Le suivi, l’audit et le contrôle ;
- Le respect des normes internationales.
- Déclarer à l’ANSSI tout incident de sécurité susceptible d’avoir un impact significatif sur la continuité des services qu’ils assurent. L’ANSSI pourra en informer le cas échéant le public ou les États membres concernés ;
- Etre soumis à des contrôles de sécurité, effectués à la demande du Premier ministre, par l’ANSSI ou par des prestataires de service qualifiés.
Pour aller plus loin
1. Références réglementaires
| Références | Liens |
|---|---|
Directive NIS |
|
Le règlement d’exécution 2018/151 de la Commission européenne du 30 janvier 2018 |
|
Loi de transposition n° 2018-133 du 26 février 2018 portant diverses dispositions |
|
Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information |
|
Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 |
|
Arrêté du 1er août 2018 relatif au coût d'un contrôle effectué par l'Agence nationale de la sécurité des |
|
Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 |
2. Formulaires
OSE - Déclaration de SIE :
Pour effectuer la déclaration de leurs systèmes d’information essentiels, les OSE doivent recourir au formulaire ci-dessous.
A noter : Le formulaire doit être transmis à l’Agence par voie postale ou par voie électronique. Dans ce dernier cas, il est demandé de protéger la transmission à l’ANSSI de cette déclaration à l’aide d’un moyen de chiffrement suivant : ACID cryptofiler, Zed!.
Formulaire de déclaration d'un SIE
PDF - 258,5 Kio
OSE et FSN - Déclaration d’incidents :
Les OSE et les FSN doivent notifier directement l’ANSSI des incidents affectant leurs SIIV. Les informations relatives à la déclaration d’incidents sont disponibles sur cette page.
3. Publications et lignes directrices
Le groupe de coopération NIS, parmi ses principaux livrables, produit des lignes directrices non-contraignantes vis-à-vis des États membres, afin de favoriser une mise en œuvre efficace et cohérente de la directive NIS à travers l’UE. Ces documents sont accessibles au lien suivant :
Cf. (Ouvre une nouvelle fenêtre) https://ec.europa.eu/digital-single-market/en/nis-cooperation-group