Le 6 juillet 2016 entrait en vigueur la directive NIS (Network and Information Security). Alors que l’on arrive à moins d’un an de la date limite pour la transposition de la directive (9 mai 2018), elle fait de plus en plus parler d’elle. Mais quelles obligations cette directive introduit-elle ?
La directive NIS : un texte majeur
Au niveau national, la directive requiert notamment l’établissement d’une stratégie cybersécurité et la mise en place d’un CSIRT ainsi que d’une autorité en charge de ces sujets. Pour les entreprises, elle introduit deux volets d’obligation pour deux types d’acteurs :
- Les Opérateurs de Services Essentiels doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et et des systèmes d’information
- Les Fournisseurs de Services Numériques sont tenus de notifier les incidents de sécurité à l’autorité compétente
La nécessité d’orientations fortes et communes
La directive NIS est le pendant sécurité de la stratégie européenne du Marché Unique Numérique, lancée en 2015, qui vise à faire du numérique un moteur de la croissance : la confiance des entreprises et des consommateurs est indispensable pour ce projet, car sans confiance, pas de croissance !
Les pays européens sont de plus en plus dépendants du numérique et des systèmes d’information, et leurs réseaux sont de plus en plus reliés. Et cette interconnectivité fait leur force comme leur faiblesse, puisque le niveau de sécurité d’un système d’information est équivalent à celui de son point le plus faible.
Or, on observe une très forte hétérogénéité entre les Etats Membres au regard de ces enjeux, étant donné que la prise en charge de la cybersécurité se faisait jusqu’ici au niveau national.
C’est à ce risque systémique que l’Europe cherche à remédier avec la directive NIS. Il s’agit de la première législation européenne régissant les pratiques cybersécurité de façon cross-sectorielle.
Elle se démarque des textes spécifiques à une problématique particulière, tels que le GDPR. Souvent associé à la directive NIS, il n’a pourtant pas les mêmes objectifs puisqu’il se concentre sur le seul périmètre de la protection des données personnelles tandis que la directive vise à assurer un certain niveau de cybersécurité via la définition de standards de sécurité et la notification des incidents (qu’ils touchent à des données personnelles ou non). Reste qu’une cyber-attaque mettra souvent en jeu les deux domaines, et qu’il fait donc sens de ne pas considérer ces deux textes séparément lors de la mise en conformité.
Un processus de transposition déjà engagé
Le texte étant une directive et non un règlement, il est nécessaire que chaque Etat Membre transpose ces orientations dans son cadre législatif national.
De nombreux pays ont déjà annoncé des premières mesures s’inscrivant dans le cadre de la directive :
- Le Royaume-Uni a confirmé son intention de transposer le texte malgré le Brexit ; le montant des pénalités prévues dans le texte vient d’être communiqué et celles-ci sont particulièrement importantes
- La Pologne a annoncé l’ouverture d’un nouveau centre national dédié à la cybersécurité (NC Cyber) ;
- La Belgique a présenté six mesures phares pour renforcer la cybersécurité, à la suite de WannaCry, cyberattaque mondiale qui a paralysé de nombreuses entreprises le mois dernier ;
- La République Tchèque a amendé sa loi cybersécurité pour prendre un compte plus de secteurs critiques et se conformer aux exigences de la directive ;
- L’Italie a révisé son Plan National pour la Cyber Protection et la Sécurité Digital, en accord avec les orientations données par la directive ;
- La Croatie a mis en place un groupe de travail pour préciser les modalités de transposition de la directive ;
- La Suède a d’ores et déjà fourni des détails sur la transposition, tels que l’ordre de grandeur des pénalités applicables, ou encore les entités responsables de la mise en œuvre.
Sur un certain nombre d’aspects, le texte est très peu directif et fixe des objectifs sans imposer de moyens. Il est du ressort de chaque pays de travailler à l’interprétation et de définir des mesures plus concrètes permettant l’atteinte de ces objectifs.
L’enjeu est donc d’atténuer l’hétérogénéité entre les pays européens et de parvenir à lisser le niveau de cybersécurité en limitant les écarts trop importants, afin de réduire la complexité de mise en conformité pour les acteurs présents dans plusieurs pays.
Pour ce faire, une collaboration structurée s’organise à l’échelle de l’UE :
- Une révision du mandat de l’ENISA, l’agence européenne en charge de la sécurité des réseaux et de l’information, est à l’étude, avec entre autres l’objectif de lui donner la latitude nécessaire à l’accomplissement des missions relatives à la directive ;
- Un Groupe de Coopération, composé de représentants nationaux ainsi que de l’ENISA et la Commission Européenne, donnera des orientations stratégiques ;
- Un réseau de CSIRT s’organise aussi, et sera en mesure d’assurer la communication et l’échange de bonnes pratiques, ainsi que d’appuyer les Etats Membres pour les sujets relatifs à la directive.
Comment se préparer à l’arrivée de la directive ?
Concrètement, comment anticiper dès maintenant ce nouveau texte et quel plan d’actions déployer ? Cela dépend en pratique du type de structure (OSE ou FSN).
Concernant les fournisseurs de service numériques (FSN), une approche harmonisée est requise : les Etats Membres ne peuvent pas imposer d’autres exigences liées à la sécurité ou aux notifications, et en ce sens, la directive se rapproche d’un règlement pour ce type d’acteur. Cette singularité par rapport aux OSE provient du caractère transfrontalier de leurs activités et du fait que beaucoup sont des entreprises étrangères non implantées sur le territoire européen, qui devront désigner un représentant basé dans un Etat Membre pour être l’interlocuteur attitré concernant les questions liées à NIS (Article 18 de la directive). Il est donc essentiel que chaque pays impose les mêmes obligations, dans l’objectif d’éviter que le choix du pays d’implantation ne soit orienté par ce critère.
Les obligations pour les FSN sont d’ailleurs un peu moins contraignantes : par exemple, ils ne sont dans l’obligation de notifier un incident que s’ils ont accès aux informations nécessaires pour évaluer son impact au regard des critères définis dans la directive (Article 16).
D’ici le 9 août prochain, la Commission Européenne publiera les actes d’exécution et il sera alors possible de commencer le processus de mise en conformité.
Pour les Opérateurs de Services Essentiels (OSE), en France, il y a deux principaux cas de figure.
D’abord, les opérateurs déjà identifiés comme OIV, opérateurs d’importance vitale, dans le cadre de la Loi de programmation militaire française (LPM). Pour eux, l’enjeu de mise en conformité est moins significatif, puisque la LPM introduit déjà de nombreuses obligations ; la directive n’en introduira probablement pas de plus exigeantes. Quelques éléments tels que le reporting pourraient être à adapter, mais il n’y a pas de changement majeur à prévoir.
Toutefois le périmètre de la directive est susceptible d’être plus large que celui de la LPM, et certains opérateurs des secteurs critiques définis par chaque Etat devront alors commencer leur mise en conformité. Les Etats Membres ont jusqu’à novembre 2018 pour désigner les OSEà partir des critères définis dans le texte. La liste des opérateurs désignés sera ensuite passée en revue par la Commission Européenne en mai 2019.
Les structures concernées devront ensuite mettre en place une veille juridique pour suivre l’évolution du processus de transposition, puisque pour les OSE, les Etats Membres sont en droit d’imposer des mesures allant au-delà du socle commun défini par la directive.
Beaucoup de chantiers restent maintenant à mener par les Etats Membres : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables, sans oublier la désignation des secteurs critiques et des OES par chaque pays.
On assiste ainsi à un véritable renouveau du paysage législatif de la cybersécurité en Europe visant avant tout à homogénéiser le niveau de sécurité des SI entre états membres, dont il sera intéressant de suivre l’évolution.