Analyse de l'avocate spécialisée en droit international Anne Petit, en collaboration avec le cabinet Ontier España 

Le 10 mai 2018 entrera en vigueur la Directive 2016/1148, dite Directive NIS (« Network and Information System »), visant à harmoniser le niveau de sécurité des réseaux et systèmes d’information au sein de l’UE.

Un des principaux objectifs de ce texte est de s’assurer que les entreprises ou les opérateurs fournissant des services essentiels disposent d’un niveau commun élevé de cyber sécurité, en octroyant aux Etats membres le pouvoir d’infliger aux sociétés ou entités réfractaires et non conformes des sanctions proportionnées mais dissuasives

La Directive confirme également le principe d’autoévaluation qui prédomine actuellement dans le domaine technologique, en application duquel c’est à l’entreprise qu’il revient d’évaluer ses propres systèmes d’information, d’identifier les risques, de déceler les lacunes et d’en notifier l'organisme compétent.

Aux termes de la Directive, chaque pays devra définir les services qu’il considère « essentiels » sur la base de trois critères : (i) le service fourni doit être essentiel au maintien d’activités sociétales et/ou économiques critiques, (ii) il doit être tributaire des réseaux et des systèmes d'information et (iii) un incident éventuel aurait un effet disruptif important sur la fourniture dudit service. L’importance de cet effet disruptif sera déterminée en fonction de divers facteurs tels que le nombre d'utilisateurs tributaires du service fourni, la part de marché du fournisseur de service et l’impact que pourraient avoir ces incidents en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique. Il convient de rappeler que dans l’analyse de l’effet disruptif, seules sont visées les entités appartenant aux secteurs de l'Energie (électricité, pétrole et gaz), des Transports, des Banques, des Marchés Financiers, de la Santé, de l'approvisionnement en eau et les infrastructures digitales ("DSP"), qui disposent de places de marché en ligne, de moteurs de recherche en ligne et de services d'informatique en nuage. Par conséquent, il découle de la directive que toutes les entreprises qui répondent à certains critères de service essentiels mais qui ne font pas partie des secteurs spécifiés ne seront pas soumises aux obligations de la Directive.

En conséquence, les entreprises qui relèvent de la définition du service essentiel et appartiennent aux secteurs essentiels visés par la Directive, devront assumer toute une série de nouvelles responsabilités visant à garantir la sécurité informatique de l’entreprise et des usagers. Tout opérateur de services essentiels devra prendre les mesures de sécurité adaptées aux risques encourus afin de réduire au minimum le risque d’incident pouvant affecter la sécurité de ses réseaux. Par ailleurs, tout incident devra être notifié aux autorités compétentes ("CSIRT"). Les effets seront évalués en fonction de critères objectifs qui mesureront le nombre de personnes touchées par l'incident, sa durée et son étendue géographique.

Les fournisseurs de services numériques essentiels seront quant à eux soumis aux mêmes critères mais les mesures qu’ils devront mettre en place devront en outre assurer la sécurité des systèmes et des installations et le respect des normes internationales. Les critères de détermination de l’impact des incidents seront également élargis à la gravité de la perturbation du fonctionnement du service et à l'ampleur de l'impact sur les fonctions économiques et sociétales.

L'entrée en vigueur de la directive SRI contraindra les sociétés de services essentiels à maintenir un programme effectif de cyber sécurité afin d'éviter les lacunes, au risque de s’exposer à d'éventuelles sanctions et amendes. Les entreprises de services essentiels intervenant au sein de l’UE devront mettre en place des protocoles de contrôle des réseaux, développer des politiques de cyber sécurité et mettre en place des actions visant à garantir à tout moment la sécurité des usagers.

Notons que la Directive pointe particulièrement les fournisseurs de services numériques, qu'elle soumet à des obligations supplémentaires, dans la mesure où les services fournis peuvent revêtir une importance cruciale pour le bon fonctionnement des entreprises qui en dépendent.

14/05/2018 - Toute reproduction interdite.


Les serveurs pour le stockage des données sont disponibles au Thor Data Center d'Advania à Hafnarfjordur, en Islande, le 7 août 2015.
De Anne Petit