01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Renforcement des impératifs de sécurité informatique au niveau Européen : la Directive NSI

Europe NSI sécurité informatique haas avocats
  • Actualité juridique, Base de données, BIG DATA, Cybercriminalité, Data, Données personnelles, Droit communautaire, Droit de l'Internet, Droit des télécommunications, Fichier informatique, Information et libertés, Loi Informatique et libertés, Site internet

Par Stéphane ASTIER et Marine BONNEAUD

La réglementation du marché numérique s’accélère, en Europe comme en France. Ainsi, le 6 juillet 2016, le Parlement Européen a adopté la Directive NSI (Network Security and Information) en vue de sécuriser le marché numérique et de consolider la confiance des citoyens et des consommateurs dans l’économie numérique à l’échelle européenne.

Augmentant les moyens de la cyber-sécurité et instituant un des premiers encadrements des plateformes digitales, l’Union Européenne se pose en acteur majeur de la sécurité informatique sur la scène internationale.

Cette directive vient en outre appuyer la notion d’Opérateurs d’importance vitale (OIV) visée par trois arrêtés français du 24 juin 2016, pris en application de la Loi de programmation militaire de décembre 2013 (ci-après LPM).

Le renforcement de la sécurité informatique en Europe est en marche avec trois objectifs principaux :

 

1. Renforcer la coopération et unifier le niveau de sécurité

La Directive NSI institue des normes de sécurité communes afin d’assurer un haut niveau de confiance dans les systèmes de réseaux et d’information de l’Union. Une protection harmonisée permet également de protéger les infrastructures interconnectées qui s’étendent dans plusieurs Etats membres.

D’un point de vue commercial, la Directive tend vers une standardisation qui permettra d’assurer une meilleure qualité des échanges inter frontaliers.

Enfin, le texte crée un cadre formel de coopération stratégique en organisant la gouvernance de la cyber-sécurité.

 

2. Instituer une gouvernance européenne et nationale de la cyber-sécurité

  • La Directive NSI impose à chaque Etat membre d’organiser la gouvernance de la sécurité informatique. Celle-ci se décline en trois volets :

Premièrement, chaque Etat est tenu de désigner une ou plusieurs autorité(s) compétente(s) pour transposer et contrôler l’application de la Directive NSI. En France c’est l’agence nationale pour la sécurité des systèmes d’information (ANSSI) qui en aura la charge.

Deuxièmement, les Etats membres doivent se doter d’un centre de réponse aux incidents de sécurité informatique (CSIRT) ou centre de réponse aux urgences informatiques (CERT). Les missions de ces structures consistent dans l’alerte, le suivi et l’analyse des failles de sécurité informatique et de leurs conséquences. Chacun des organismes nationaux sera intégré au réseau européen des CSIRT.

Troisièmement, les Etats seront chargés d’établir une stratégie en matière de sécurité informatique. Pour cela, ils devront identifier les risques qui pèsent sur les administrations et les entreprises, établir des mesures de prévention et prévoir des protocoles de gestion et de réponse aux incidents. En fonction des objectifs fixés, les législateurs nationaux voteront les textes contraignants.

 

  • La Directive organise également la gouvernance au niveau européen :

Aux prérogatives de l’agence européenne de la sécurité des réseaux et de l’information (ENISA) s’ajoute l’assistance qu’elle devra apporter aux Etats dans la transposition de la Directive NSI.

Afin d’atteindre les objectifs de coopération et d’efficacité de la sécurité des réseaux fixés par la Directive, l’agence sera accompagnée du réseau des CSIRT pour centraliser les informations sur les risques et les solutions en la matière.

 

3. Réglementer les activités essentielles

  • Les opérateurs de services essentiels et les opérateurs d’importance vitale (OIV)

La Directive NSI, comme la Loi de programmation militaire, encadre le fonctionnement des structures indispensables à la pérennité d’activités critiques et à la fourniture des services essentiels à la société et à l’économie.

Le texte européen liste à ce titre les secteurs de l’énergie, des transports, de la banque et des marchés financiers, de la santé, des services ayant trait à l’eau potable, ainsi que les opérateurs de service numérique.

Cette dernière catégorie inclut les marketplaces (ou places de marché en ligne, pour en savoir plus sur ce sujet cliquez ici[1]) les sites de e-commerce, les moteurs de recherche, les services Cloud (comme Appel icloud, Dropbox, Google docs…) ainsi que les infrastructures numériques (points d’échange internet IXP, fournisseurs de services DNS et registres de noms de domaine de premier niveau). Les micros entreprises comme les très petites entreprises sont exclues du champ de la Directive.

Dans chaque secteur listé, seuls les acteurs dont l’activité dépend fortement des réseaux et des systèmes d’information (SI) sont visés par la Directive.

Si les arrêtés français pris le 24 juin ne citent pas les opérateurs de services numériques en tant qu’OIV, la liste inclut, outre les secteurs énumérés par la Directive, l’alimentation, la communication, l’électronique, l’audiovisuel et l’information, les industries ainsi que les activités civiles, militaires et judiciaires de l’Etat.

 

  • Les obligations mises à leur charge

La Directive impose à ces acteurs de prendre des mesures préventives pour sécuriser leurs infrastructures et améliorer leur capacité de résistance aux cyberattaques. Il s’agit d’appréhender les risques qu’elles encourent et l’impact qu’une attaque pourrait provoquer, à savoir le nombre de personnes susceptibles d’être concernées, la durée du dysfonctionnement et sa portée géographique.

En outre, elles sont tenues de signaler les incidents majeurs de sécurité informatique impactant significativement la continuité du service aux autorités de contrôle nationales ainsi qu’aux personnes concernées (clients, utilisateurs, citoyens…).

Ces obligations étaient déjà contenues dans la LPM française. Elles font également écho au règlement européen sur la protection des données[2], qui oblige les responsables de traitements de données à caractère personnel à notifier à la Commission nationale Informatique et Liberté (CNIL) tout incident ayant trait à la perte ou au vol de données, et à en faire part aux personnes dont les droits sont menacés.

Ceci précisé, la Directive NSI laisse aux législateurs nationaux le soin de définir le détail des règles que les opérateurs de services essentiels devront respecter. La France est allée plus loin : la LPM prévoit, outre les obligations imposées par la Directive, la possibilité de réaliser un audit des organisations identifiées par des prestataires qualifiés ou les autorités compétentes, qui sont dotées d’un pouvoir d’instruction contraignant. La LPM impose des contrôles et un certain niveau d’équipement pour détecter les tentatives d’intrusion.

Ainsi, les entreprises françaises qui ont lancé un processus de mise en conformité avec la LPM seront par là même en phase avec la Directive. Les fournisseurs de services numériques, qui n’étaient pas touchés par la législation française, doivent maintenant entamer cette démarche.

 

 

La sécurité informatique est désormais au cœur des réformes législatives et réglementaires tant au niveau européen qu’au niveau Français. Ainsi, qu’il s’agisse des acteurs publics, des Opérateurs d’Importance vitale ou des entreprises dédiée au monde digitale, chaque acteur doit désormais tenir compte des règles qui s’imposent à lui : principes d’accountability et de privacy by design[3] impliquant de justifier la mise en place de mesures préventives et autres tests d’intrusions, certification, mise en place d’un « référentiel sécurité »[4] participant à la bonne gouvernance de l’entreprise. 

Fort d’une longue expérience auprès d’entreprises innovantes, le Cabinet HAAS accompagne régulièrement ses clients sur les questions de sécurité informatique. Audits de traitements (label CNIL), élaboration ou mise à jour du « Référentiel Sécurité » et assistance contractuelle, le Cabinet HAAS vous aide à vous mettre en conformité avec les textes en vigueur et à faire de la sécurité informatique de votre entreprise un véritable atout.

 

Si vous souhaitez en savoir plus, cliquez ici.

 

[1] https://www.haas-avocats.com/ecommerce/cles-juridiques-pour-reussir-marketplace/

[2] https://www.haas-avocats.com/data/protection-des-donnees-pustronglication-reglement-europeen/

[3] https://www.haas-avocats.com/ecommerce/les-grandes-tendances-2016-monde-digital/ ; https://www.haas-avocats.com/ecommerce/vie-privee-protection-des-donnees-qui-changer-2016-partie-une-ostrongligation-securite-renforcee/

[4] https://www.haas-avocats.com/actualite-juridique/sensistrongiliser-lentreprise-risque-securite-informatique/ ; https://www.haas-avocats.com/ecommerce/strongyod-shadow-dsi-comment-concilier-efficacite-securite-informatique/

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com