La directive 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 dite directive « Network and Information Security », autrement appelée Directive NIS, a été transposée en droit français par le titre premier de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité. Mathias Avocats avait étudié pour vous le contenu de la directive, puis de la loi de transposition.
Un décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels vient préciser les modalités d’application de ce nouveau régime. Il n’aborde que marginalement le régime applicable aux fournisseurs de service numérique, déjà précisé par le règlement d’exécution n°2018/151 de la Commission du 30 janvier 2018.
Cependant, il apporte un certain nombre de précisions relatives au régime des opérateurs de services essentiels, ou OSE. Notamment, un plus grand nombre de secteurs d’activités sont désormais concernés.
Votre entité peut-elle être qualifiée d’opérateur de services essentiels ? Mathias Avocats vous en dit plus.
L’opérateur de services essentiels, nouvel acteur
La directive NIS a créé la catégorie des opérateurs de services essentiels. La loi de transposition, reprenant la directive, les définit comme « les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services » (loi de transposition, article 5, alinéa 1).
Le décret précise les modalités de désignation des opérateurs de services essentiels, qui s’articule autour de deux grands critères.
Un plus grand nombre d’activités concernées
Tout d’abord, l’opérateur doit fournir au moins l’un des services mentionnés dans l’annexe du décret par des réseaux et systèmes d’information (décret, article 1er). La directive visait en son annexe II une série de sept secteurs d’activités, divisées en sous-secteurs et en type d’entités.
Le décret du 23 mai précise et complète la liste établie par la directive. Ainsi, parmi les sept secteurs déjà identifiés, le décret rajoute des sous-secteurs et/ou des types d’entité concernée. Cela est par exemple le cas dans le secteur des transports, qui comprend désormais notamment les entreprises de transports guidées ainsi que les entreprises d’exploitation et de gestion d’infrastructures routières. Dans le secteur de la santé, on note également l’arrivée des grossistes répartiteurs pharmaceutiques.
Aux secteurs précédemment mis en avant par la directive s’ajoutent également de nouveaux secteurs. Ainsi, les assurances, mutuelles, institutions de prévoyance et réassureurs sont désormais susceptibles d’être désignées par le Premier Ministre comme opérateurs de services essentiels. Le secteur de l’éducation est aussi concerné : les opérateurs chargés du parcours éducatif national et les opérateurs chargés de l’organisation d’examens nationaux pourront être désignés comme opérateurs de services essentiels.
Au final, de nombreuses entités sont désormais susceptibles d’être désignées opérateur de services essentiels. Cela dénote une volonté du gouvernement d’aller au-delà d’une simple transposition a minima de la directive NIS et de renforcer la prise en compte de la cybersécurité chez les acteurs français, ambition annoncée notamment au sein de la revue stratégique de cyberdéfense.
L’appréciation de la gravité des conséquences d’un incident
Pour qu’une entité soit désignée comme opérateur de service essentiel, il est également nécessaire qu’un incident affectant les réseaux et systèmes d’information servant à la fourniture dudit service essentiel ait des conséquences graves sur cette fourniture. Pour évaluer la gravité des incidents potentiels, sept critères sont délimités par le décret (décret, article 2) :
- Le nombre d’utilisateurs dépendant du service ;
- La dépendance des autres secteurs d’activités de « services essentiels » à l’égard du service examiné ;
- Les conséquences qu’un incident pourrait avoir, en termes de gravité et de durée, sur le fonctionnement de l’économie ou de la société ou sur la sécurité publique ;
- La part de marché de l’opérateur ;
- La portée géographique eu égard à la zone susceptible d’être touchée par un incident ;
- L’importance que revêt l’opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service ;
- Le cas échéant, des facteurs sectoriels propre à l’entité.
Comment savoir si votre entité est un Opérateur de Services Essentiels ?
Les opérateurs de services essentiels font l’objet d’une désignation spéciale par arrêté du premier ministre (décret, article 3), contrairement aux fournisseurs de service numérique à qui cette qualité est attribuée sans autre formalité.
Chaque opérateur de services essentiels potentiel se voit notifier l’intention du Premier Ministre de le désigner comme tel. Il dispose alors d’un mois pour présenter ses observations, sans que les modalités ou les conséquences de ces observations ne soient précisées par le décret (décret, article 3).
Ces observations pourront par exemple permettre à une entité d’informer le Premier Ministre qu’elle est déjà soumise à des obligations sectorielles ou à une qualification la conduisant à maintenir un niveau élevé de cybersécurité. Ce sera par exemple le cas si l’entité est un Opérateur d’Importance Vitale (loi de transposition, article 5 alinéa 2) ou un prestataire de service de confiance au sens du règlement eiDAS du 23 juillet 2014 (loi de transposition article 2 alinéa 1er).
Chaque ministre dont le domaine de compétence recouvre l’un des domaines de services essentiels fixés devra proposer au Premier Ministre une liste d’opérateurs de service essentiel potentiels dans son secteur, en justifiant cette désignation pour chacun. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) pourra également, après concertation avec les ministres concernés, proposer de la même manière des opérateurs de services essentiels potentiels au Premier Ministre (décret, article 4).
La directive NIS impose aux Etats membres d’identifier les opérateurs de service essentiel ayant un établissement sur leur territoire au plus tard au 9 novembre 2018 (directive, article 5, 1°).
Mathias Avocats peut vous accompagner dans l’évaluation du statut de votre entité au regard de la directive NIS.