La loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité est venue transposer la Directive 2016/1148 du 6 juillet 2016 dite NIS (« Network and Information Security ») dans le droit interne français.
Comme le prévoyait la Directive, la loi vient instaurer deux nouvelles catégories d’acteurs : les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Service Numérique (FSN).
S’agissant des Opérateurs de Services Essentiels (OSE), ils sont définis comme s’agissant de toute « entité publique ou privée » dans l’un des secteurs ou sous-secteurs identifiés par la directive, et qui répond aux trois critères d’identification de l’article 5 paragraphe 2) de la directive, à savoir :
- l’entité fournit un service qui est essentiel au maintien d’activités sociales et économiques critiques ;
- la fourniture de ce service est tributaire des réseaux et des systèmes d’information ;
- un incident aurait un effet disruptif important sur la fourniture dudit service.
Parmi les sept secteurs identifiés par la Directive figure le secteur de l’eau, s’agissant de la fourniture et distribution d’eau potable.
Les États membres doivent désormais identifier quelles seront les entités qualifiées comme opérateurs de services essentiels, et ce dans un délai de six mois à compter du 9 mai 2018.
En France, les autorités vont très probablement s’appuyer sur le cadre règlementaire applicable aux Opérateurs d’importance vitale (OIV) d’ores et déjà mis en place. Il y en a environ 150 OIV dans sept secteurs. La loi de transposition indique à ce sujet qu’une liste de ces acteurs sera établie par le Premier ministre et actualisée « au moins » tous les deux ans
S’agissant de leurs obligations, les OSE devront désormais :
- prendre les mesures techniques et organisationnelles nécessaires, proportionnées et adaptées à la gestion des risques menaçant la sécurité des réseaux et des systèmes d’information ;
- prendre les mesures appropriées pour prévenir les incidents de compromission de la sécurité des réseaux et systèmes d’information ;
- veiller à notifier à l’autorité compétente au plan national ou au CSIRT[1] et sans retard injustifié, les incidents ayant un impact significatif sur la continuité des services essentiels.
Ils sont également astreints à des obligations renforcées, notamment :
- une obligation de respect des règles de cybersécurité qui vont être prochainement fixées par le Premier ministre, sous peine d’amende pouvant s’élever à 100 000 euros ;
- une obligation de déclaration à l’ANSSI en cas de piratage ou de bug informatique important, sous peine d’une amende pouvant s’élever à 75 000 euros.
De son côté, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est consacrée autorité compétente de l’État en matière de contrôle de la cybersécurité. Elle dispose désormais d’un pouvoir de contrôle élargi et peut notamment effectuer des contrôles sur place des OSE et des FSN.