Identification de premiers opérateurs de services essentiels dans le cadre de la directive « Network and Information Security »

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé le 9 novembre 2018 que, dans le cadre de la mise en œuvre de la directive Network and Information Security (NIS) adoptée en juillet 2016, la France avait identifié 122 opérateurs de services essentiels (OSE), et a précisé que "ce chiffre, non définitif, sera[it] amené à augmenter". En effet, la directive, dont la transposition en droit français a été finalisée le 29 septembre 2018, définit et identifie les OSE qui sont des acteurs qui fournissent "un service essentiel (SE) dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société". Ces opérateurs "devront désigner un représentant auprès de l’ANSSI et identifier leurs systèmes d’information essentiels (SIE)" puis "appliquer les règles de sécurité à leurs systèmes d’information essentiels et notifier à l’ANSSI les incidents de sécurité survenus sur ces systèmes".

Pour lire le communiqué de presse de l'ANSSI

Publication d’un arrêté dans le cadre de la transposition de la directive NIS

Le 26 juin 2018 a été publié l’arrêté fixant les modalités des déclarations prévues par le décret du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique. Il précise notamment que l’opérateur de services essentiels devra effectuer une déclaration d’incident de sécurité dès qu’il aura eu connaissance d’un tel incident, "même s'il ne dispose pas de toutes les informations relatives à ses causes et conséquences". Ces déclarations comprendront "des informations relatives au déclarant, au réseau et système d'information affecté par l'incident, aux conséquences de l'incident sur les services (…) concernés, au type d'incident, à ses causes et aux mesures prises (…) pour y répondre".

Pour lire l’arrêté sur Légifrance

Promulgation de la loi de transposition de la Directive “NIS”

Le 26 février 2018, a été promulguée une loi “portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité”. Ces dispositions portent création d’obligations en matière de sécurité informatique à la charge de deux types d’acteurs identifiés : les opérateurs de services essentiels et les fournisseurs de service numérique. Ils sont désormais tenus de mettre en place des mesures techniques pour prévenir les risques menaçant la sécurité des réseaux et systèmes nécessaires à la fourniture de leurs services et déclarer sans délai à l’ANSSI les incidents susceptibles d’avoir un impact significatif sur la continuité de ces services. Ces dispositions entreront en vigueur à une date fixée par décret et au plus tard le 10 mai 2018.

Pour lire le texte de loi sur Légifrance