29 mars 2018

Brève - Actualités - CYBERSECURITE - Transposition de la Directive Européenne 2016/1148 "Network Information Security" (NIS)


La loi transposant en France la Directive européenne « Network Information Security » (NIS) de 2016 a été promulguée le 26 février 2018, devançant de quelques semaines la date butoir fixée au 9 mai. C’est une pièce maîtresse dans l’arsenal destiné à prévenir et limiter les effets de cyber-attaques pouvant toucher des secteurs clés de la société civile et de l’économie. Elle accroît les obligations et risques de certaines entreprises en matière de cyber-sécurité.

Jusqu’à présent, seule une catégorie limitée d’acteurs qualifiés d’« opérateurs d’importance vitale » (OIV) par la loi de programmation militaire de 2013 étaient soumis à des obligations très strictes en matière de cyber-sécurité. Eu égard à l’importance des enjeux et à la multiplication des attaques touchant d’autres secteurs d’activités tenus pour stratégiques (énergie, transport, banques et marchés financiers, santé, eau, infrastructures numériques…), la Directive étend certaines obligations à d’autres entreprises, qualifiées d’« opérateurs de services essentiels » (OSE), bien plus importantes en nombre.

La France a jusqu’au 9 novembre 2018 pour déterminer la liste des OSE affectés par les nouvelles règles de sécurité informatique, précisées et appliquées sous l’impulsion et le contrôle de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), laquelle disposera d’un pouvoir d’audit et de sanctions. Ces OSE auront par exemple pour obligations de : (i) mettre en œuvre les nouveaux dispositifs adoptés, (ii) notifier à l’autorité administrative tout incident de sécurité et (iii) se soumettre, à leurs frais, aux contrôles imposés. En outre, bien que plus légères que celles pesant sur ces OSE, la loi renforce les obligations des « fournisseurs de services numériques » (FSN), à savoir : les places de marché en ligne, moteurs de recherche ou fournisseurs de services « cloud » actifs au sein de l’Union européenne. Ils devront aussi notifier les incidents de sécurité et encourent des sanctions financières en cas de manquement.

En cas de non-respect de ces obligations ou d’entrave au contrôle, les entreprises encourront des sanctions allant de 75.000 à 125.000 €. Sans parler des risques liés à la publication des atteintes à la sécurité qui pourra être décidée par l’ANSSI et à la pratique en vogue sur les réseaux sociaux du « name and shame » contre les firmes impliquées. Enfin, nous rappellerons que 77% des attaques des hackers sont dirigées contre des PME. Aucune entreprise n’est à l’abri du risque !

Aucun commentaire:

Publier un commentaire