La publication de l’arrêté du 14 septembre 2018 fixant les règles de sécurité s’appliquant aux opérateurs de services essentiels (OSE) vient achever la transposition en France de la directive 2016/1148 du 6 juillet 2016 (ci-après directive NIS).
La directive NIS établit des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne (UE) afin d'améliorer le fonctionnement du marché intérieur. A cette fin, elle impose notamment des mesures de sécurité et des obligations de signalement des incidents à deux types d’acteurs : les OSE et les fournisseurs de service numérique (FSN).
Adoptée par le Parlement européen et le Conseil de l'UE début juillet 2016, cette directive devait être transposée en droit interne au plus tard le 9 mai 2018.
Trois textes ont été adoptés et publiés dans le délai imparti :
- la loi de transposition n° 2018-133 du 26 février 2018 portant diverses dispositions n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (voir notre article sur cette loi) ;
- le décret d’application n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique qui fixe les modalités d’application des obligations législatives et liste les secteurs, les types d’opérateurs et les services essentiels concernés ;
- l'arrêté du 13 juin 2018 fixant les modalités de déclaration des incidents.
Toutefois, dans une lettre de mise en demeure adressée le 19 juillet 2018 à la France ainsi qu'à seize autres Etats membres, la Commission européenne a jugé cette transposition incomplète.L’arrêté du 14 septembre 2018, en vigueur depuis le 1er octobre 2018, apporte la dernière pierre à l'édifice en précisant les mesures de sécurité à mettre en œuvre par les OSE, ainsi que leurs délais d’application.Les 22 règles édictées et annexées à cet arrêté s’articulent autour de quatre aspects fondamentaux :
- la gouvernance de la sécurité des réseaux et systèmes d’information ;
- la protection de la sécurité des réseaux et systèmes d’information ;
- la défense de la sécurité des réseaux et systèmes d’information ;
- la résilience des activités.
Ces mesures ont pour objet de prévenir les incidents ou d’en limiter l’impact afin d’assurer la continuité des services essentiels.De nature préventive, elles devront être mises en place dans des délais variant de trois mois à trois ans à compter de la date de désignation de l’opérateur en tant qu’OSE.Conformément à l’article 9 de la loi de transposition du 26 février 2018, en cas de non-conformité avec ces obligations, les dirigeants des OSE peuvent encourir une amende de 100 000 euros.
Enfin, le 9 novembre 2018, au stade de l’échéance fixée par la directive NIS, la France a identifié une première liste d’OSE qui sera amenée à s’enrichir de nouvelles identifications dont un nombre significatif serait d’ores et déjà en cours d’instruction.
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.