Home / Publications / La transposition de la directive européenne Network...

La transposition de la directive européenne Network and Information System Security (NIS) en droit français est achevée

Lettre Propriétés intellectuelles | Janvier 2019

31/01/2019

La publication de l’arrêté du 14 septembre 2018 fixant les règles de sécurité s’appliquant aux opérateurs de services essentiels (OSE) vient achever la transposition en France de la directive 2016/1148 du 6 juillet 2016 (ci-après directive NIS).

La directive NIS établit des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne (UE) afin d'améliorer le fonctionnement du marché intérieur. A cette fin, elle impose notamment des mesures de sécurité et des obligations de signalement des incidents à deux types d’acteurs : les OSE et les fournisseurs de service numérique (FSN).

Adoptée par le Parlement européen et le Conseil de l'UE début juillet 2016, cette directive devait être transposée en droit interne au plus tard le 9 mai 2018.

Trois textes ont été adoptés et publiés dans le délai imparti :

  • la loi de transposition n° 2018-133 du 26 février 2018 portant diverses dispositions n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (voir notre article sur cette loi) ;
  • le décret d’application n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique qui fixe les modalités d’application des obligations législatives et liste les secteurs, les types d’opérateurs et les services essentiels concernés  ;
  • l'arrêté du 13 juin 2018 fixant les modalités de déclaration des incidents.

Toutefois, dans une lettre de mise en demeure adressée le 19 juillet 2018 à la France ainsi qu'à seize autres Etats membres, la Commission européenne a jugé cette transposition incomplète.L’arrêté du 14 septembre 2018, en vigueur depuis le 1er octobre 2018, apporte la dernière pierre à l'édifice en précisant les mesures de sécurité à mettre en œuvre par les OSE, ainsi que leurs délais d’application.Les 22 règles édictées et annexées à cet arrêté s’articulent autour de quatre aspects fondamentaux :

  • la gouvernance de la sécurité des réseaux et systèmes d’information ;
  • la protection de la sécurité des réseaux et systèmes d’information ;
  • la défense de la sécurité des réseaux et systèmes d’information ;
  • la résilience des activités.

Ces mesures ont pour objet de prévenir les incidents ou d’en limiter l’impact afin d’assurer la continuité des services essentiels.De nature préventive, elles devront être mises en place dans des délais variant de trois mois à trois ans à compter de la date de désignation de l’opérateur en tant qu’OSE.Conformément à l’article 9 de la loi de transposition du 26 février 2018, en cas de non-conformité avec ces obligations, les dirigeants des OSE peuvent encourir une amende de 100 000 euros.

Enfin, le 9 novembre 2018, au stade de l’échéance fixée par la directive NIS, la France a identifié une première liste d’OSE qui sera amenée à s’enrichir de nouvelles identifications dont un nombre significatif serait d’ores et déjà en cours d’instruction.


En savoir plus sur notre cabinet d'avocats :

Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise droit propriété intellectuelle 330x220

Expertise : Droit de la propriété intellectuelle

Publication : Lettre Propriétés intellectuelles

Auteurs

Portrait deAnne-Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Victoire Delloye