LegalTech
Cybersécurité
La directive SRI : vers un cadre harmonisé ?
Après trois ans de négociations, le Parlement européen et le Conseil de l’Union européenne ont adopté le 6 juillet 2016 la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, dite « Directive SRI » ou bien « Directive NIS » (1). S’agissant d’une directive et non d’un règlement, sa transposition dans les droits nationaux de chaque Etat membre devra intervenir avant le 9 mai 2018. Notons que cette date est déjà bien connue des praticiens : il s’agit également de l’entrée en application du Règlement général sur la protection des données (2). En d’autres termes, les prochaines procédures de mise en conformité devront concerner tant la sécurité que la protection des données.
Une volonté européenne de renforcer la coopération entre Etats membres, institutions et acteurs économiques
Cette directive illustre la volonté de l’Union européenne de mettre en place une véritable stratégie pour un marché unique numérique (3) ainsi qu’un cadre juridique en matière de cybersécurité. Ainsi, indépendamment de lutter contre la cybercriminalité (4), la Commission européenne souhaite créer un environnement numérique de confiance et fiable pour la réalisation du commerce international des services. Force est de constater que cette directive s’inscrit dans le mouvement initié par la Commission depuis dix ans, qui rappelait déjà en 2006 que « la disponibilité, la fiabilité et la sécurité des réseaux et des systèmes d’information sont de plus en plus primordiales pour nos économies et pour la structure et la cohésion de la société » (5).
Cette volonté d’avoir un environnement digital fiable et sécurisé (6) est renforcée par les récents chiffres communiqués par la Commission européenne (7), « au moins 80% des entreprises européennes ont connu au minimum un incident lié à la cybersécurité au cours de l’année écoulée et le nombre d’incidents de sécurité tous secteurs confondus dans le monde a augmenté de 38% en 2015 ».
Malgré l’existence de l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) qui émet des recommandations et assiste les Etats membres dans la mise en œuvre de solutions de cybersécurité, aucun cadre commun n’était prévu et ces enjeux étaient traités à l’échelle nationale.
Les entreprises étaient donc confrontées à un patchwork de réglementations nationales, avec toute l’insécurité juridique que cela entraîne. A titre d’illustration, en ce qui concerne les obligations de notification des failles de sécurité impliquant des données à caractère personnel, on constate une grande diversité. Ainsi, en France ou en Pologne, des obligations de notification existent pour certains acteurs (opérateurs de télécommunication, etc.). En Italie, les obligations de notification s’imposent en cas de fuite de données de santé et/ou biométriques. Au Royaume-Uni ou en Irlande, ces notifications sont recommandées par les autorités mais ne sont pas imposées par la loi. En outre, les modalités de notification sont loin d’être identiques.
Dans ce contexte, la directive insiste sur la nécessaire coopération entre les autorités compétentes, à l’échelle nationale et européenne, afin de lutter contre les risques et les incidents touchant les réseaux et systèmes d’information. Le rôle de l’ENISA sera ainsi renforcé, il lui sera notamment demandé de mettre son expérience à contribution en tant que conseil des autorités. Autre création européenne mise à l’honneur, le Centre européen de lutte contre la cybercriminalité au sein d’Europol avec lequel les autorités devront échanger.
Chaque Etat membre devra par ailleurs désigner une ou plusieurs autorités nationales et mettre en place une stratégie pour gérer les cybermenaces. En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) sera en charge de « piloter la transposition (8)» et sera certainement « le point de contact unique » (9) en matière de sécurité des réseaux et des systèmes d’information.
Les nouvelles obligations en matière de sécurité
La directive définit deux notions importantes, à savoir les opérateurs fournissant des services essentiels et les fournisseurs de services numériques. Par « opérateur fournissant des services essentiels », les institutions européennes entendent toute entreprise qui joue un rôle important pour la société et l’économie, et qui évoluerait dans les secteurs suivants : l’énergie (électricité, pétrole et gaz), les transports (aérien, ferroviaire, par voie d’eau et routier), les services bancaires (établissements de crédit), les infrastructures de marchés financiers (plateformes de négociation, contreparties centrales), la santé (prestataires de soins de santé) ou encore l’eau (fourniture et distribution d’eau potable) (10). Les Etats membres doivent identifier quelles seront les entités qualifiées comme telles (11), dans un délai de six mois à compter du 9 mai 2018, date à laquelle ils devront avoir transposé la directive. Les trois critères d’identification de ces opérateurs sont la fourniture d’un service essentiel au maintien d’activités sociétales et/ou économiques critiques ; la fourniture de ce service étant tributaire des réseaux et des systèmes d’information ; et tout incident aurait un effet disruptif important sur la fourniture dudit service.
Il est probable que les autorités françaises s’appuient sur le cadre déjà mis en place, relatif aux Opérateurs d’importance vitale (OIV) que l’on considère comme des infrastructures critiques. En France, il y en a environ 150 OIV dans sept secteurs dont l’alimentation, la gestion de l’eau ou encore l’énergie. En effet, la loi de Programmation militaire adoptée en 2013 (12) renforçait déjà les obligations de sécurité concernant les systèmes d’information des OIV, en mettant à leur charge les obligations de notifier les incidents. Le champ d’application de la directive est donc plus large que celui couvert par la loi de programmation militaire.
Quant aux « fournisseurs de services numériques », il s’agit notamment des prestataires de cloud, des moteurs de recherche ou encore des plateformes en ligne comme Amazon.
La directive oblige chaque Etat membre à s’assurer que ces acteurs économiques prennent toutes mesures techniques et organisationnels appropriées dans le cadre d’une politique de gestion de risques. Ces mesures ayant vocation à éviter autant que possible ou à tout le moins réduire les conséquences des éventuels incidents de sécurité. En cas d’incident ayant un impact significatif sur la continuité de services de ces opérateurs, ces derniers devront les notifier aux autorités désignées, répondre à leurs demandes d’information et se conformer à leurs instructions.
Le niveau de sécurité mis en œuvre par ces acteurs devra être proportionnel aux risques potentiels qu’ils rencontrent dans le cadre de leur activité. Il s’agit donc de prendre en compte des facteurs de risques tels que la continuité de service, la sécurité logique et physique des infrastructures ou encore leur degré de conformité aux standards internationaux en matière de sécurité. Cependant, dans le cas des « fournisseurs de service numérique », ces exigences ne devraient pas être applicables aux micro-entreprises et aux petites entreprises (13).
Outre les obligations imposées aux « fournisseurs de service numérique » et aux « opérateurs de services essentiels », chaque État membre devra également adopter une stratégie nationale en matière de sécurité des réseaux. A ce titre, des objectifs stratégiques et des mesures politiques et réglementaires concrètes devront être définies et régulièrement actualisées. Les États membres devront également veiller à disposer de CSIRT (14), afin de garantir l’existence de moyens effectifs et compatibles pour gérer les incidents et les risques et assurer une coopération efficace au niveau de l’Union.
Un texte qui suscite des interrogations de la part des praticiens
En premier lieu, on peut regretter que le périmètre de cette directive soit assez étroit et ne concerne que deux types d’acteurs : les opérateurs fournissant des services essentiels et certaines plateformes numériques.
Par ailleurs, la directive est imprécise sur de nombreux points. Quelles seront les mesures techniques et organisationnelles concrètes à mettre en œuvre dans le cadre d’une gestion de risques ? Qu’est-ce qu’un impact significatif sur les services fournis par les opérateurs concernés ? En cas d’incident, quelles sont les modalités d’information du public par les autorités désignées ? Quels seront les pouvoirs et compétences de ces dernières ? Quelles seront les sanctions en cas de non-conformité ? Les seules exigences pour les sanctions étant qu’elles soient effectives, proportionnées et dissuasives.
La définition de « place de marché en ligne » semble assez réductrice eu égard aux ambitions affichées par le législateur européen. Il s’agit, au sens de la directive, d’un service numérique permettant de conclure des contrats en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne. Qu’en est-il des entreprises qui vendent leurs produits et services sur leurs propres sites internet ?
La Commission, consciente de l’évolution des technologies et de la marge d’appréciation laissée aux Etats membres qui impliquent un risque de non-cohérence entre les législations, a d’ores et déjà prévu un réexamen de la directive dès le 9 novembre 2018.
Les travaux d’harmonisation des règles relatives à la sécurité des réseaux et des systèmes d’information au sein de l’Union reviendront donc régulièrement dans les agendas des institutions européennes.
Garance MATHIAS
Avocat à la Cour – Fondateur de Mathias Avocats
Notes de bas de pages
- JOUE du 19.07.2016, Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union et qui est entrée en vigueur en août 2016.
- JOUE du 04.05.2016, Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE).
- http://ec.europa.eu/priorities/digital-single-market_en
- Voir notamment la communication conjointe au Parlement européen et au Conseil en date du 6 avril 2016 « Cadre commun en matière de lutte contre les menaces hybrides – une réponse de l’Union européenne » http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52016JC0018&from=EN ou encore la communication en date du 20 avril 2016 « Mise en œuvre du programme européen en matière de sécurité pour lutter contre le terrorisme et ouvrir la voie à une union de la sécurité réelle et effective», http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/european-agenda-security/legislative
- Communication de la Commission en date du 31 mai 2006, Une stratégie pour une société de l’information sûre – « Dialogue, partenariat et responsabilisation » [COM(2006) 251 final – Non publié au Journal officiel] http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=URISERV%3Al24153a
- Selon l’article 4-2 de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, la « sécurité des réseaux et des systèmes d’information » désigne la capacité de « résister, à un niveau de confiance donné, à des événements accidentels ou à des actions malveillantes qui compromettent la disponibilité, l’authenticité, l’intégrité et la confidentialité de données stockées ou transmises, et des services connexes que ces réseaux et systèmes offrent ou qu’ils rendent accessibles ».
- http://europa.eu/rapid/press-release_IP-16-2321_fr.htm – « La Commission signe un accord avec le secteur de la cybersecurité et redouble d’efforts pour lutter contre les cybermenaces » en date du 5 juillet 2016 qui cite une étude réalisée par le Cabinet PWC – http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.html
- http://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/
- Article 8 de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
- L’annexe II de la directive comprend des catégories d’acteurs pouvant être qualifiés d’opérateurs fournissant des services essentiels.
- Cette liste sera, à « intervalles réguliers », mise à jour par les Etats membres et ce, conformément à l’article 5-5 de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
- L’article 22 de la loi n° 2013-1168 du 18 décembre 2013 de programmation militaire complétés par des arrêtes sectoriels dont certains ont été publiés le 1er juillet 2016 (secteurs d’activité suivants « produits de santé », « gestion de l’eau » et « alimentation .
- Article 16-11 de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union
- Centres de réponse aux incidents de sécurité informatique, également connus sous la dénomination de centres de réponse aux urgences informatiques (CERT).