Actualités

Cybersécurité - Sécurité des réseaux et des systèmes d’information (SRI) – Directive adoptée le 6 juillet 2016

Dans Alerte le 2016-10-03 12:48:01

La directive (SRI) ou (NIS) pour « Network and Information Security »  entrera en vigueur le vingtième jour suivant sa publication intervenue le 19 juillet 2016. Les États membres auront alors 21 mois, jusqu’au 9 mai 2018  pour transposer la directive dans leur législation nationale et six mois supplémentaires pour identifier les opérateurs de services essentiels

 La nouvelle directive vise à « assurer un niveau commun élevé de sécurité des réseaux et de l’information (SRI) dans l’Union ».

 

  • Elle fixe des obligations à tous les États membres en ce qui concerne la prévention et la gestion de risques et incidents touchant les réseaux et systèmes informatiques ainsi que les interventions en cas d’événement de ce type » ;

   

  • elle crée un mécanisme de coopération entre les États membres, destiné à garantir une application uniforme de la présente directive dans l’Union et, le cas échéant, un traitement et une intervention coordonnés et efficaces en cas de risques et d’incidents touchant les réseaux et systèmes informatiques » ;

 

  • elle établit des exigences en matière de sécurité pour les acteurs du marché et les administrations publiques ».

 

Chaque Etat membre devra adopter une stratégie nationale en matière de SRI qui permettra de parvenir à un niveau élevé de SRI et à le maintenir.

 La directive SRI impose ainsi aux administrations publiques et aux « acteurs du marché » des mesures de prévention des risques en termes de cyber sécurité et des mesures de notification à l’autorité compétente (en France, l’ANSSI) des incidents « qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».

 Les « acteurs du marché », qu’il appartiendra à chaque Etat membre de lister, sont définis par la directive SRI. Il s’agit notamment :

 

  • pour les acteurs d’internet : des plateformes de commerce électronique, des passerelles de paiement par internet, des réseaux sociaux, des moteurs de recherche, des fournisseurs de cloud. Les fournisseurs d’accès à internet, les fournisseurs de messagerie électronique et les prestataires de stockage en sont expressément exclus, car ils sont concernés par d’autres dispositions spécifiques ;

 

  • pour les autres acteurs « opérateurs fournissant des services essentiels », il s’agit principalement des acteurs de l’énergie, des transports notamment aériens), des services bancaires, des infrastructures de marchés financiers et des entreprises du secteur de la santé.

 L’autorité compétente pourra procéder à des audits de sécurité.

 

  • Enfin, une coopération renforcée entre Etats membres est mise en place pour signaler les incidents, sous l’égide de l’Agence européenne chargée de la sécurité des réseaux et de l’information (3).