A l’issue d’une consultation publique (23 juillet – 15 octobre 2012), la commission Européenne a élaboré puis adopté le 7 février 2013 la proposition d’une nouvelle directive pour la sécurité des réseaux et de l’information. La directive NIS (Network and Information Security) a pour objectif de renforcer la réactivité des 28 États membres et de stimuler la coopération entre les autorités de lutte contre la cybercriminalité, tout en leur donnant des moyens techniques et légaux appropriés.
Approuvée par le Parlement Européen le 13 mars 2014 (521 voix pour, 21 voix contre), la directive NIS prévoit des mesures de sécurité à respecter pour les opérateurs de services essentiels mais également pour les acteurs du marché du numérique. Ces derniers étant définis à l’annexe II du document original de la directive : Plateformes de commerce électronique, Passerelles de paiement par internet, Réseaux sociaux, Moteurs de recherche, Services informatiques en nuage, Magasins d’applications en ligne.
Le 7 décembre 2015, les députés européens ont conclu un accord avec le Conseil pour arrêter le texte final de cette directive. Concrètement, l’accord a permis de finaliser la liste des sociétés concernées par la directive à savoir les infrastructures critiques (appelées OIV en France) mais également les acteurs du marché du numérique pour lesquels les réseaux sociaux sont finalement exclus. Les obligations des acteurs du marché sont beaucoup moins contraignantes que pour les OIV et concernent principalement le signalement obligatoire des incidents de sécurité aux autorités nationales compétentes.
En France, cette obligation n’est pas nouvelle. En effet suite à l’adoption du Paquet Télécom et l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques, les opérateurs télécoms ont déjà l’obligation d’informer les autorités nationales compétentes (ici la CNIL) des fuites de DCP (données à caractère personnel). Concernant les opérateurs d’importance vitale (OIV), des obligations de sécurité sont imposées depuis la loi de programmation militaire (LOI n° 2013-1168 du 18 décembre 2013). Ainsi, selon l’article L1332-6-1 du code de la défense : « Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation.» Concernant les incidents de sécurité, l’article L1332-6-2 précise que les OIV doivent informer sans délai les services du Premier ministre (l’ANSSI) des incidents affectant le fonctionnement ou la sécurité des systèmes d’information. Des arrêtés sont en cours de finalisation pour définir précisément les modalités selon les secteurs concernés. Pour des raisons de sécurité, certains de ces arrêtés ne seront pas publiées.
Pour pouvoir entrer en vigueur, la Directive NIS devra encore être approuvée formellement par la commission du marché intérieur du Parlement le 14 janvier 2016 puis par le comité des représentants permanents du Conseil. Il s’agira ensuite pour chacun des 28 États membres de transposer la directive dans leur droit national respectif.