Cybersécurité des infrastructures critiques : adoption de la directive NIS

C’est en séance plénière, ce mercredi 6 juillet, que le parlement européen a adopté la directive sur la sécurité des réseaux et des systèmes d’information, dite NIS. Celle-ci vise à « améliorer la capacité à résister à des cyber-attaques » des entreprises fournissant des « services essentiels ». Pas question donc, ici, d’opérateurs d’importance vitale (OIV), mais l’approche n’en rappelle pas moins celle adoptée par la France depuis le vote de la loi de programmation militaire (LPM), fin 2013.

Les secteurs de l’énergie et des transports, ou encore de l’approvisionnement en eau, sont concernés. Mais, comme le laisse imaginer une terminologie relativement large – et laissant d’ailleurs latitude aux Etats membres de définir quels sont les opérateurs concernés –, d’autres secteurs le sont aussi : banques, marchés financiers, santé, mais également certains services en ligne, comme les places de marché, les moteurs de recherche ou encore les Cloud. eBay, Amazon et Google étaient même explicitement mentionnés dans le projet de directive sur lequel les députés européens et le Conseil des ministres de l’Union s’étaient accordés en décembre dernier.

Tous les acteurs concernés « devront veiller à la sécurité de leur infrastructure et au signalement des incidents graves ». Toutefois, « les micro- et petites entreprises numériques jouiront d’une exemption ».

La directive prévoit en outre la création d’un groupe de coopération stratégique entre Etats membres pour l’échange d’informations et de pratiques de référence, ainsi que l’élaboration de « lignes directrices ». Au programme également, la mise en place d’un « réseau d’équipes d’intervention en cas d’incident lié à la sécurité informatique », dans chacun des Etats membres.

Lors de l’édition 2015 des Assises de la Sécurité, à l’automne dernier, Guillaume Poupard, directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), faisait référence à ces dispositions de la directive NIS : « concrètement, dans chaque pays européen, il y aura un acteur en charge des questions de cybersécurité. Tous devront travailler en réseau ».

Alors que les trois premiers arrêtés sectoriels définissant les obligations des OIV en matière de sécurité de leurs systèmes d’information viennent d’être publiés, l’adoption de la directive NIS marque une nouvelle étape de la construction d’une Europe de la cybersécurité.

Récemment, la commission européenne a par ailleurs annoncé un nouveau partenariat public-privé centré sur la coopération dans la recherche et le développement en la matière. Celui-ci doit conduire à près de 2 Md€ d’investissements pour « stimuler la coopération à un stade précoce du processus de recherche et d’innovation, et forger des solutions de cybersécurité applicables à différents secteurs, tels que l’énergie, la santé, les transports et la finance ».

La directive NIS doit être prochainement publiée au Journal officiel de l’Union européenne. Elle entrera en vigueur au vingtième jour suivant publication. Les Etats membres de l’Union devront la transposer dans leur législation nationale dans un délai de 21 mois. Ils disposeront de six mois supplémentaires pour identifier les opérateurs concernés. En France, ils sont près de 250.