La directive NIS est la première législation horizontale de l’UE qui aborde les défis de la cybersécurité. Elle change véritablement la donne en matière de résilience et de coopération dans le domaine de la cybersécurité en Europe. Comme nous l’avons indiqué dans un précédent billet de blog, la directive a trois objectifs principaux :

– Améliorer les capacités nationales en matière de cybersécurité

– Renforcer la coopération au niveau de l’UE

– Promouvoir une culture de gestion des risques et de signalement des incidents parmi les principaux acteurs économiques, notamment les opérateurs fournissant des services essentiels (OES) pour le maintien des activités économiques et sociétales et les fournisseurs de services numériques (DSP)

La directive NEI est la pierre angulaire de la réponse de l’UE aux menaces et défis informatiques croissants qui accompagnent la numérisation de notre vie économique et sociétale. Cet article examine les obligations des opérateurs de services essentiels. Plus d’informations ici.

La directive oblige les États membres à classer des entités clés dans divers secteurs d’infrastructures critiques comme « opérateurs de services essentiels » et à s’assurer que ces entreprises ont atteint un niveau de sécurité donné en ce qui concerne leurs systèmes informatiques, tout en imposant à ces entités une obligation contraignante de signaler les incidents. Deuxièmement, et en plus de s’assurer qu’une CSIRT dotée de ressources suffisantes est en place, les États membres seront également tenus de désigner une autorité nationale compétente (ou ANC) pour gérer les rapports et la conformité des entités de l’OES avec la directive.

Le raisonnement est que les impacts des incidents de sécurité dans ces services peuvent causer des perturbations majeures aux activités économiques et à la société dans son ensemble, ce qui pourrait saper la confiance des utilisateurs et causer des dommages importants à l’économie de l’Union.

Qui sont les opérateurs des services essentiels ?

La directive NIS ne définit pas explicitement quelles entités doivent être considérées comme des OES dans le cadre de son champ d’application. Elle fournit plutôt des critères que les États membres doivent appliquer afin de mener à bien un processus d’identification pour déterminer quelles entreprises seront considérées comme des opérateurs de services essentiels et donc soumises aux obligations de la directive.

Selon l’article 5, paragraphe 2, les critères d’identification des opérateurs de services essentiels sont les suivants :

– L’entité fournit un service qui est essentiel pour le maintien d’activités sociétales et/ou économiques critiques.

– La fourniture de ce service dépend du réseau et des systèmes d’information.

– Un incident aurait des effets perturbateurs importants sur la fourniture de ce service.

L’article 4, paragraphe 4, de la directive stipule qu’un OES est une « entité publique ou privée d’un type visé à l’annexe II » qui répond aux critères ci-dessus.

Alors que la plupart des entités appartiennent aux secteurs « traditionnels » des infrastructures critiques, pour le secteur des infrastructures numériques, la Commission européenne fournit des précisions supplémentaires pour aider les États membres à identifier les organisations qui entrent dans cette catégorie.

En plus des secteurs critiques susmentionnés, la Commission européenne a demandé aux États membres « d’étendre les obligations de sécurité et de notification prévues à l’article 14 à des entités appartenant à d’autres secteurs et sous-secteurs » tels que les administrations publiques, le secteur alimentaire, le secteur postal, l’industrie chimique et nucléaire, le secteur de l’environnement et la protection civile.

Exigences de sécurité pour l’OES

La directive NIS exige des États membres qu’ils veillent à ce que les opérateurs de services essentiels soient désignés :

– prennent des mesures techniques et organisationnelles appropriées et proportionnées pour gérer les risques qui pèsent sur la sécurité des réseaux et des systèmes d’information lors de la fourniture de leurs services [article 14, paragraphe 1].

– prennent les mesures appropriées pour prévenir et réduire au minimum l’impact des incidents affectant la sécurité du réseau et des systèmes d’information utilisés pour la fourniture de leurs services [article 14, paragraphe 2].

Pour aider les États membres à élaborer une politique de sécurité harmonisée pour leur OES, le groupe de coopération NIS a publié des lignes directrices de référence en matière de sécurité. Selon les principes convenus, les mesures de sécurité doivent être

– Efficaces

– Sur mesure

– Compatible

– Proportionné

– Concret

– Vérifiable

– Inclusif

Outre les principes ci-dessus, le Groupe de coopération NEI invite instamment les États membres à « reconnaître la valeur ajoutée du dialogue avec les opérateurs publics et privés, notamment en ce qui concerne la mise en œuvre des mesures de sécurité » et à « trouver un juste équilibre coûts-avantages afin de garantir des mesures de sécurité efficaces, en ce qui concerne la sécurité des services essentiels à l’économie et à la société, tout en tenant compte de leur coût pour l’OES ».

Sur la base des lignes directrices du Groupe de coopération, chaque autorité nationale compétente a publié un ensemble d’exigences de sécurité que l’OES doit mettre en œuvre au sein de son organisation. Il incombe à l’OES de pouvoir démontrer à l’autorité nationale compétente qu’elle applique les principes de sécurité obligatoires et les mesures associées à ces principes qui permettent de protéger la sécurité des réseaux et de l’information au sein de son organisation. L’OES est responsable de l’identification des systèmes de réseaux et d’information qui doivent être conformes aux exigences de sécurité de la directive, qui doivent être convenues avec l’autorité nationale compétente.

Les mesures techniques et organisationnelles identifiées dans les lignes directrices du Groupe de coopération NIS offrent un cadre de meilleures pratiques pour assurer la protection des réseaux et des systèmes d’information. Les lignes directrices en matière de sécurité se composent de cinq thèmes qui donnent une vue d’ensemble de la gestion des risques de cybersécurité par une organisation. Ces cinq thèmes sont Identifier, Protéger, Détecter, Répondre et Récupérer, qui sont en accord avec les thèmes centraux du cadre de cybersécurité du NIST.

L’utilisation de normes et de spécifications internationalement reconnues en matière de sécurité des réseaux et des systèmes d’information est encouragée afin de promouvoir la mise en œuvre primaire des exigences. En fait, le Centre national de cybersécurité (NCSC) d’Irlande a publié des lignes directrices de conformité qui fournissent une cartographie avec les cadres de sécurité des infrastructures critiques déjà établis tels que les contrôles CIS, les normes ISA/IEC 62443, ISO 27001:2013 et NIST SP 800-53.

Exigences en matière de notification des incidents

Selon l’article 14, paragraphe 3, les États membres doivent veiller à ce que l’OES notifie sans délai « tout incident ayant un impact significatif sur la continuité des services essentiels ». Par conséquent, les OES ne doivent notifier que les incidents graves affectant la continuité du service essentiel.

L’article 4, paragraphe 7, définit un incident comme « tout événement ayant un effet négatif réel sur la sécurité des réseaux et des systèmes d’information ». L’expression « sécurité des réseaux et des systèmes d’information » est définie plus précisément à l’article 4, paragraphe 2, comme « la capacité du réseau à résister, à un niveau de confiance donné, à toute action compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services connexes offerts par ces réseaux et systèmes d’information ou accessibles par leur intermédiaire ».

Par conséquent, tout événement ayant un effet négatif non seulement sur la disponibilité mais aussi sur l’authenticité, l’intégrité ou la confidentialité des données ou des services connexes pourrait déclencher l’obligation de notification. En fait, la continuité du service peut être compromise non seulement dans les cas où la disponibilité physique est concernée, mais aussi par tout autre incident de sécurité affectant la bonne fourniture du service.

Afin de déterminer l’importance de l’impact d’un incident, l’article 14, paragraphe 4, stipule que les paramètres suivants doivent être pris en compte :

– le nombre d’utilisateurs touchés par l’interruption du service essentiel

– la durée de l’incident

– l’étendue géographique de la zone touchée par l’incident.

Enfin, le groupe de coopération NIS a publié un document de référence des circonstances qui déclenchent les obligations de notification. Conformément à ces lignes directrices, les États membres peuvent également prendre en considération les paramètres suivants pour lancer le processus de notification :

– la dépendance des autres secteurs de l’OES vis-à-vis du service fourni par l’entité touchée ;

– l’impact que les incidents ont, en termes de degré et de durée, sur les activités économiques et sociétales ou sur la sécurité publique ;

– la part de marché de cette entité ;

– l’importance de l’entité pour le maintien d’un niveau de service suffisant, compte tenu de la disponibilité d’autres moyens pour la fourniture de ce service.