CONTACT

Loi du 26 février 2018 : création de nouveaux acteurs et de nouvelles obligations en matière de sécurité informatique

28 mars 2018 | Derriennic Associés|

 

Réf. : loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité

La loi du 26 février 2018 vient transposer plusieurs directives européennes et notamment la directive 2016/1148 Network Information Security dite « directive NIS ».

Les obligations sur les entreprises se retrouvent accrues en matière de sécurité informatique. La sécurisation des systèmes d’information s’applique à deux nouveaux types d’acteurs : les opérateurs de services essentiels et les fournisseurs de service numérique.

Les opérateurs de services essentiels (OSE) sont des opérateurs publics ou privés offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaire à la fourniture desdits services.

Selon la directive, parmi les OSE, il y a les entreprises opérant dans les domaines de l’énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d’eau potable et les fournisseurs d’infrastructures numériques.

Ces opérateurs seront désignés par le Premier ministre par décret au plus tard le 9 novembre 2018. La liste de ces opérateurs sera renouvelée au moins tous les 2 ans.

Les fournisseurs de service numérique (FSN) sont les personnes morales fournissant l’un des services suivants : place de marché en ligne (ex : eBay, AirBnB) ; moteur de recherche en ligne (ex : Google) et service d’informatique en nuage (Cloud computing).

Les obligations de ces deux types d’acteurs :

Le Premier ministre devra fixer des règles nécessaires à la protection des réseaux afin notamment de garantir un niveau de sécurité adapté au risque.

En cas d’incident – comme une attaque informatique – les OSE et FSN auront l’obligation de prévenir sans délai l’ANSSI (Agence nationale de la sécurité des systèmes d’information)

Le Premier ministre peut soumettre ces opérateurs à des contrôles destinés à vérifier le respect de leurs obligations et le niveau de sécurité des réseaux. Les contrôles seront effectués par l’ANSSI, aux frais des opérateurs.

Les sanctions, en cas de non-respect de ces obligations, sont les suivants :

  • manquements aux obligations de sécurisation (OSE : 100 000 euros ; FSN : 75 000 euros) ;
  • non déclaration d’incident (OSE : 75 000 euros ; FSN : 50 000 euros) ;
  • obstacle aux opérations de contrôle (OSE : 125 000 euros ; FSN : 100 000 euros).