Avec la parution au journal officiel le 28 septembre de l’arrêté des règles de sécurité s’appliquant aux opérateurs de services essentiels, la transposition de la Directive européenne Network and Information System Security (NIS) en droit français est achevée. Cet arrêté précise les règles de sécurité que doivent appliquer les opérateurs de services essentiels à leurs systèmes d’information essentiels, ainsi que leurs délais d’application.

La directive Network and Information System Security (NIS) vise à l’émergence d’une Europe forte et de confiance, qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité, la mise en place d’une coopération efficace et la protection des activités économiques et sociétales critiques de la Nation, pour faire face collectivement aux risques de cyberattaques.

Elle définit notamment le statut d’Opérateur de services essentiels (OSE), qui doivent identifier leurs systèmes d’information essentiels sur lesquels ils devront appliquer des règles de sécurité et déclarer à l’ANSSI les incidents de sécurité survenus. L’arrêté publié le 29 septembre 2018 précise ces règles de sécurité ainsi que leurs délais d’application.

Les règles sont les mêmes pour tous les opérateurs de services essentiels et s’inscrivent dans une véritable approche de management des risques, déclinée en quatre chapitres :

  • La gouvernance de la sécurité des réseaux et systèmes d’information ;
  • La protection de la sécurité des réseaux et systèmes d’information ;
  • La défense de la sécurité des réseaux et systèmes d’information ;
  • La résilience des activités.