Directive NIS : préserver les activités essentielles
Assurer un niveau de sécurité élevé, commun aux réseaux et aux systèmes d’information des États-membres : c’est le but de la directive Network and Information System Security (NIS), adoptée par l’Union européenne en 2016 et transposée en droit français en 2018. Les États s’engagent ainsi à coopérer pour faire face collectivement aux risques de cyberattaques. Un maillon de la chaîne de sécurité européenne consiste à renforcer la cybersécurité des opérateurs de services essentiels (OSE) au fonctionnement de l’économie et de la société et des fournisseurs de services numériques. En France, c’est un décret du 25 mai 2018 et trois arrêtés du Premier ministre qui en fixent les règles, calquées sur celles des opérateurs d’importance vitale (OIV). Les OSE doivent notamment désigner un représentant auprès de l’ANSSI, déclarer tout incident de sécurité et se soumettre à des contrôles de sécurité, effectués par l’agence gouvernementale ou par des prestataires de service qualifiés. La liste des OSE, désignés par le Premier ministre, sera actualisée au moins tous les deux ans.