Directive NIS : le champ de la sécurité mieux précisé dans la future loi de transposition

Holiday on NIS 0
Accès libre
image dediée
Crédits : Marc Rees (licence C-BY-SA 2.0)
Loi
Marc Rees

La commission des lois a adopté, après l’avoir amendé à la marge, le projet de loi d’adaptation au droit de l’Union européenne dans le domaine de la sécurité. Un texte qui vient transposer en France la directive NIS (Network and Information Systems).

Les députés de la France Insoumise n’auront pas pu faire reconnaître un statut aux chasseurs de faille et au « bug bounty ». Leur amendement en ce sens, ainsi que celui programmant un rapport sur la question, ont tous été rejetés.

En sortie de commission des lois, le texte transposant la directive NIS a finalement été adopté sans grande modification, comme on peut le voir sur ce tableau comparatif. 

Les fournisseurs d'accès ajoutés via un amendement

Pour mémoire, avec ce projet, seront imposées des obligations de sécurité à deux types d’acteurs : les FSN ou fournisseurs de service numérique (moteurs, place de marché et services dans le nuage) et les OSE, les opérateurs d’importance essentielle (qui intègreront également des acteurs du numérique comme les principaux registrars).

Outre les inévitables amendements rédactionnels, une rustine a été appliquée afin de faire entrer les fournisseurs d’accès dans son périmètre au titre des infrastructures numériques (points d'échange Internet, fournisseurs de services DNS, etc.) ou des services numériques comme les moteurs de recherches en ligne ou les services d'informatique en nuage.

D’autres correctifs ont été apportés pour mieux définir le champ de cette loi avec celle régissant les opérateurs d’importance vitale (OIV).

Une future loi plus précise sur les obligations de sécurité

L’article 6 du projet détermine le régime d'obligations appliqué aux OSE en matière de sécurité des réseaux et systèmes d'information. Pour faire simple, il reviendra au Premier ministre de fixer « les règles de sécurité nécessaires à la protection des réseaux et systèmes d’information » et ce afin de « garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances ».

Au Sénat, le rapporteur Philippe Bonnecarrère avait souligné l’importance d’une meilleure précision législative, puisque ces obligations sont susceptibles d’entraîner des sanctions pénales pour les contrevenants. En raison de l'article 34 de la Constitution, qui dessine le domaine de la loi, il revient au seul Parlement de fixer le champ d’application des textes pénaux.

Message entendu à l’Assemblée nationale où en commission, a été adopté cet amendement. qui impose dans la loi quatre domaines d’obligations, contraignant d'autant les futurs décrets d’application :

  1. La gouvernance de la sécurité des réseaux et systèmes d’information ;
  2. La protection des réseaux et systèmes d’information ;
  3. La défense des réseaux et systèmes d’information ;
  4. La résilience des activités.

À l’article 11, enfin, les FSE établis hors de l’Union européenne ont désormais clairement l’obligation de désigner un représentant en France, dès lors qu’ils y offrent leurs services et surtout qu’ils n’ont procédé à la désignation d’aucun représentant dans un autre État membre de l’Union.

Le projet de loi sera examiné en séance le mercredi 31 janvier 2018.


chargement
Chargement des commentaires...