Cybersécurité : la France épinglée pour défaut de transposition intégrale de la directive NIS

Hier, la Commission européenne a demandé « aux États membres de transposer en droit national la législation européenne sur la cybersécurité ». L’institution a épinglé la France pour défaut de transposition intégrale de cette directive NIS. Pas de détail pour l’heure quant aux défauts reprochés. Paris a deux mois pour s'expliquer.

La Commission européenne a adressé une notification à 17 États membres, afin de leur demander « de transposer intégralement en droit national » la directive européenne sur la cybersécurité (ou directive NIS, network and information systems).

La France fait partie du lot, outre l'Autriche, la Bulgarie, la Belgique, la Croatie, le Danemark, la Grèce, la Hongrie, l'Irlande, la Lettonie, la Lituanie, le Luxembourg, les Pays-Bas, la Pologne, le Portugal, la Roumanie et l'Espagne.

Dans le calendrier, les États membres avaient jusqu’au 9 mai pour transposer dans leur droit national cette directive entrée en vigueur en août 2016. « À ce jour, 11 États membres ont notifié à la Commission la transposition intégrale de la directive à la Commission européenne et font actuellement l'objet d'un contrôle de transposition visant à [la] confirmer » explique Bruxelles. La France et les 16 autres pays ont maintenant deux mois pour expliquer leur défaillance.

Une directive transposée en France, non intégralement

Fait notable, la France a pourtant adopté et publié sa loi de transposition en février dernier. Sont imposées de nouvelles obligations de sécurité à l'égard de deux types d’acteurs : les FSN, ou fournisseurs de service numérique (moteurs, place de marché et services dans le nuage) et les OSE, ou opérateurs d’importance essentielle dans lesquels se retrouvent les principaux registrars, notamment.

Le Premier ministre est ainsi en capacité de fixer à l’encontre des OSE « les règles de sécurité nécessaires à la protection des réseaux et systèmes d’information », et ce, afin de « garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances ».

Tous sont soumis à une obligation de déclaration d’incident aux portes de l’ANSSI, l’agence nationale pour la sécurité des systèmes d’information. En outre, ses agents peuvent effectuer des contrôles sur place pour vérifier le respect des obligations imposées par la loi.

Silence de Bruxelles sur les défaillances françaises

Bruxelles considère cependant que cette transposition n’est que partielle. Pour quelle raison ? Impossible à dire pour l'instant. Selon les services contactés par nos soins, « la lettre de notification formelle n'est pas entrée dans les détails, il s'agit seulement d'une demande aux États membres de transposer intégralement la directive ».

Plus exactement, la France fait partie des quatre États membres ayant notifié une transposition partielle avec le Danemark, la Lituanie et la Hongrie. Une fois les deux mois écoulés, « la Commission pourra décider d'envoyer un avis motivé » qui donnera cette fois davantage de précision. Pour l’heure, « nous n'avons aucun commentaire sur le contenu de ce qui a été transposé et ce qui reste ouvert » nous répond laconiquement la Commission.

Si le texte législatif français n’est pas complet, il devra exiger une mise à jour législative. La loi a aussi prévu plusieurs décrets d’application en Conseil d’État, notamment pour fixer « la liste des services essentiels » et « la nature des mesures » qu’ils sont tenus de mettre en œuvre. Cependant, inutile de chercher dans cette direction : « toutes les mesures réglementaires prévues par cette loi ont été prises par le Gouvernement » explique l’état d’application de la loi.

Les explications de l'ANSSI

Selon les explications apportées par l’ANSSI, si la Commission européenne a tiré le signal d’alarme à destination de la France, c’est tout simplement parce que manquent deux arrêtés d’application qui permettront de rendre applicable le dispositif. L’un, attendu cet été, est relatif à la question des coûts et de leur prise en charge. L’autre, plus important et programmé à la rentrée, traitera « des mesures de sécurité devant être appliquées par les OSE ». Début novembre, enfin, Paris indiquera à la commission le nombre d’opérateurs d’importance essentielle finalement identifiés. La liste de ces acteurs ne sera cependant pas révélée, nous précise enfin l’agence.