D’ici mai 2018, les États membres devront avoir transposé la directive NIS. Cet hiver, vous aviez indiqué qu’un texte de loi était déjà prêt. Quels sont les principaux points de cette transposition ?
La question qui se pose ne porte pas tant sur les règles de sécurité imposées aux opérateurs de services essentiels (OSE) : elles seront très inspirées en France de celles des opérateurs d’importance vitale (OIV). Certaines vont peut-être être assouplies, mais pas tant que cela.
L’enjeu porte…
Ce que prévoit la directive NIS
Adoptée en juillet 2016, la directive NIS prévoit que chaque État membre structure ses capacités en matière de cybersécurité : Computer Security Incident Response Team (CSIRT), agence nationale, stratégie. La coopération, volontaire entre États membres est aussi formalisée. Les États doivent également fixer des règles de cybersécurité aux « opérateurs de services essentiels » (OSE) et à certains fournisseurs de services numériques (« places de marché en ligne, moteurs de recherche en ligne, services d’informatiques en nuage »), et des obligations en matière de notification.