Transposée en droit français dans son ensemble le 29 septembre 2018, la directive européenne 2016/1148 Network Information Security (NIS) impose aux opérateurs de services essentiels (OSE) la mise en place d'un socle minimal en cybersécurité et des contrôles s'y rapportant effectués par l'ANSSI. L'échéance pour identifier les OSE est arrivée ce 9 novembre 2018, et l'Agence nationale de la sécurité des systèmes d'information a livré une première liste de noms qui n'est cependant pas publique. Un chiffre qui sera amené à augmenter « de quelques centaines » sachant qu'il sera ensuite complété et actualisé chaque année.
« Il n’est pas question d’être dans une logique de sanction mais avant tout de faire de la pédagogie auprès des OSE afin de provoquer une réelle prise de conscience de l’importance cruciale de la sécurité numérique, ainsi que de proposer des solutions concrètes et efficaces », rappelle Guillaume Poupard, délégué général de l'ANSSI dans un communiqué. Dans un premier temps, les OSE devront désigner un représentant auprès de l'agence, identifier leurs systèmes d’information essentiels avant appliquer ensuite les règles de sécurité à leurs SIE et lui notifier les incidents de sécurité survenus qui les ont concernés.