La directive européenne 2016/1148 Network Information Security dite « directive NIS » vient d'être transposée en droit français. La loi de transposition a en effet été publiée au Journal Officiel. Aucune surprise dans ce texte : tout était déjà clairement prévu. Mais les obligations sur les entreprises sont encore une fois accrues en matière de sécurité informatique. La sécurisation des systèmes d'information de deux nouveaux types d'acteurs est donc désormais encadrée par la loi : les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSN : places de marché, moteurs de recherche et opérateurs « cloud »).
Seuls les OIV (Opérateurs d'Importance Vitale) étaient jusqu'à présent contrôlés. Parmi les OSE, il y a les entreprises opérant dans les domaines de l'énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d'eau potable et les fournisseurs d'infrastructures numériques. Tous les fournisseurs de « run » de la DSI sont donc, à un titre ou un autre (OIV, OSE ou FSN), désormais concernés par la réglementation sur la sécurité de leur informatique propre.
Obligation de publicité des attaques
Parmi les obligations de ces OSE et FSN, il y a celle de publicité des attaques dont elles auraient été l'objet. L'ANSSI pourra également auditer les SI ou déléguer pour cela des prestataires qualifiés, aux frais des entreprises concernées. Les sanctions peuvent, le cas échéant, être lourdes en cas de manquement, sous la forme d'amendes : manquements aux obligations de sécurisation (OSE : 100 000 euros ; FSN : 75 000), non déclaration d'incident (OSE : 75 000 ; FSN : 50 000) ou obstacle aux opérations de contrôle (OSE : 125 000 ; FSN : 100 000).