Deux grands types d’obligations.
Les opérateurs de services essentiels (OSE) sont des « opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services » (art. 5 de la loi).
Leur liste sera fixée par le Premier Ministre au plus tard le 9 novembre 2018 (art. 25 de la loi).
Par conséquent, la loi nouvelle s’appliquera soit à ces opérateurs qui, par définition, ne sont pas classés « d’importance vitale », soit aux OIV mais seulement pour la partie de leur système d’information qui ne relève pas de cette classification (art. 5, al.2 de la loi).
Deux grands types d’obligations pèsent désormais sur eux.
D’une part, ils doivent respecter un certain nombre de « règles de sécurité nécessaires » afin de « garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances ».
Ces règles, qui seront énoncées par un décret d’application, porteront aussi bien sur la prévention des incidents que sur la limitation de leur impact afin d’assurer la continuité de ces services essentiels (art. 5 de la loi).
Elles pourront notamment prescrire le recours à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée, aux frais des OSE.
Plus généralement, elles concerneront 4 domaines : la gouvernance de la sécurité des réseaux et systèmes d’information (RSI), leur protection, leur défense, ainsi que la résilience des activités.
D’autre part, en cas d’incident de sécurité, ils sont tenus d’en informer l’ANSSI « lorsque ces incidents ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services » essentiels (art. 7 de la loi).
Le texte précise que cette information de l’ANSSI doit être réalisée « sans délai après en avoir pris connaissance » et que le manquement à cette obligation de déclaration est sanctionné par une amende de 75 000 euros à la charge des dirigeants de l’opérateur concerné (art. 9 de la loi).
L’ANSSI pourra décider d’en informer le public, après consultation de l’opérateur concerné, si « cette information est nécessaire pour prévenir ou traiter un incident ».
Elle peut également en informer les autorités compétentes d’autres Etats membres de l’Union européenne « lorsqu’un incident a un impact significatif sur la continuité de services essentiels fournis par l’opérateur » dans ces autres Etats.
Le respect de ces diverses obligations pourra être contrôlé par l’ANSSI (le coût des contrôles étant à la charge des opérateurs en application de l’art. 8 de la loi, et tout obstruction à ces contrôles est sanctionnée par une amende de 125 000 euros à la charge des dirigeants de l’opérateur concerné en vertu de l’art. 9 de la loi).
En cas de non-conformité, l’ANSSI pourra mettre en demeure les dirigeants de l’opérateur concerné de respecter leurs obligations légales dans un certain délai, à peine de s’exposer à une amende pouvant s’élever à 100 000 euros.
Ces dispositions entreront en vigueur à compter d’une date fixée par décret en Conseil d’Etat, et au plus tard le 10 mai 2018 (art. 25 de la loi).
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 14/05/2018
