Directive Network and Information Security, bientôt les sanctions

directive network and information security

La directive Network and Information Security doit être appliquée avant le 9 mai 2018

Le Royaume-Uni vient d’annoncer son intention de sanctionner jusqu’à 17 millions de livres sterling les entreprises d’importance vitale souffrant de cyberattaques. Cette amende sera appliquée si les entreprises en question n’ont pas mis en place des actions de sécurité pour les éviter ou en diminuer les conséquences. Ces sanctions ont pour objectif de pousser les entreprises piliers de l’économie à respecter la directive Network and Information Security. La France devra également faire respecter cette directive.

 

Cybersécurité : priorité européenne

Sii le RGPD (Réglement Général sur la Protection des Données) est dans tous les esprits, la directive européenne Network and Information Security (NIS) a aussi son rôle à jouer. Entrée en vigueur le 19 juillet 2016, elle prévoit un “renforcement des capacités nationales de cybersécurité et établit un cadre formel de coopération entre les états membrescomme l’explique l’ANSSI, responsable en France de sa transposition dans le droit national avant le 9 mai 2018. Tandis que le RGPD a établi des règles strictes pour tous les états membres, la directive NIS est globalement plus souple et dépend de l’intégration qui en sera faite par chaque état. Si les travaux de transposition sont en cours en France, la communication est très limitée et l’ANSSI ne fait aucune déclaration comme a pu le faire le Royaume-Uni.

 

La directive Network and Information Security en France

La France a adopté la directive NIS sans modifications par rapport au texte original. En effet, la directive était déjà inspirée de la Loi de Programmation Militaire française. Les premières informations concernant les sanctions sont les suivantes :

– Seront punis de 100 000 euros les dirigeants et opérateurs ne respectant pas les consignes de sécurité de la directive.
– Ceux ne déclarants pas les cyberattaques dont ils seraient victimes encourent 75 000 euros d’amende.
– Enfin, jusqu’à 125 000 euros d’amende seront demandés à ceux qui feront obstruction aux opérations de contrôles qui pourraient être menées.

La France qui compte “des gendarmes du numérique extraordinairement bons, une Agence nationale de sécurité des systèmes d’information (ANSSI) et des services militaires de très haut niveau” comme le mentionne Mounir Mahjoubi, secrétaire d’état au numérique, doit encore s’assurer de la transformation numérique de l’administration publique et des PME. Ces dernières étant une des cibles privilégiées des hackers (77% des attaques sont dirigées contre les PME). Protéger aussi bien les citoyens que les entreprises est le défi pour cette année 2018 et les solutions de sécurité devront être adaptées à chaque usage.

 

RGPD, Network and Information Security et les autres réglementations

Si les sanctions pour la directive NIS et le RGPD entrent en application sensiblement au même moment, d’autres réglementations sont à connaître et doivent être appliquées. Chaque secteur d’activité doit répondre d’obligations différentes suivant les données qui sont traitées. Le travail de veille réglementaire est soutenu et toutes les entreprises ne peuvent pas se targuer d’avoir des spécialistes de la sécurité dans leurs rangs. Afin d’aider les entreprises à mieux comprendre leurs obligations en termes de cybersécurité, nous vous invitons à consulter notre présentation des différents standards, agences, organisations et lois qui encadrent la cybersécurité et qui recommandent l’utilisation d’un scanner de vulnérabilités notamment.

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.