Cybersécurité : la France épinglée pour défaut de transposition intégrale de la directive NIS

Hier, la Commission européenne a demandé « aux États membres de transposer en droit national la législation européenne sur la cybersécurité ». L’institution a épinglé la France pour défaut de transposition intégrale de cette directive NIS. Pas de détail pour l’heure quant aux défauts reprochés. Paris a deux mois pour s’expliquer.

La Commission européenne a adressé une notification à 17 États membres, afin de leur demander « de transposer intégralement en droit national » la directive européenne sur la cybersécurité (ou directive NIS, network and information systems).

La France fait partie du lot, outre l’Autriche, la Bulgarie, la Belgique, la Croatie, le Danemark, la Grèce, la Hongrie, l’Irlande, la Lettonie, la Lituanie, le Luxembourg, les Pays-Bas, la Pologne, le Portugal, la Roumanie et l’Espagne.

Dans le calendrier, les États membres avaient jusqu’au 9 mai pour transposer dans leur droit national cette directive entrée en vigueur en août 2016. « À ce jour, 11 États membres ont notifié à la Commission la transposition intégrale de la directive à la Commission européenne et font actuellement l’objet d’un contrôle de transposition visant à [la] confirmer » explique Bruxelles. La France et les 16 autres pays ont maintenant deux mois pour expliquer leur défaillance.

Une directive transposée en France, non intégralement

Fait notable, la France a pourtant adopté et publié sa loi de transposition en février dernier. Sont imposées de nouvelles obligations de sécurité à l’égard de deux types d’acteurs : les FSN, ou fournisseurs de service numérique (moteurs, place de marché et services dans le nuage) et les OSE, ou opérateurs d’importance essentielle dans lesquels se retrouvent les principaux registrars, notamment.

Le Premier ministre est ainsi en capacité de fixer à l’encontre des OSE « les règles de sécurité nécessaires à la protection des réseaux et systèmes d’information », et ce, afin de « garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances ».

Tous sont soumis à une obligation de déclaration d’incident aux portes de l’ANSSI, l’agence nationale pour la sécurité des systèmes d’information. En outre, ses agents peuvent effectuer des contrôles sur place pour vérifier le respect des obligations imposées par la loi.

Silence de Bruxelles sur les défaillances française

Bruxelles considère cependant que cette transposition n’est que partielle. Pour quelle raison ? Impossible à dire pour l’instant. Selon les services contactés par nos soins, « la lettre de notification formelle n’est pas entrée dans les détails, il s’agit seulement d’une demande aux États membres de transposer intégralement la directive ».

Plus exactement, la France fait partie des quatre États membres ayant notifié une transposition partielle avec le Danemark, la Lituanie et la Hongrie. Une fois les deux mois écoulés, « la Commission pourra décider d’envoyer un avis motivé » qui donnera cette fois davantage de précision. Pour l’heure, « nous n’avons aucun commentaire sur le contenu de ce qui a été transposé et ce qui reste ouvert » nous répond laconiquement la Commission.

Si le texte législatif français n’est pas complet, il devra exiger une mise à jour législative. La loi a aussi prévu plusieurs décrets d’application en Conseil d’État, notamment pour fixer « la liste des services essentiels » et « la nature des mesures » qu’ils sont tenus de mettre en œuvre. Cependant, inutile de chercher dans cette direction : « toutes les mesures réglementaires prévues par cette loi ont été prises par le Gouvernement » explique l’état d’application de la loi.

Cybersécurité : la France épinglée pour défaut de transposition intégrale de la directive NIS : Lire l’article complet sur Next INpact – Flux RSS complet