Le 10 mai 2018, la directive européenne Network and Information Security (NIS) entrera en vigueur. La loi de transposition est actuellement en débat au Parlement. Ces textes visent à assurer un niveau élevé de sécurité des réseaux et des systèmes d’information. Coup de projecteur sur ce texte qui passe un peu inaperçu derrière le RGPD.
Alors que vous baignez encore très probablement dans la mise en conformité de votre organisation avec le Règlement Général relatif à la Protection des Données (RGPD), le Parlement français est en train de finaliser le projet de loi transposant la directive n° 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’union, plus connue sous l’acronyme NIS[1].
Oui, vous n’en avez probablement encore pas entendu parler, le RGPD occupant le devant de la scène. Et c’est fort dommage, car en pratique, la transposition de la directive NIS entrera en application en France au plus tard le 10 mai 2018, soit deux semaines avant le RGPD.
La directive NIS a pour objectif de renforcer la sécurité des réseaux et des systèmes d’information dans l’Union, afin d’améliorer le fonctionnement du marché intérieur. Pour ce faire, les « opérateurs de service essentiel » et « fournisseurs de service numérique » devront mettre en œuvre, à leurs frais, les mesures pour identifier, prévenir, traiter et gérer, voire notifier, les risques et incidents de sécurité des réseaux et des systèmes d’information utilisés dans le cadre de leurs activités.
Le champ d’application de la directive est large. Définis comme toutes entités publiques ou privées fournissant un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques, tributaire des réseaux et des systèmes d’information et qui pourrait être sérieusement perturbé par un incident de sécurité, les « opérateurs de service essentiel » seront ainsi désignés par le Premier Ministre. Quant à la notion de « fournisseur de service numérique », elle désigne notamment toute personne morale fournissant un service numérique tel que les « services d’informatique en nuage », définis comme des services permettant « l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ». Voilà pour la théorie.
Dans la pratique et le domaine qui nous intéresse, qui sera concerné ? Une seule certitude, à l’heure actuelle, la totalité des établissements de santé est concernée, la directive NIS précisant expressément leur inclusion dans son champ d’application. Mais la rédaction de la directive laisse entendre que cette « liste » n’est peut-être pas exhaustive. D’ici le 9 novembre 2018, date butoir pour la désignation des « opérateurs de service essentiel », celle-ci pourrait donc s’étendre à toute forme d’entité prenant en charge plus d’un certain nombre de patients. Rien n’exclut donc une application de la directive NIS aux centres et maisons de santé les plus importants.
Côté fournisseurs, gageons que l’immense majorité des éditeurs de Software-as-a-Service (SAAS) se verront appliquer le texte. Concrètement, les seuls à yéchapper devraient être les hébergeurs de données de santé, dont on peut supposer qu’ils sont d’ores et déjà soumis à des obligations dépassant celles prévues par la directive NIS.
Paradoxalement, les établissements de santé devraient être les moins perturbés par l’entrée en application de la directive. Souvent concernés par les dispositions du Code de la Défense relatives aux opérateurs d’importance vitale (OIV) et déjà soumis à l’obligation de notifier à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information, il devrait leur être plus facile de se mettre en conformité avec le texte.
A l’inverse, les fournisseurs de service numérique pourraient être un peu plus secoués par le texte. Celui-ci ne se contente en effet pas, comme le RGPD, d’imposer la mise en œuvre de mesures de sécurité, sans être prescriptif. Le projet de loi est en effet plus précis que le RGPD. Les mesures devront être déclinés selon les cinq axes suivants : la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, le suivi, l’audit et le contrôle et le respect des normes internationales.
Si vous travaillez toujours à votre mise en conformité avec le RGPD, peut-être serait-il intéressant d’étendre le périmètre de l’analyse de risque de cybersécurité.
[1] Network and Information Security.
Pierre Desmarais
Avocat
IS027001LI / ISO27005RM
Article publié précédemment sur le site de mind Health