{"id":16141,"date":"2020-01-28T10:48:40","date_gmt":"2020-01-28T09:48:40","guid":{"rendered":"https:\/\/fedil.lu\/member-news\/directive-nis-quelles-exigences-pour-les-fournisseurs-de-services-numeriques-au-luxembourg\/"},"modified":"2020-01-28T10:49:05","modified_gmt":"2020-01-28T09:49:05","slug":"directive-nis-quelles-exigences-pour-les-fournisseurs-de-services-numeriques-au-luxembourg","status":"publish","type":"member-news","link":"https:\/\/fedil.lu\/de\/member-news\/directive-nis-quelles-exigences-pour-les-fournisseurs-de-services-numeriques-au-luxembourg\/","title":{"rendered":"Directive NIS : quelles exigences pour les Fournisseurs de Services Num\u00e9riques au Luxembourg ?"},"content":{"rendered":"

La transposition de la directive europ\u00e9enne 2016\/1148 dite \u00ab\u00a0Directive NIS\u00a0\u00bb impose de nouvelles exigences r\u00e9glementaires \u00e0 un ensemble d\u2019acteurs dont les syst\u00e8mes informatiques soutiennent des fonctions soci\u00e9tales fondamentales. Les entreprises d\u00e9sign\u00e9es comme \u00e9tant Op\u00e9rateurs de Services Essentiels ainsi que les Fournisseurs de Services Num\u00e9riques, dont notamment les acteurs du Cloud au Luxembourg, sont concern\u00e9s par cette nouvelle l\u00e9gislation. Afin de mieux comprendre les tenants et aboutissants pour chacun de ses membres, Cloud Community Europe Luxembourg, l\u2019association des soci\u00e9t\u00e9s actives dans le Cloud Computing, est all\u00e9e \u00e0 la rencontre de Luc Tapella, Directeur de l\u2019ILR, l\u2019Institut Luxembourgeois de R\u00e9gulation. A noter que la FEDIL, Cloud<\/em> Community Europe et Finance & Technology Luxembourg proposent en collaboration une s\u00e9ance d\u2019information \u00e0 destination des Fournisseurs de Services Num\u00e9riques le lundi 3 f\u00e9vrier 2020 dans les locaux de la FEDIL. <\/em><\/p>\n\"\"\n

De gauche \u00e0 droite: Mich\u00e8le Bram (directrice adjointe), Luc Tapella (directeur) et Camille Hierzig (directeur adjoint) \u2013 Photo (c) ILR\/Luc<\/p>\n

Monsieur Tapella, pouvez-vous nous pr\u00e9ciser quels sont les objectifs vis\u00e9s par la directive NIS\u00a0?<\/strong><\/p>\n

Luc Tapella\u00a0:<\/em> Au c\u0153ur de nos soci\u00e9t\u00e9s, le num\u00e9rique occupe une dimension primordiale. De nombreux services d\u00e9pendent de la disponibilit\u00e9 des donn\u00e9es et des r\u00e9seaux, et certains sont essentiels pour tout un chacun. Parmi eux, notons certaines fonctions financi\u00e8res, d\u2019autres dans le domaine de la sant\u00e9 ou encore l\u2019approvisionnement en \u00e9nergie. La num\u00e9risation de la soci\u00e9t\u00e9 s\u2019accompagne d\u2019une exposition croissante au risque cyber. \u00c0 travers la directive NIS, la Commission europ\u00e9enne entend assurer un niveau \u00e9lev\u00e9 de s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information, harmonis\u00e9 \u00e0 l\u2019\u00e9chelle de l\u2019Union europ\u00e9enne. \u00c0 ce titre, la directive NIS et ses transpositions en lois nationales par les Etats Membres visent les op\u00e9rateurs fournissant des services essentiels. Cette d\u00e9marche s\u2019inscrit aussi dans le d\u00e9veloppement d\u2019un march\u00e9 digital unique, en garantissant l\u2019application du m\u00eame niveau de normes dans l\u2019ensemble des pays membres. La NIS renforce la s\u00e9curit\u00e9, donc aussi la r\u00e9silience des syst\u00e8mes permettant la fourniture des services les plus omnipr\u00e9sents dans nos vies. Elle pr\u00e9voit la mise en \u0153uvre des mesures qui permettent d\u2019assurer un niveau commun \u00e9lev\u00e9 de s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information dans l\u2019Union europ\u00e9enne (UE).<\/p>\n

 <\/p>\n

Cette directive a d\u00fb \u00eatre transpos\u00e9e dans le droit de chaque pays membre de l\u2019UE. Que peut-on dire de sa mise en \u0153uvre au niveau du Luxembourg\u00a0? <\/strong><\/p>\n

Luc Tapella\u00a0:<\/em> Le Luxembourg l\u2019a transpos\u00e9e sans pratiquement rien changer \u00e0 son contenu. Nous appliquons les normes \u00e9dict\u00e9es aux secteurs sp\u00e9cifiquement vis\u00e9s par la directive\u00a0: l\u2019\u00e9nergie, le transport, les banques et infrastructures de march\u00e9s financiers, la sant\u00e9, l\u2019eau et les infrastructures num\u00e9riques. D\u2019autres pays ont \u00e9tendu la liste des secteurs vis\u00e9s, comme la France par exemple, qui y a inclus les acteurs de la cha\u00eene agroalimentaire. Il est important de noter que chaque pays a d\u00e9fini des autorit\u00e9s comp\u00e9tentes en la mati\u00e8re. Au Luxembourg, on en compte seulement deux\u00a0: la CSSF pour les acteurs du secteur financier, et l\u2019ILR pour l\u2019ensemble des autres acteurs.<\/p>\n

 <\/p>\n

La directive et sa transposition dans le droit luxembourgeois distinguent deux cat\u00e9gories d\u2019acteurs, \u00e0 savoir les Op\u00e9rateurs de Services Essentiels et les Fournisseurs de Services Num\u00e9riques. Comment la l\u00e9gislation s\u2019applique-t-elle \u00e0 chacun d\u2019eux\u00a0? <\/strong><\/p>\n

Luc Tapella\u00a0:<\/em> Les Op\u00e9rateurs de Services Essentiels (OSE) sont donc les acteurs g\u00e9rant des activit\u00e9s dans les domaines de l\u2019\u00e9nergie, des transports a\u00e9rien, ferroviaire, routier ou m\u00eame encore fluvial ou maritime, de la finance, \u00e0 savoir les banques et les infrastructures de march\u00e9s financiers, de la sant\u00e9 avec les \u00e9tablissements de soins, et de la fourniture et distribution d\u2019eau potable. Il s\u2019agit d\u2019op\u00e9rateurs dont la compromission des syst\u00e8mes informatiques ou des r\u00e9seaux pourrait avoir des cons\u00e9quences critiques sur les services qu\u2019ils fournissent. Nous sommes actuellement occup\u00e9s \u00e0 d\u00e9finir lesquels, parmi les acteurs actifs dans ces domaines, rel\u00e8veront des OSE. Il faut savoir qu\u2019aucune liste relative \u00e0 ces acteurs ne sera publi\u00e9e. Autrement dit, les op\u00e9rateurs qui n\u2019auront pas \u00e9t\u00e9 contact\u00e9s et d\u00e9sign\u00e9s comme tels par le r\u00e9gulateur ne devront pas r\u00e9pondre aux exigences d\u00e9finies dans la loi.<\/p>\n

Pour ce qui est des Fournisseurs de Services Num\u00e9riques (FSN), on distingue trois cat\u00e9gories d\u2019acteurs\u00a0: les places de march\u00e9 en ligne, les moteurs de recherche en ligne et les services informatiques dans le Cloud. Parmi ces acteurs, tomberont sous la l\u00e9gislation ceux ayant leur \u00e9tablissement principal au Grand-Duch\u00e9 de Luxembourg ou ayant d\u00e9sign\u00e9 leur repr\u00e9sentant dans l\u2019Union europ\u00e9enne au Grand-Duch\u00e9 de Luxembourg, employant plus de cinquante personnes ou ayant un chiffre d\u2019affaires sup\u00e9rieur \u00e0 dix millions d\u2019euros.<\/p>\n

 <\/p>\n

Quelles sont les nouvelles obligations pour les Fournisseurs de Services Num\u00e9riques concern\u00e9s\u00a0?<\/strong><\/p>\n

Luc Tapella\u00a0:<\/em> Pour ces acteurs, la r\u00e9gulation est moins lourde que pour les OSE dans la mesure o\u00f9 ils ne seront pas soumis \u00e0 un reporting r\u00e9gulier. N\u00e9anmoins, la loi requiert de la part des FSN d\u2019identifier \u00ab\u00a0les risques qui menacent la s\u00e9curit\u00e9 des r\u00e9seaux et des syst\u00e8mes d\u2019information\u00a0\u00bb qu\u2019ils utilisent pour offrir leurs services dans l\u2019Union, et qu\u2019ils\u00a0prennent \u00ab les mesures techniques et organisationnelles n\u00e9cessaires et proportionn\u00e9es pour les g\u00e9rer\u00a0\u00bb. Les Fournisseurs de Services Num\u00e9riques doivent en outre signaler \u00e0 leurs clients OSE tout incident ayant un impact significatif sur la continuit\u00e9 des services essentiels. Ils doivent \u00e9galement notifier les autorit\u00e9s comp\u00e9tentes, conform\u00e9ment aux exigences du R\u00e8glement d\u2019ex\u00e9cution europ\u00e9en 2018\/151 pr\u00e9cisant les \u00e9l\u00e9ments \u00e0\u00a0prendre en\u00a0consid\u00e9ration par les fournisseurs de\u00a0services num\u00e9riques pour g\u00e9rer les risques ainsi que les param\u00e8tres permettant de\u00a0d\u00e9terminer si\u00a0un\u00a0incident a\u00a0un\u00a0impact significatif. En d\u2019autres termes, ces acteurs, comme ils y \u00e9taient pour la plupart d\u00e9j\u00e0 oblig\u00e9s, doivent mettre en place des \u00e9l\u00e9ments de s\u00e9curit\u00e9 adapt\u00e9s, avoir une politique de gestion des incidents ainsi que de gestion de la continuit\u00e9 des activit\u00e9s, assurer un suivi avec des audits et contr\u00f4les et documenter l\u2019ensemble. La loi luxembourgeoise transposant la directive NIS introduit simplement pour eux une obligation de notification \u00e0 l\u2019ILR en cas d\u2019incident.<\/p>\n

 <\/p>\n

Quand les Fournisseurs de Services Num\u00e9riques doivent-ils notifier les incidents\u00a0?<\/strong><\/p>\n

Luc Tapella\u00a0:<\/em> Quand un des cas de figure d\u00e9fini par le r\u00e8glement d\u2019ex\u00e9cution de l\u2019UE (2018\/151) entre en ligne de compte\u00a0:<\/p>\n