Pour mémoire, la directive NIS a pour objectif de combattre les cyber-attaques majeures (cyber guerre et sabotage) ciblant les services considérés comme essentiels pour l’état et pour les populations. Elle s’applique à huit secteurs d’activité: l’énergie, les transports, la banque, les soins de santé, l’eau potable, les infrastructures numérique et financière, et finalement les fournisseurs de services numériques (cloud moteurs de recherche …). En France et en Allemagne, pays qui disposaient déjà de réglementations préexistantes matures pour la plupart de ces secteurs d’activité, la directive a été l’occasion d’ajouter à cette liste des secteurs supplémentaires comme l’assurance.

Avant l’entrée en force de la directive, près de la moitié des pays de l’Union Européenne n’avaient pas de législation en matière de cyber-sécurité. A ce jour, tous les pays membres de l’UE n’ont pas encore complètement intégré la directive dans leur réglementation nationale. A la date d’échéance de novembre 2018, pourtant fixée par le texte de la directive, plus de la moitié des états Européens n’avaient pas encore défini la liste des entreprises opérant les services dits essentiels et donc soumis à la nouvelle réglementation. La France et l’Allemagne, qui avait déjà une réglementation, n’ont pas été confrontées à ces difficultés de mise en œuvre. L’Espagne, l’Italie et les Pays-Bas rattrapent leur retard rapidement.

En mai 2019, l’Union Européenne vérifiera comment la directive a été transposée dans chaque pays et que les opérateurs ont été choisis avec pertinence. Elle dressera ainsi un premier bilan d’étape de la mise en œuvre de la directive.

Les mesures de sécurité à intégrer dans la réglementation sont à décider séparément par chaque pays de l’Union Européenne. Les entreprises multinationales des secteurs réglementés ont ainsi à concilier des obligations qui peuvent présenter des différences importantes d’un pays à l’autre. 

La directive permet de professionnaliser les services étatiques, les services informatiques des grands opérateurs ainsi que l’écosystème des sous-traitants et des sociétés de conseils. Sur le long terme, cela contribuera à homogénéiser les systèmes de protection à l’échelle de l’UE.

La Norvège (hors UE) a également appliqué ce dispositif.  

Brexit ou non, le Royaume-Uni a déjà intégré la réglementation. En France, certains secteurs, tels que l’énergie, les télécommunications, les transports, la banque et l’industrie avaient déjà une réglementation depuis 2016. Celle-ci ne sera pas modifiée. On constate que dans le cadre de cette réglementation préexistante, certains secteurs et opérateurs n’auront pas terminé leur mise en conformité dans le délai de trois ans dont ils disposaient entre 2016 et 2019.

L’on constate que les entreprises ayant pris du retard dans la mise en place de la directive sont de petites tailles ou de taille intermédiaire, dans les transports collectifs régionaux et le traitement de l’eau à l’échelle locale par exemple. Les sociétés de taille intermédiaire ont moins d’expertise en matière de protection informatique. Le secteur industriel est le plus touché par ces retards car il consacre statistiquement moins de moyens à la sécurité informatique que le secteur de la banque ou des télécommunications.

Emmanuel Mayega
A propos de l'auteur

Rédacteur en chef du magazine Assurance & Banque 2.0, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef adjoint d’Assurance & Informatique Magazine, il est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine