La directive NIS de l’UE réserve des surprises aux entreprises américaines du secteur numérique

directive NIS

Le mois dernier, une loi majeure sur la sécurité des données est entrée en vigueur.
Elle aura des conséquences aussi bien pour les entreprises européennes qu’américaines.
Non, je ne parle pas du Règlement général sur la protection des données (RGPD), que j’ai mentionné plusieurs fois dans le blog.
Même si elle est plus précisément axée sur « l’infrastructure critique » de l’UE, la Directive NIS a aussi certaines implications surprenantes sur des entreprises non européennes qui ne sont pas impliquées dans des activités telles que l’exploitation de centrales hydroélectriques ou d’autres services critiques ou essentiels.

Il s’agit d’une directive !

Un point essentiel à garder à l’esprit est que cette nouvelle loi est une directive. Depuis la directive sur la protection des données personnelles, qui a précédé le RGPD, nous savons que dans le langage des bureaucrates de l’UE, une directive est une ligne directrice ou un modèle réglementaire.  Chaque pays de l’UE devra en compléter les détails lorsqu’il la « transposera » en lois locales.

En gros, la directive NIS établit que certaines entreprises fournissant des « services essentiels » (l’UE parle d’infrastructure critique) doivent prendre des « mesures techniques et organisationnelles appropriées » contre les cyberattaques et ensuite informer les autorités « dans les meilleurs délais » en cas d’incident notable concernant la sécurité.

C’est tout ce qu’elle précise !

Comme la directive NIS n’est en aucune manière normative, les législateurs ont une grande marge de manœuvre pour en définir les détails. Eh oui ! Cela veut dire que, tout comme l’ancienne directive sur la protection des données personnelles, la directive NIS variera de façon considérable d’un pays à l’autre, certains régulateurs nationaux étant beaucoup plus stricts en matière d’application et d’amendes.

Quelques pays ont déjà mis en œuvre la directive NIS — le Royaume-Uni, par exemple, en a produit sa propre version – mais la plupart en sont encore à en élaborer les détails.
Il s’avère que les retardataires disposent d’un peu plus de temps pour élaborer leurs propres lois. La directive NIS spécifie que les pays de l’UE ont en fait jusqu’au mois de novembre 2018 pour identifier les opérateurs spécifiques de services essentiels.

C’est vrai ! À la différence du RGPD, la directive NIS (pour l’essentiel) s’appliquera à un ensemble explicite d’entreprises actives dans le secteur des services clés, tels que l’énergie, les transports, la santé, la finance et les banques.

À ma connaissance, et au moment où j’écris ces lignes, aucun pays de l’UE n’a publié une telle liste. En effet, la directive NIS est en suspens jusqu’à ce que les autorités locales nous en apprennent plus sur leurs sélections de services essentiels.

Les fournisseurs américains de services numériques sont soumis à la directive NIS

Mais la directive NIS a formulé une exception en ce qui concerne les fournisseurs de service numérique. En effet, les pays de l’UE ne sont pas tenus de fournir une liste d’entreprises fournissant une infrastructure en ligne essentielle. Selon la directive, toutes les entreprises fournissant du cloud computing, des places de marché mettant en contact des acheteurs et des vendeurs, ou des services de moteur de recherche sont automatiquement considérées comme des fournisseurs de service numérique !

Et elles seraient dès maintenant soumises aux règles de la directive NIS. (Pour votre information : cette disposition exclut les petits et très petits fournisseurs de service numérique, à savoir ceux qui comptent moins de 50 employés et réalisent moins de 10 millions d’euros de chiffre d’affaires.)

Les sociétés américaines actives dans le secteur du cloud et des places de marché en ligne — et elles sont nombreuses — devront certainement redoubler d’efforts pour assurer leur présence dans l’UE.

Mais il y a un autre piège.

Vous rappelez-vous que le RGPD s’applique aux entreprises hors UE, et ce même si elles n’y sont pas physiquement présentes ?

Comme le RGPD, la directive NIS a également une portée territoriale étendue. Si une entreprise américaine propose, par exemple, une place de marché en ligne pour la location saisonnière d’appartements et qu’elle fait la promotion de ce service au Royaume-Uni ou en France, elle tombe dans le cadre de la directive NIS. Cet article juridique vous en apprendra plus sur la portée territoriale internationale de la directive NIS.

Déclaration d’une cyberattaque dans le cadre de la directive NIS

La directive NIS énumère quelques critères pour aider les fournisseurs de service numérique à décider si une cyberattaque a eu un « impact important » sur leurs opérations. Parmi ces critères figurent le nombre d’abonnés affectés, la durée, la portée géographique et les coûts économiques.

directive NIS

Les petits caractères de la directive NIS relatifs à la déclaration d’un incident cybernétique affectant un fournisseur de service numérique.

Par exemple, un ransomware, une attaque DDoS ou une autre cyberattaque préjudiciable ayant un impact sur une entreprise américaine assurant un service en ligne dans l’UE, qu’il s’agisse par exemple du partage de véhicules ou d’appartements, d’hébergement web, ou (hum) de moteurs de recherche, entrent dans le cadre de la directive NIS, et ce sans tenir compte du fait qu’elle a ou non des serveurs physiques dans l’UE. Et elle devra déclarer l’incident au régulateur local, appelé CSIRT (Computer Security Incident Response Team) par la directive NIS.

Il y aura des amendes pour ceux qui ne s’y conformeront pas !

Pour vous donner une idée, la version britannique de la directive NIS a fixé à 17 millions d’euros le montant maximal de ces amendes. Naturellement, les montants peuvent varier, car chaque pays de l’UE est libre de déterminer ses propres amendes et pénalités.

Dans tous les cas, les fournisseurs américains de service numérique doivent tenir compte d’une autre loi de l’UE. En bref, non seulement ils doivent se conformer aux règles de sécurité et de confidentialité imposées par le RGPD en matière de données personnelles, mais également aux exigences plus générales de la directive NIS qui leur impose de sécuriser leur infrastructure informatique et réseau contre les défaillances.