La prochaine activation des deux dispositifs réglementaires 2016 pour la cybersécurité et la protection des données, prévue pour mai 2018, appelle à une réflexion sur la logique complexe et les intersections applicatives sous-jacentes qui pourraient conduire à une révolution du marché numérique national et européen tel que nous le connaissons. Le scénario quantitatif des attaques signale des tendances inquiétantes: 80% des entreprises européennes ont subi au moins un incident de cybersécurité en 2015 et la même année Le nombre d'incidents de sécurité pour toutes les industries dans le monde a augmenté de 38%. Pour 2016-2017, le rapport CLUSIT nous informe que la tendance est dramatiquement péjorative. Dans ce scénario, la Directive UE 2016/1148 du 6 juillet 2016 (par souci de concision NIS, sécurité des réseaux et des systèmes d'information) et le Règlement général sur la protection des données (RGPD) interviennent pour réguler d'une part le périmètre de l'économie le numérique plus sérieusement exposé en raison des conséquences des cyberattaques, celle des «infrastructures critiques» auxquelles les éditeurs de solutions numériques sont corrélés avec les obligations et sanctions y afférentes; d'autre part, celle relative aux données `` personnelles '' détenues par des organisations, entreprises, cabinets professionnels, etc. aujourd'hui revisité à la lumière du marché des données également lié à l'obligation de cyberdéfense. Tout d'abord, nous arrivons à résumer les logiques de mise en œuvre pour Nis: délais, sujets de mise en œuvre, compétences et types de sujets d'entreprise auxquels les obligations de conformité mèneront, c'est-à-dire les opérateurs de services essentiels et les prestataires de services numériques.
Tout d'abord, nous mentionnons les dates limites: la directive NIS est en vigueur depuis août 2016 et en attente de mise en œuvre par les États membres de l'UE; les États membres ont 21 mois pour prendre les mesures de mise en œuvre nécessaires dans la législation nationale et 6 mois supplémentaires pour identifier les opérateurs d'infrastructures nationales critiques; la date limite de mise en œuvre est 9 mai 2018, dans la transition, le groupe de coopération et le réseau CSIRT fonctionnent à partir 9 Février 2017. Il devrait être immédiatement souligné le rôle crucial du groupe de coopération qui devrait avoir / devrait aider les États membres à l'identification des opérateurs de services essentiels et les effets négatifs sur une période de temps juste expiré ou de Février 9 2017 à 9 2018 Novembre; le soutien technique d'Enisa devrait également être mentionné à la fois pour la Commission et pour les organes de coordination, à savoir le groupe de coopération et le réseau des CSIRT. Cependant, les autorités nationales de référence, le (s) CSIRT national (s) et le point de contact national unique doivent être désignés. Alors que nous entendons que certains États membres ont déjà conclu le processus formel de transposition des nouveaux Etats indépendants, nous enregistrons un retard évident dans la récente délégation nationale au Gouvernement pour la mise en œuvre des directives européennes est entrée en vigueur le Novembre 21. La situation nationale a en effet une mise à jour du Cadre Stratégique National en février 2017 et le Plan Opérationnel, qui, cependant, font défaut à la mise en œuvre prévue par les deux dispositions réglementaires mentionnées. Les doutes de la Commission quant à l'application du NIS méritent d'être soulignés, à mon avis, par les différentes dispositions de révision de la directive.
Article. 23 attend du 9 May 2018 que la Commission présente au Parlement européen et au Conseil un rapport sur la cohérence dans l'identification des opérateurs de services essentiels. Deux ans après l'entrée en vigueur de la directive et tous les mois NIS 18, le Réseau CSIRTs produira un rapport évaluant l'expérience acquise de la coopération opérationnelle, y compris les conclusions et les recommandations ont été dégagées. Le rapport sera envoyé à la Commission et un réexamen périodique de la directive est envisagé. La première observation du système relation inhérente entre la directive NIS et le contexte des règles relatives à la protection ou de GDPR et des données en général, les politiques sectorielles de l'UE, comme le transport maritime et la banque financière, les normes nationales et normes et accords internationaux, y compris le bouclier de confidentialité. Par exemple, il n'est pas clair comment la question de la conformité NIS et GDPR et les sanctions envisagées en relation avec le bouclier de confidentialité qui devraient être conformes aux normes européennes seront résolues. En attendant, regardons les obligations et sanctions envisagées pour les opérateurs de services essentiels. "Les opérateurs de services essentiels sont des entreprises privées ou des organismes publics ayant un rôle important pour la société et l'économie dans les secteurs suivants: Énergie: électricité, pétrole et gaz. Transport: aérien, ferroviaire, maritime et routier. Banque: établissements de crédit. Infrastructures de marché financier: plateformes de négociation et contreparties centrales. Santé: environnements de soins de santé. Eau: approvisionnement en eau potable et distribution. Infrastructure numérique: en particulier les points d'échange Internet, les fournisseurs de services DNS (Domain Name System) et les registres TLD (domaine de premier niveau).
Mais les «considérants» de la directive nous informent que des secteurs tels que la banque financière et le transport maritime ont des réglementations sectorielles qui seront évaluées et finalement intégrées pour l'application de la nouvelle norme. En supposant que les délais soient exacts, les Etats membres auraient déjà dû dresser des listes d'opérateurs de services essentiels prévus pour 9 en novembre dernier (art. 23). À cette fin, la norme se lit comme suit: "1. Au sein de 9 2018 de novembre, les États membres identifient, pour chaque secteur et sous-secteur, les opérateurs de services essentiels ayant leur siège sur leur territoire. Les critères d'identification des opérateurs de services essentiels sont les suivants: une personne fournit un service essentiel au maintien d'activités sociales et / ou économiques fondamentales; la fourniture de ce service dépend du réseau et des systèmes d'information; un accident aurait des effets négatifs importants sur la fourniture de ce service. Chaque État membre établit une liste de services. "De cette manière, le texte suggère que les opérateurs de services essentiels doivent être identifiés avec un nom et un prénom spécifiques. En laissant de côté la tautologie de « » essentiel », cela signifie immédiatement la sensibilité du sujet, le premier bug / point faible potentiel pour lequel l'identification sélective éventuellement des opérateurs de services essentiels, y compris les sociétés européennes et internationales, pourrait conduire à des traitements esoneranti selon les listes des différents États membres, de l'organisation permanente et / ou de la localisation territoriale du «représentant» de la même, comme prévu par le NIS. Comme les grandes sociétés de services utilisent des réseaux de sociétés de services intermédiaires, en cascade, par exemple dans l'énergie, l'eau, les télécommunications, etc. Comment les Autorités traiteront-elles la question en cas d'accidents à ces sujets et non aux sociétés mères? Et comment comprendre l'obligation de se conformer aux normes de sécurité? Et, encore une fois, jusqu'à quel niveau l'analyse de l'évaluation des risques et de l'évaluation des risques devrait-elle être mise en œuvre? L'imprécision quantitative et qualitative des effets négatifs significatifs rend très précaire la définition du seuil d'impact. La norme prévoit donc des facteurs intersectoriels pour la définition des «effets négatifs significatifs: le nombre d'utilisateurs qui dépendent du service fourni par la partie intéressée; la dépendance des autres secteurs visés à l'annexe II par le service fourni par ce sujet; l'impact que les accidents pourraient avoir, en termes d'échelle et de durée, sur les activités économiques et sociales ou sur la sécurité publique; la part de marché dudit sujet; la répartition géographique par rapport à la zone qui pourrait être affectée par un accident; l'importance du sujet pour maintenir un niveau de service suffisant, en tenant compte de la disponibilité d'outils alternatifs pour la fourniture de ce service. "Ainsi que" facteurs sectoriels: le cas échéant ". On se demande qui parmi les premiers de la classe européenne, a déjà pris des mesures pour les données et les estimations économétriques et sociales de cette ampleur par rapport à son territoire et / ou à des installations situées ailleurs ou dont les représentants dans le cas des entreprises multinationales fournissent des services sur le territoire national, mais ils sont situés ailleurs. A moins que l'on ne pense à agir, au cas par cas en cas d'accident, mais, dans ce cas, les conditions claires pour les notifications des accidents eux-mêmes seraient manquantes.
Nous arrivons maintenant à la conformité qui peut être résumée comme suit. Les obligations d'évaluation des risques et d'évaluation des risques doivent être corrélées avec le respect des normes européennes et internationales: par exemple, des lignes directrices et des normes telles que le NIST, le COBIT, l'ISO, l'ISA, etc. Mais laquelle des douzaines de normes aura la préférence dans les États membres individuels? Et voici le troisième bug de l'application qui pourrait déclencher une «guerre» des normes pour les fournisseurs de produits et services numériques, avec différentes normes européennes et américaines ayant un impact différent sur les produits et services. La pression de lobbying des entreprises qui fournissent des services numériques dans les différents États membres est évidemment concevable. Les notifications obligatoires auxquelles les Etats membres devront payer des pénalités, le cas échéant. Tout cela doit correspondre à des critères d'impact objectivables, c'est-à-dire à des critères communs d'évaluation des risques et de vérification de la compétence et de la territorialité. En bref, une belle vespaio juridique et pragmatique ou un quatrième bug d'application.
Source Nova