La France poursuit la mise en œuvre des mesures relatives à la cybersécurité des Opérateurs d’Importance Vitale
Le 28 novembre 2016 quatre arrêtés sectoriels ont été adoptés par le Secrétaire Général de la Défense et de la Sécurité nationale pour le compte et par délégation du Premier Ministre. Ces arrêtés ont pour but de compléter le plan de sécurité des systèmes d’information applicable aux Opérateurs d’Importance Vitale (« OIV ») dans les secteurs de la finance, l’audiovisuel et information, l’industrie et enfin les communications électroniques et Internet.
Ces quatre arrêtés sectoriels prévoient (i) des mesures de sécurité techniques et organisationnelles, (ii) l’obligation pour les OIV de mener une analyse d’impact afin de d’identifier ceux, parmi leurs systèmes d’information, qui sont d’importance vitale, et (iii) l’obligation de prévoir des procédures de notification et de résolution des incidents de sécurité. Ces quatre nouveaux arrêtés viennent à la suite de trois arrêtés, en vigueur depuis le 1 juillet 2016, relatifs aux secteurs des produits de santé, de la gestion de l’eau et de l’alimentation.
Conformément au code de la défense (Articles L. 1332-6-1 et R. 1332-41-1), le Premier Ministre a le pouvoir de prendre des mesures proposées par l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information, relatives à la cybersécurité des OIV. La mise en œuvre de telles mesures est impérative et le non-respect de cette obligation constitue une infraction punie d’une amende pouvant s’élever jusqu’à 750 000 euros pour les personnes morales.
La France est devenue un pays leader dans l’utilisation des outils réglementaires pour fixer des mesures de cybersécurité et sécuriser les systèmes d’information dans les secteurs clés, identifiés comme critiques pour la Nation par un arrêté ministériel du 2 juin 2006. Ces secteurs sont divisés en trois catégories : les secteurs étatiques, les secteurs relatifs à la protection des citoyens et les secteurs relatifs à la vie économique et sociale de la Nation. D’autres arrêtés sectoriels seront adoptés en 2017 pour les secteurs restants.
Ces quatre arrêtés sectoriels, adoptés le 28 novembre 2016, entreront en vigueur le 1er janvier 2017 et seront obligatoires pour les opérateurs qui ont été identifiés comme étant des OIV. Les autres opérateurs publics et privés, ayant des activités en France dans l’un de ces quatre secteurs, devraient aussi saisir cette opportunité pour revoir leur niveaux de cybersécurité afin d’évaluer de façon appropriée leurs risques de sécurité ainsi que de limiter leur responsabilité à ce titre.
Contacts
Olivier Haas
Paris
+33.1.56.59.38.84
ohaas@jonesday.com
Daniel J. McLoon
Los Angeles
+1.213.243.2580
djmcloon@jonesday.com
Mauricio F. Paez
New York
+1.212.326.7889
mfpaez@jonesday.com
Undine von Diemar
Munich
+49.89.20.60.42.200
uvondiemar@jonesday.com
Hatziri Minaudier, collaboratrice du bureau de Paris, a contribué à la rédaction de cette alerte.
Les Jones Day Alertes sont une publication de Jones Day qui ne constitue pas un con-seil ou une assistance juridique sur des faits ou circonstances particuliers. Le contenu des Jones Day Alertes est destiné uniquement à des fins d’information générale et ne peut en aucun cas être reproduit ou mentionné dans touté autre publication ou procédure sans l’accord écrit et préalable du cabinet Jones Day ; cet accord pouvant être accordé ou retiré à la discrétion du cabinet Jones Day. Tant l’envoi que la réception de cette publication ne saurait créer de relations entre le cabinet Jones Day et le destinataire de ladite publication.