Sans doute pour célébrer l’entrée en vigueur, ce 25 mai 2018, du RGPD, le gouvernement a publié le décret « relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique » (n°2018-384 du 23 mai 2018).
Il impose aux opérateurs de services essentiels (OSE) des contraintes techniques liées à la sécurité de leurs systèmes d’information. Il comporte aussi des règles relatives à la sécurité des réseaux et services de fournisseur de service numérique (qui concerne donc un spectre plus large que les seuls « OSE »).
Mais qui sont ces opérateurs de services essentiels (OSE) ?
Il s’agit d’une catégorie a part d’opérateurs auxquels viennent se poser une « surcoupe » de normes à la loi de 1978 informatique et libertés (avec ses évolutions dont la future loi de mise en conformité au RGPD) et désormais le RGPD lui-même.
Visés par l’article 5 de la loi du 26 février 2018, qui est la transposition de la directive NIS (dont nous parlions dans notre vidéo de cadrage et dont vous retrouvez un extrait ci-dessus avec ce tableau).
Si nous n’allons pas rentrer dans le détail des normes techniques a respecter relevons que sont OSE au sens du décret :
- ceux figurant dans une liste de secteurs, dont en simplifiant et en se limitant a des domaines qu’on peut rencontrer parfois pour des collectivités : ceux de la distribution d’énergie (peut concerner certaines collectivités), vente ou stockage de gaz (rare mais pas impossible pour certaines collectivités portant certains projets), de gestionnaires d’aéroports, transport (ferroviaire, guidé, routier, voie d’eau …), des organismes sociaux, établissements de santé, etc. Mais surtout — signalons le — des services très communs au final comme : le traitement des eaux non potables (assainissement), fourniture et distribution d’eau potable, l’éducation et les services de restauration.
- Attention toutefois, le décret ne prévoit pas que vous serez OSE dès que vous aurez une cantine scolaire pour 2 enfants … mais pour être OSE il faut rentrer dans au moins une de ces catégories (liste exhaustive en annexe) d’une part et ensuite atteindre certains critères appréciés au cas par cas : notre d’utilisateurs, dépendances des activités entre elles, conséquences d’un incident, part de marché (la formulation peut faire sourire mais rappelons qu’elle est aussi faite pour le privé) , la portée géographique, etc.
- In fine, c’est un arrêté du Premier Ministre qui listera la liste des OSE sur la base donc d’une part de la présence d’une activité au moins sur la liste et de ces autres paramètres précités.
Si après ce classement vous êtes déclaré OSE, il conviendra alors de désigner un représentant auprès de l’Agence nationale de la sécurité des systèmes d’information et devront respecter les prescriptions techniques du chapitre 1er du décret (tandis que le chapitre 2 vise tous les fournisseurs de service).