Provozovatel základních služeb

Zásadní Provozovatel služby ( OSE ) je ve Francii status charakterizující veřejný nebo soukromý subjekt, který poskytuje základní služby, a který je závislý na počítačových sítích a informačních systémů a jejichž zánik by mělo významný dopad na fungování ekonomiky, nebo společnost.

Směrnice o bezpečnosti počítačových sítí (IRS) přijatá Evropskou komisí dne 6. července 2016 má být podle francouzského práva odmítnuto nejpozději do 9. května 2018 specifikuje pravidla pro určování prostředí OSE.

Kontext

Tento nový stav je rozšířením statusu Provozovatele životně důležitého (OIV) stanoveného zákonem o vojenském plánování z roku 2013 .

Jejím cílem je reagovat na bezpečnostní hrozby a výzvy v oblasti kybernetické bezpečnosti definované na evropské úrovni směrnicí o bezpečnosti počítačových sítí (IRS) vypracovanou Evropskou komisí v roce 2013.

Definice

Základní služby

Aby mohla být služba považována za základní službu (ES), musí splňovat tři kritéria:

• služba je nezbytná pro zachování kritických společenských nebo ekonomických činností;
• služba musí být závislá na počítačových sítích a informačních systémech;
• incident v těchto sítích nebo informačních systémech by měl podstatný rušivý účinek na poskytování služby.

Směrnice RIS specifikuje následující meziodvětvové faktory charakterizující významný rušivý účinek:

• počet uživatelů závislých na službě poskytované dotyčným subjektem;
• závislost na ostatních odvětvích, na něž se vztahuje příloha II směrnice;
• důsledky, které by mohly mít incidenty, pokud jde o stupeň a trvání, na ekonomické nebo společenské funkce nebo na veřejnou bezpečnost;
• tržní podíl tohoto subjektu;
• zeměpisný rozsah ve vztahu k oblasti, která bude pravděpodobně ovlivněna incidentem;
• důležitost subjektu při zajišťování dostatečné úrovně služby s přihlédnutím k dostupnosti alternativ pro poskytování této služby.

Sítě a informační systémy

Směrnice RIS rozumí sítí a informačním systémem:

• síť elektronických komunikací;
• jakékoli zařízení nebo jakýkoli soubor propojených nebo souvisejících zařízení, jejichž jeden nebo více prvků zajišťuje při provádění programu automatizované zpracování digitálních dat,
• nebo digitální data uložená, zpracovaná, získaná nebo přenesená za účelem jejich provozu, použití, ochrany a údržby.

Provozovatelé základních služeb

ESO je status týkající se veřejného nebo soukromého subjektu, jehož typ (poskytovatelé zdravotní péče, úvěrová instituce atd.) Je uveden v příloze II směrnice a který poskytuje základní službu a je závislý na sítích a informačních systémech.

Povinnosti

Na prostředí OSE ve Francii se vztahují tři druhy povinností:

• uplatňovat bezpečnostní pravidla na základní sítě a informační systémy určené OSE;
• informovat ANSSI o bezpečnostních incidentech na základních informačních systémech (EIS);
• přijímat audity a kontroly ze strany ANSSI nebo organizace kvalifikované ANSSI ohledně jejích pravidel a úrovně zabezpečení.

Základní opatření

Směrnice IRS stanoví pět hlavních opatření:

1. zavést postup řízení incidentů;
2. informovat ANSSI o událostech, které mají významný dopad na kontinuitu SE;
3. monitorovat své sítě a informační systémy;
4. zřídit systém řízení rizik kybernetické bezpečnosti  ;
5. zvyšovat povědomí zúčastněných stran o otázkách kybernetické bezpečnosti.

Poznámky a odkazy

1. Vyhláška n o  2018-384 ze dne 23. května, 2018
2. Eric Caprioli, „  Jaké je postavení Provozovatele základních služeb stanovených v evropské směrnici o kybernetické bezpečnosti?“  » , Digitální továrna ,15. ledna 2018(zpřístupněno 12. června 2018 )
3. Florian Debes, „  Francouzský stát zajistí bezpečnost„ provozovatelů základních služeb “  “ , Les Échos ,8. února 2018(zpřístupněno 12. června 2018 )
4. (en) „  EUR-Lex - 32016L1148 - CS - EUR-Lex  “ , na eur-lex.europa.eu (přístup 11. června 2018 )
5. „  Směrnice EU NIS 2016/1148  “ , Europa Lex (přístup 12. června 2018 )
6. „  FAQ - Provozovatelé základních služeb (OSE)  “ , ANSSI (přístup 11. června 2018 )