OIV et OSE sont les deux catégories du droit français désignant des organisations soumises à des obligations de cybersécurité renforcées. OIV (Opérateur d'Importance Vitale) préexiste à NIS2 et relève de la Loi de Programmation Militaire de 2013 (LPM). OSE (Opérateur de Services Essentiels) est la transposition française de la directive NIS initiale, aujourd'hui étendue par NIS2.
La distinction
Le statut d'OIV est attribué par arrêté aux opérateurs dont la défaillance affecterait gravement le potentiel militaire ou économique, la sécurité ou la capacité de survie de la Nation. La liste est classifiée. Les OIV sont régulés par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) et doivent mettre en œuvre les Règles de Sécurité des Systèmes d'Information d'Importance Vitale (SIIV) — des règles techniques et organisationnelles qui précèdent et dépassent NIS2 sur plusieurs points.
Le statut d'OSE s'applique plus largement aux secteurs définis par la directive NIS2 : énergie, transports, banques, marchés financiers, santé, eau potable, infrastructures numériques, administration publique, espace, services postaux, gestion des déchets, alimentation, chimie, recherche et industrie manufacturière. La liste est publique. Les OSE sont régulés par la loi française de transposition NIS2 et supervisés par l'ANSSI ou des autorités sectorielles.
Les obligations OIV
Les règles SIIV couvrent 20 domaines, dont la gestion des identités, la segmentation réseau, la détection d'incidents, la journalisation et la sécurité de la chaîne d'approvisionnement. Trois caractéristiques distinguent les obligations OIV du socle NIS2 :
- Audit obligatoire par des prestataires qualifiés ANSSI (PASSI). L'auto-évaluation n'est pas acceptée.
- Contrainte de cloud souverain. Les classifications françaises équivalentes au CUI doivent rester dans des infrastructures souveraines qualifiées.
- Attestation annuelle à l'ANSSI. Rapport formel, et non déclaration volontaire.
Les obligations OSE sous NIS2
Le socle NIS2 pour les OSE correspond à l'article 21 de la directive : gestion des risques, traitement des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, gestion des vulnérabilités, cryptographie, contrôle d'accès, MFA et développement sécurisé. La France ajoute des obligations déclaratives et des sanctions via sa loi de transposition.
Les opérateurs essentiels (entités essentielles) sont soumis à une supervision plus stricte que les opérateurs importants (entités importantes). Les entités essentielles comprennent la plupart des anciens OSE ainsi que de nouveaux secteurs ajoutés par NIS2.
Pourquoi c'est important pour l'OT
La plupart des secteurs OIV et OSE exploitent une empreinte OT significative — transport d'électricité, traitement de l'eau, signalisation ferroviaire, automatismes industriels. Les obligations techniques se traduisent directement en segmentation réseau, contrôle d'accès basé sur l'identité, journalisation et détection d'incidents au niveau OT. Les produits de sécurité uniquement cloud satisfont rarement les exigences de souveraineté des données et de maîtrise on-premise que l'ANSSI impose aux OIV.
Termes liés
- Directive NIS2
- Protection des infrastructures critiques
- Normes de cybersécurité industrielle
- Sécurité des technologies opérationnelles
- IEC 62443
Lien avec Access Gate
Access Gate fonctionne entièrement on-premise, produit des preuves d'audit alignées avec les exigences ANSSI SIIV et satisfait les attentes de souveraineté d'infrastructure auxquelles sont soumis les OIV et les OSE de secteurs critiques. Voir Conformité NIS2 on-premise.
