Arrêté du 11 août 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Transports terrestres » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense
Sur l'arrêté
| Directives transposées : | Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information Directive 2013/40/UE du 12 août 2013 relative aux attaques contre les systèmes d’information |
|---|
Commentaire • 0
Décision • 0
Document parlementaire • 0
Versions du texte
Notice
Publics concernés : opérateurs d'importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense relevant du secteur d'activités d'importance vitale « Transports terrestres » ; prestataires de service de confiance mentionnés dans le décret n° 2015-350 du 27 mars 2015 ; services de l'Etat.
Objet : règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense ; modalités de déclaration des systèmes d'information d'importance vitale mentionnés à l'article R. 1332-41-2 du même code ; modalités de déclaration des incidents de sécurité mentionnés à l'article R. 1332-41-10 du même code.
Entrée en vigueur : le texte entre en vigueur le 1er octobre 2016.
Notice : l'arrêté fixe les règles de sécurité que les opérateurs d'importance vitale sont tenus de respecter pour protéger leurs systèmes d'information (annexe I), les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des systèmes d'information la liste de leurs systèmes d'information d'importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l'agence certains types d'incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information (annexe IV).
Références : l'arrêté est pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense. Il peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr) à l'exception de ses annexes II, III et IV qui ne sont pas publiées. Ces annexes sont notifiées aux personnes ayant besoin d'en connaître.
Le Premier ministre,
Vu le code de la défense, notamment ses articles L. 1332-1 et suivants, L. 2321-1, R.* 1132-3, R. 1332-3, R. 1332-4, R. 1332-41-1 et suivants et R. 2311-1 et suivants ;
Vu le code pénal, notamment ses articles 226-13 et 413-9 ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu le décret n° 2015-350 du 27 mars 2015 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale ;
Vu l'arrêté du 2 juin 2006 modifié fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs ;
Vu l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale ;
Vu l'avis du ministre chargé des transports en date du 19 mai 2016,
Arrête :
Les règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense relatives au sous-secteur d'activités d'importance vitale « Transports terrestres » figurent à l'annexe I du présent arrêté.
A compter de l'entrée en vigueur du présent arrêté ou de sa date de désignation en tant qu'opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur d'importance vitale relevant du sous-secteur mentionné au premier alinéa applique ces règles de sécurité dans les délais qui figurent à l'annexe II.
Dans un délai de trois mois à compter de la date d'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale « Transports terrestres » adresse par courrier à l'Agence nationale de la sécurité des systèmes d'information la liste de systèmes d'information d'importance vitale prévue à l'article R. 1332-41-2 du code de la défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr).
Pour déterminer si un système d'information peut être qualifié d'importance vitale au sens des dispositions de l'article L. 1332-6-1 du code de la défense, l'opérateur d'importance vitale mène une analyse d'impacts sur ses systèmes d'information, notamment ceux relevant des types de système d'information mentionnés à l'annexe III du présent arrêté.
Lorsque, pour un type de système d'information mentionné à l'annexe III du présent arrêté, l'opérateur ne déclare aucun système d'information d'importance vitale relevant de ce type de système, il en précise les raisons.
L'opérateur d'importance vitale communique une fois par an à l'Agence nationale de la sécurité des systèmes d'information les mises à jour de sa liste et des formulaires de déclaration.
Il déclare tout nouveau système d'information d'importance vitale préalablement à sa mise en service et tout système d'information qui satisfait aux conditions pour être qualifié d'importance vitale postérieurement à sa mise en service dès qu'il satisfait à ces conditions.
Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons.