Article 2 de l'Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au secteur d'activités d'importance vitale « Finances » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

Dans un délai de trois mois à compter de la date d'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur relevant du secteur d'activités d'importance vitale " Finances " adresse par courrier à l'Agence nationale de la sécurité des systèmes d'information la liste de systèmes d'information d'importance vitale prévue à l'article R. 1332-41-2 du code de la défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence ( www.ssi.gouv.fr).

Pour déterminer si un système d'information peut être qualifié d'importance vitale au sens des dispositions de l'article L. 1332-6-1 du code de la défense, l'opérateur d'importance vitale mène une analyse d'impacts sur ses systèmes d'information, notamment ceux relevant des types de système d'information mentionnés à l'annexe III du présent arrêté.

Lorsque, pour un type de système d'information mentionné à l'annexe III du présent arrêté, l'opérateur ne déclare aucun système d'information d'importance vitale relevant de ce type de système, il en précise les raisons.