Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique
Sur le décret
Entrée en vigueur : | 26 mai 2018 |
---|---|
Dernière modification : | 26 mai 2018 |
Codes visés : | Code de la défense., Code de la sécurité intérieure |
Directive transposée : |
Le Premier ministre,
Vu le règlement d'exécution (UE) 2018/151 de la Commission du 30 janvier 2018 portant modalités d'application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif ;
Vu la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union ;
Vu le code de la défense, notamment ses articles L. 2321-1, R.* 1132-3 et R. 2321-1 ;
Vu la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, notamment son titre Ier ;
Vu le décret n° 97-1184 du 19 décembre 1997 modifié pris pour l'application au Premier ministre du 1° de l'article 2 du décret n° 97-34 du 15 janvier 1997 relatif à la déconcentration des décisions administratives individuelles ;
Vu le décret n° 2015-350 du 27 mars 2015 modifié relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale ;
Le Conseil d'Etat (section de l'administration) entendu,
Décrète :
Sont désignés opérateurs de services essentiels, en application de l'article 5 de la loi du 26 février 2018 précitée, les opérateurs fournissant au moins un service mentionné à l'annexe au présent décret lorsque des réseaux et systèmes d'information sont nécessaires à la fourniture de ce service et qu'un incident affectant ces réseaux et systèmes aurait, sur la fourniture de ce service, des conséquences graves, appréciées au regard des critères suivants :
1° Le nombre d'utilisateurs dépendant du service ;
2° La dépendance des autres secteurs d'activités figurant à l'annexe au présent décret à l'égard du service ;
3° Les conséquences qu'un incident pourrait avoir, en termes de gravité et de durée, sur le fonctionnement de l'économie ou de la société ou sur la sécurité publique ;
4° La part de marché de l'opérateur ;
5° La portée géographique eu égard à la zone susceptible d'être touchée par un incident ;
6° L'importance que revêt l'opérateur pour assurer un niveau de service suffisant, compte tenu de la disponibilité de moyens alternatifs pour la fourniture du service ;
7° Le cas échéant, des facteurs sectoriels.
Les opérateurs de services essentiels sont désignés par arrêté du Premier ministre. Cet arrêté mentionne les services essentiels au fonctionnement de la société ou de l'économie fournis par l'opérateur.
Le Premier ministre notifie à chaque opérateur concerné son intention de le désigner comme opérateur de services essentiels. L'opérateur dispose d'un délai d'un mois à compter de cette notification pour présenter ses observations.
Lorsque l'opérateur dont la désignation est envisagée fournit un service essentiel dans un ou plusieurs autres Etats membres de l'Union européenne, sa désignation est précédée d'une consultation préalable des Etats membres concernés.
Les arrêtés mentionnés au premier alinéa sont notifiés aux opérateurs intéressés.
Le décret du 23 février 2006 définit les activités d'importance vitale comme un « ensemble d'activités, essentielles concourant à produire des biens ou des services indispensables ». […] information dans l'Union […] L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a été créée par le d& […] #233;cret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique