L'Agence nationale de la sécurité des systèmes d'information élabore et propose au Premier ministre les règles de sécurité prévues à l'article L. 1332-6-1. Ces règles sont établies par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Lorsque l'arrêté n'est pas publié, il est notifié aux personnes ayant besoin d'en connaître.

Les arrêtés mentionnés au premier alinéa peuvent prévoir des règles de sécurité différentes selon le secteur ou le type d'activité de l'opérateur. Ils fixent les délais dans lesquels les opérateurs d'importance vitale sont tenus d'appliquer les règles de sécurité. Ces délais peuvent être différents selon les règles de sécurité, le type de systèmes d'information concernés ou la date de mise en service de ces systèmes.

Chaque opérateur d'importance vitale établit et tient à jour la liste des systèmes d'information mentionnés à l'article L. 1332-6-1, y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s'appliquent les règles de sécurité prévues au même article.

Les systèmes d'information figurant sur la liste mentionnée au premier alinéa sont dénommés “ systèmes d'information d'importance vitale ”.

La liste est établie selon des modalités fixées par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Ces arrêtés peuvent prévoir des modalités différentes selon le secteur ou le type d'activité de l'opérateur. Lorsque l'arrêté n'est pas publié, il est notifié aux personnes ayant besoin d'en connaître.

Chaque opérateur communique sa liste de systèmes d'information d'importance vitale et les mises à jour de celle-ci à l'Agence nationale de la sécurité des systèmes d'information selon des modalités et dans des délais fixés par l'arrêté mentionné au troisième alinéa.

L'Agence nationale de la sécurité des systèmes d'information peut, après avis des ministres coordonnateurs concernés, faire des observations à l'opérateur sur sa liste. Dans ce cas, l'opérateur modifie sa liste conformément à ces observations et communique la liste modifiée à l'Agence nationale de la sécurité des systèmes d'information dans un délai de deux mois à compter de la réception des observations.

La liste des systèmes d'information d'importance vitale est couverte par le secret de la défense nationale.

Les règles de sécurité prévues à l'article L. 1332-6-1 fixent les conditions et les délais dans lesquels les opérateurs d'importance vitale mettent en œuvre des systèmes de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information d'importance vitale. Elles déterminent également le type de système de détection utilisé.

Lorsque l'opérateur d'importance vitale est une administration de l'Etat, le Premier ministre, après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés, décide, en fonction des risques particuliers encourus par les systèmes d'information en cause, si les systèmes de détection sont exploités par l'Agence nationale de la sécurité des systèmes d'information, par un autre service de l'Etat ou par un prestataire de service qualifié.

Dans les autres cas, les systèmes de détection sont exploités exclusivement par un prestataire de service qualifié.

Lorsque les systèmes de détection sont exploités par un prestataire de service qualifié, l'opérateur choisit le prestataire sur la liste prévue à l'article R. 1332-41-9.

L'opérateur d'importance vitale conclut une convention avec le service de l'Etat ou le prestataire de service chargé d'exploiter les systèmes de détection. Cette convention précise :

1° Les systèmes d'information de l'opérateur qui font l'objet du service de détection ;

2° Les fonctionnalités du service de détection et le type de système de détection utilisé ;

3° Les systèmes de détection qualifiés utilisés et leurs modalités d'installation et d'exploitation par le service de l'Etat ou le prestataire ;

4° La nature des informations échangées entre l'opérateur et le service de l'Etat ou le prestataire, les conditions dans lesquelles elles sont utilisées et protégées ainsi que les moyens de communication sécurisés nécessaires à ces échanges ;

5° Les moyens techniques et humains nécessaires à l'opérateur pour la mise en œuvre du service de détection.

La convention est conclue dans des délais compatibles avec ceux prévus pour la mise en service des systèmes de détection.

Une copie de la convention signée est adressée sans délai par l'opérateur à l'Agence nationale de la sécurité des systèmes d'information.

Afin de rechercher et d'analyser des événements susceptibles d'affecter la sécurité des systèmes d'information d'importance vitale, l'Agence nationale de la sécurité des systèmes d'information peut demander aux services de l'Etat et aux prestataires de service chargés d'exploiter les systèmes de détection d'utiliser dans ces systèmes des données techniques qu'elle leur fournit.

L'utilisation de ces données techniques est soumise à des conditions particulières définies par l'Agence nationale de la sécurité des systèmes d'information, en particulier lorsque les données sont couvertes par le secret de la défense nationale.

Un opérateur d'importance vitale peut agir comme prestataire de service exploitant des systèmes de détection au profit d'autres opérateurs d'importance vitale ou pour ses besoins propres sous réserve d'être qualifié dans les conditions prévues à l'article R. 1332-41-7.

L'Agence nationale de la sécurité des systèmes d'information met à la disposition du public par voie électronique la liste des systèmes de détection et des prestataires de service exploitant ces systèmes, qualifiés dans les conditions prévues à l'article R. 1332-41-7.

En application de l'article L. 1332-6-2, les opérateurs d'importance vitale communiquent à l'Agence nationale de la sécurité des systèmes d'information les informations relatives aux incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information d'importance vitale.

Les opérateurs communiquent les informations dont ils disposent dès qu'ils ont connaissance d'un incident et les complètent au fur et à mesure de leur analyse de l'incident. Ils répondent aux demandes d'informations complémentaires de l'Agence nationale de la sécurité des systèmes d'information concernant l'incident.

Le Premier ministre précise par arrêté, en distinguant le cas échéant selon le secteur ou le type d'activité de l'opérateur, les informations qui doivent être communiquées, les modalités de leur transmission ainsi que les types d'incident auxquels s'applique l'obligation prévue à l'article L. 1332-6-2. Lorsque l'arrêté n'est pas publié, il est notifié aux personnes ayant besoin d'en connaître.

L'Agence nationale de la sécurité des systèmes d'information transmet aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés, lorsque son analyse de l'incident le justifie, une synthèse des informations recueillies relatives à cet incident.

Le Premier ministre, après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés, notifie aux opérateurs d'importance vitale sa décision d'imposer un contrôle prévu à l'article L. 1332-6-3. Il précise les objectifs et le périmètre du contrôle et fixe le délai dans lequel le contrôle est réalisé. Il précise, en fonction de la nature des opérations à mener, si ce contrôle est effectué par l'Agence nationale de la sécurité des systèmes d'information, par un autre service de l'Etat ou par un prestataire de service qualifié. Dans ce dernier cas, l'opérateur choisit le prestataire sur la liste prévue à l'article R. 1332-41-16.

Le Premier ministre ne peut imposer à un opérateur plus d'un contrôle par année civile d'un même système d'information, sauf si les systèmes d'information de cet opérateur sont affectés par un incident de sécurité ou si des vulnérabilités ou des manquements aux règles de sécurité ont été constatés lors d'un contrôle précédent subi par l'opérateur.

L'opérateur d'importance vitale fournit au service de l'Etat ou au prestataire de service chargé du contrôle :

1° Les informations nécessaires pour évaluer la sécurité de ses systèmes d'information, notamment la documentation technique des équipements et des logiciels utilisés dans ses systèmes ainsi que les codes sources de ces logiciels ;

2° Les moyens nécessaires pour accéder à ses systèmes d'information et à l'ensemble de leurs composants afin de permettre au service de l'Etat ou au prestataire de réaliser des analyses sur les systèmes, notamment des relevés d'informations techniques.

L'opérateur d'importance vitale conclut une convention avec le service de l'Etat ou le prestataire de service chargé d'effectuer le contrôle. Cette convention précise :

1° Les systèmes d'information qui font l'objet du contrôle ;

2° Les objectifs et le périmètre du contrôle ;

3° Les modalités de déroulement du contrôle, notamment les conditions d'accès aux sites et aux systèmes d'information de l'opérateur ;

4° Les informations nécessaires à la réalisation du contrôle, fournies par l'opérateur, et les conditions de leur protection ;

5° Les modalités selon lesquelles sont effectuées les analyses techniques sur les systèmes d'information de l'opérateur.

La convention est conclue dans des délais compatibles avec le délai fixé par le Premier ministre pour la réalisation du contrôle.

Une copie de la convention signée est adressée sans délai par l'opérateur à l'Agence nationale de la sécurité des systèmes d'information.

Le service de l'Etat ou le prestataire ayant réalisé le contrôle rédige un rapport exposant ses constatations, au regard de l'objectif du contrôle, sur le niveau de sécurité des systèmes d'information contrôlés et le respect des règles de sécurité prévues à l'article L. 1332-6-1. Les vulnérabilités et les manquements aux règles de sécurité constatés lors du contrôle sont indiqués dans le rapport, qui formule le cas échéant des recommandations pour y remédier. Le rapport est couvert par le secret de la défense nationale.

Après avoir mis l'opérateur en mesure de faire valoir ses observations, le service de l'Etat ou le prestataire remet, dans le délai fixé pour la réalisation du contrôle, le rapport à l'Agence nationale de la sécurité des systèmes d'information.

L'Agence nationale de la sécurité des systèmes d'information peut auditionner, dans un délai de deux mois à compter de la remise du rapport, le service de l'Etat ou le prestataire ayant réalisé le contrôle, le cas échéant en présence de l'opérateur, aux fins d'examiner les constatations et les recommandations figurant dans le rapport. Elle peut inviter les ministres coordonnateurs des secteurs d'activités d'importance vitale concernés à assister à cette audition.

L'Agence nationale de la sécurité des systèmes d'information communique aux ministres coordonnateurs des secteurs d'activités d'importance vitale concernés les conclusions du contrôle.

Le coût des contrôles effectués par un service de l'Etat en application de l'article L. 1332-6-3 est calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d'agents publics qui y participent. Un arrêté du Premier ministre fixe le coût d'un contrôle mobilisant un agent public pendant une journée.

Le coût des contrôles effectués par un prestataire de service est déterminé librement par les parties.

L'Agence nationale de la sécurité des systèmes d'information propose au Premier ministre les mesures mentionnées à l'article L. 1332-6-4.

Les opérateurs d'importance vitale prennent les mesures nécessaires, notamment par voie contractuelle, pour garantir l'application des dispositions prévues à la présente section aux systèmes d'information des opérateurs tiers mentionnés au premier alinéa de l'article R. 1332-41-2.

Chaque opérateur d'importance vitale désigne une personne chargée de le représenter auprès de l'Agence nationale de la sécurité des systèmes d'information pour toutes les questions relatives à l'application des dispositions prévues à la présente section. Nul ne peut être désigné s'il n'est titulaire de l'habilitation mentionnée à l'article R. 2311-7.

L'Agence nationale de la sécurité des systèmes d'information peut imposer aux opérateurs d'importance vitale et aux prestataires de service mentionnés aux articles L. 1332-6-1 et L. 1332-6-3 l'utilisation d'un moyen particulier pour protéger les échanges d'information prévus à la présente section lorsqu'ils sont effectués par voie électronique.

Les services de l'Etat et les prestataires de service mentionnés aux articles L. 1332-6-1 et L. 1332-6-3 accèdent aux systèmes d'information des opérateurs d'importance vitale et, le cas échéant, aux informations qu'ils contiennent dans le respect des secrets protégés par la loi.

Si un opérateur d'importance vitale ne satisfait pas aux obligations prévues aux articles L. 1332-6-1 à L. 1332-6-4, l'Agence nationale de la sécurité des systèmes d'information saisit l'autorité judiciaire aux fins de poursuite de l'auteur du délit prévu au troisième alinéa de l'article L. 1332-7. Hormis le cas d'un manquement à l'article L. 1332-6-2, cette saisine est précédée d'une mise en demeure adressée à l'opérateur par l'Agence nationale de la sécurité des systèmes d'information.