Arrêté du 8 septembre 2017 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Espace » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

Date de signature :08/09/2017 Statut du texte :En vigueur
Date de publication :16/09/2017 Emetteur :
Consolidée le : Source :JO du 16 septembre 2017
Date d'entrée en vigueur :01/10/2017
Arrêté du 8 septembre 2017 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Espace » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense 

NOR: PRMD1720296A

Publics concernés : opérateurs d'importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense relevant du sous-secteur d'activités d'importance vitale « Espace » ; prestataires de service de confiance mentionnés dans le décret n° 2015-350 du 27 mars 2015.

Objet : règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense ; modalités de déclaration des systèmes d'information d'importance vitale mentionnés à l'article R. 1332-41-2 du même code ; modalités de déclaration des incidents de sécurité mentionnés à l'article R. 1332-41-10 du même code.

Entrée en vigueur : le texte entre en vigueur le 1er octobre 2017.

Notice : l'arrêté fixe les règles de sécurité que les opérateurs d'importance vitale sont tenus de respecter pour protéger leurs systèmes d'information (annexe I), les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des systèmes d'information la liste de leurs systèmes d'information d'importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l'agence certains types d'incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information (annexe IV).

Références : l'arrêté est pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense. Il peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr) à l'exception de ses annexes qui ne sont pas publiées. Ces annexes sont notifiées aux personnes ayant besoin d'en connaître.


Le Premier ministre,

Arrête :

Chapitre Ier : Règles de sécurité

Article 1


Les règles de sécurité prévues à l'article L. 1332-6-1 du code de la défense relatives au sous-secteur d'activités d'importance vitale « Espace » figurent à l'annexe I du présent arrêté.
A compter de l'entrée en vigueur du présent arrêté ou de sa date de désignation en tant qu'opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur d'importance vitale relevant du sous-secteur mentionné au premier alinéa applique ces règles de sécurité dans les délais qui figurent à l'annexe II.

Chapitre II : Déclaration des systèmes d'information d'importance vitale

Article 2


Dans un délai de trois mois à compter de la date d'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale « Espace » adresse par courrier à l'Agence nationale de la sécurité des systèmes d'information la liste de systèmes d'information d'importance vitale prévue à l'article R. 1332-41-2 du code de la défense, ainsi que, pour chaque système, le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr).
Pour déterminer si un système d'information peut être qualifié d'importance vitale au sens des articles L. 1332-6-1 et R. 1332-41-2 du code de la défense, l'opérateur d'importance vitale mène une analyse d'impacts sur ses systèmes d'information, notamment ceux relevant des types de système d'information mentionnés à l'annexe III du présent arrêté.
Lorsque, pour un type de système d'information mentionné à l'annexe III du présent arrêté, l'opérateur ne déclare aucun système d'information d'importance vitale relevant de ce type de système, il en précise les raisons.

Article 3

L'opérateur d'importance vitale communique une fois par an à l'Agence nationale de la sécurité des systèmes d'information les mises à jour de sa liste et des formulaires de déclaration.
Il déclare tout nouveau système d'information d'importance vitale préalablement à sa mise en service et tout système d'information qui satisfait aux conditions pour être qualifié d'importance vitale postérieurement à sa mise en service dès qu'il satisfait à ces conditions.
Il informe sans délai l'Agence nationale de la sécurité des systèmes d'information de tout retrait de sa liste d'un des systèmes précédemment déclarés et en précise les raisons.

Chapitre III : Déclaration des incidents de sécurité

Article 4

En application de l'article R. 1332-41-10 du code de la défense, tout opérateur relevant du sous-secteur d'activités d'importance vitale « Espace » déclare chaque incident qui relève d'un type figurant à l'annexe IV du présent arrêté. Il adresse à cet effet à l'Agence nationale de la sécurité des systèmes d'information le formulaire de déclaration disponible sur le site internet de l'agence (www.ssi.gouv.fr) selon le moyen approprié à la sensibilité des informations déclarées.

Le formulaire est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l'article 226-13 du code pénal. Il est, le cas échéant, couvert par le secret de la défense nationale.

Chapitre IV : Dispositions finales

Article 5

Tout opérateur d'importance vitale relevant du sous-secteur d'activités d'importance vitale « Espace » communique à l'Agence nationale de la sécurité des systèmes d'information les coordonnées de la personne mentionnée à l'article R. 1332-41-20 du code de la défense dans un délai de trois mois à compter de l'entrée en vigueur du présent arrêté ou de sa désignation comme opérateur d'importance vitale conformément aux dispositions de l'article R. 1332-3 du code de la défense.

Article 6

Les dispositions du présent arrêté entrent en vigueur le 1er octobre 2017.

Article 7

Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté qui sera publié au Journal officiel de la République française à l'exception de ses annexes. Ces annexes sont notifiées aux personnes ayant besoin d'en connaître par le directeur général de l'Agence nationale de la sécurité des systèmes d'information.

Fait le 8 septembre 2017.

Pour le Premier ministre et par délégation :
Le secrétaire général de la défense et de la sécurité nationale,
L. Gautier

Source Légifrance