Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics

Date de signature :08/04/2022 Statut du texte :En vigueur
Date de publication :10/04/2022 Emetteur :Premier ministre
Consolidée le : Source :JO du 10 avril 2022
Date d'entrée en vigueur :01/10/2022

Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics​

NOR : PRMD2135717D
ELI : https://www.legifrance.gouv.fr/eli/decret/2022/4/8/PRMD2135717D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2022/4/8/2022-513/jo/texte
 
Publics concernés : administrations et établissements publics de l'Etat.
 
Objet : définition de l'organisation de la sécurité numérique des systèmes d'information et de communication mise en œuvre par les ministères et les établissements publics sous leur tutelle.
 
Entrée en vigueur : le décret entre en vigueur le premier jour du sixième mois suivant celui de sa publication.
 
Notice : le décret fixe les règles de gouvernance de la sécurité numérique au sein des administrations de l'Etat et des établissements publics sous sa tutelle. Cette définition des responsabilités est rendue nécessaire par l'enjeu stratégique que représentent désormais, pour l'administration, l'accélération de sa numérisation ainsi que sa prise en compte de la sécurité numérique dans la conception, la mise en œuvre et l'exploitation de ses systèmes d'information et de communication. Le décret introduit en outre une homologation de sécurité des infrastructures et services logiciels informatiques du système d'information et de communication de l'Etat.
 
Références : le décret et le texte qu'il modifie peuvent être consultés, dans leur rédaction issue de ces modifications, sur le site Légifrance (https://www.legifrance.gouv.fr).

 
Le Premier ministre,

Le Conseil d'Etat (section de l'administration) entendu,
 
Décrète :
 
Article 1
 
I. - Le décret du 25 octobre 2019 susvisé est ainsi modifié :
1° Le deuxième alinéa de l'article 1er est complété par les mots : « , qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système » ;
2° Au premier alinéa de l'article 2, après les mots : « La responsabilité du Premier ministre » sont insérés les mots : « , y compris en matière de sécurité numérique du système d'information et de communication de l'Etat, » ;
3° Après l'article 4, il est inséré un titre Ier bis ainsi rédigé :
 
« Titre Ier BIS
« DISPOSITIONS RELATIVES À LA SÉCURITÉ NUMÉRIQUE DU SYSTÈME D'INFORMATION ET DE COMMUNICATION DE L'ÉTAT ET DE SES ÉTABLISSEMENTS PUBLICS
 
« Art. 4-1. - Chaque ministre désigne un fonctionnaire de sécurité des systèmes d'information chargé de l'assister dans l'exercice de sa responsabilité en matière de sécurité numérique mentionnée à l'article 2. Ce fonctionnaire est placé sous l'autorité du haut fonctionnaire mentionné à l'article R. 1143-1 du code de la défense.
« Le fonctionnaire de sécurité des systèmes d'information s'assure de l'application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d'information et de communication.
« Il déclare à l'Agence nationale de la sécurité des systèmes d'information les incidents affectant les systèmes d'information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci.
« Les responsabilités de ce fonctionnaire sont précisées par arrêté du Premier ministre.
 
« Art. 4-2. - Chaque ministre désigne également, pour son département ministériel, une ou plusieurs autorités qualifiées en sécurité des systèmes d'information compétentes pour les systèmes d'information et de communication autres que ceux qui sont classifiés.
« L'autorité qualifiée en sécurité des systèmes d'information est responsable de la sécurité numérique des systèmes d'information et de communication relevant de ses attributions. A ce titre, elle définit la politique de sécurité numérique qui leur est applicable et contrôle son application au travers notamment de l'homologation de ces systèmes d'information prévue à l'article 4-3. Elle peut déléguer cette fonction d'homologation à des autorités d'homologation qu'elle désigne.
« Les responsabilités des autorités qualifiées en sécurité des systèmes d'information ainsi que celles des personnes désignées pour les assister sont précisées par arrêté du Premier ministre.
 
« Art. 4-3. - Sans préjudice des mesures prises en application des articles R. 1332-41-1 et R. 1332-41-2 du code de la défense pour les systèmes d'information d'importance vitale et de l'article 9 de l'ordonnance du 8 décembre 2005 susvisée pour les systèmes d'information des autorités administratives faisant l'objet d'échanges par voie électronique ainsi que de l'homologation prévue par l'article R. 2311-6-1 du même code pour les systèmes d'information contenant des informations classifiées, les infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat mentionné à l'article 1er du présent décret font l'objet, préalablement à leur mise en œuvre, d'une homologation de sécurité.
« L'homologation de sécurité est une décision formelle prise par l'autorité qualifiée en sécurité des systèmes d'information ou par toute personne à qui elle délègue cette fonction. Elle atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'autorité qualifiée en sécurité des systèmes d'information.
 
« Art. 4-4. - Le dirigeant exécutif d'un établissement public de l'Etat est responsable de la sécurité numérique des systèmes d'information et de communication de cet établissement.
« A ce titre :
« 1° Il s'assure de la définition et de la mise en œuvre d'une organisation permettant d'assurer la sécurité numérique des systèmes d'information et de communication de l'établissement ;
« 2° Il désigne au sein de l'établissement un interlocuteur compétent pour l'ensemble des sujets relatifs à la sécurité numérique. Les coordonnées de cet interlocuteur sont tenues à jour et communiquées au fonctionnaire de sécurité des systèmes d'information du ministère assurant la tutelle de l'établissement ainsi qu'à l'Agence nationale de la sécurité des systèmes d'information ;
« 3° Il réalise et communique annuellement au fonctionnaire de sécurité des systèmes d'information du ministère assurant la tutelle de l'établissement une évaluation du niveau de sécurité numérique de celui-ci ;
« 4° Il déclare au fonctionnaire de sécurité des systèmes d'information du ministère de tutelle ainsi qu'à l'Agence nationale de la sécurité des systèmes d'information les incidents de sécurité affectant le système d'information et de communication de l'établissement.
« Lorsque la tutelle de l'établissement public relève de plusieurs ministres, les communications et déclarations prévues aux 2°, 3° et 4° sont faites auprès du fonctionnaire de sécurité des systèmes d'information de chacun des ministères correspondants.
 
« Art. 4-5. - L'article 4-4 ne peut être modifié que par décret en Conseil d'Etat. »
 
II. - A l'exception de ses articles 4-4 et 4-5, les dispositions du décret du 25 octobre 2019 susvisé modifiées ou insérées par le I du présent article peuvent être modifiées par décret.
 
Article 2
 
Le présent décret entre en vigueur le premier jour du sixième mois suivant celui de sa publication au Journal officiel de la République française.
 
Article 3
 
Les infrastructures et services logiciels informatiques qui, à la date d'entrée en vigueur du présent décret, composent le système d'information et de communication de l'Etat mentionné à l'article 1er du décret du 25 octobre 2019 susvisé font l'objet de l'homologation de sécurité prévue à l'article 4-3 du même décret dans un délai de deux ans à compter de cette date.
 
Article 4
 
Les dispositions des articles 2 et 3 du présent décret peuvent être modifiées par décret.
 
Article 5
 
Le ministre de l'Europe et des affaires étrangères, la ministre de la transition écologique, le ministre de l'éducation nationale, de la jeunesse et des sports, le ministre de l'économie, des finances et de la relance, la ministre des armées, le ministre de l'intérieur, la ministre du travail, de l'emploi et de l'insertion, le ministre des outre-mer, le ministre de la cohésion des territoires et des relations avec les collectivités territoriales, le garde des sceaux, ministre de la justice, la ministre de la culture, le ministre des solidarités et de la santé, la ministre de la mer, la ministre de l'enseignement supérieur, de la recherche et de l'innovation, le ministre de l'agriculture et de l'alimentation et la ministre de la transformation et de la fonction publiques sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.
 
Fait le 8 avril 2022.
 
Par le Premier ministre :
Jean Castex
 
Le ministre de l'Europe et des affaires étrangères,
Jean-Yves Le Drian
 
La ministre de la transition écologique,
Barbara Pompili
 
Le ministre de l'éducation nationale, de la jeunesse et des sports,
Jean-Michel Blanquer
 
Le ministre de l'économie, des finances et de la relance,
Bruno Le Maire
 
La ministre des armées,
Florence Parly
 
Le ministre de l'intérieur,
Gérald Darmanin
 
La ministre du travail, de l'emploi et de l'insertion,
Elisabeth Borne
 
Le ministre des outre-mer,
Sébastien Lecornu
 
Le ministre de la cohésion des territoires et des relations avec les collectivités territoriales,
Joël Giraud
 
Le garde des sceaux, ministre de la justice,
Éric Dupond-Moretti
 
La ministre de la culture,
Roselyne Bachelot-Narquin
 
Le ministre des solidarités et de la santé,
Olivier Véran
 
La ministre de la mer,
Annick Girardin
 
La ministre de l'enseignement supérieur, de la recherche et de l'innovation,
Frédérique Vidal
 
Le ministre de l'agriculture et de l'alimentation,
Julien Denormandie
 
La ministre de la transformation et de la fonction publiques,
Amélie de Montchalin

Source Légifrance