Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique

JO du 29 septembre 2018

Ce texte est pris en application de l’article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique qui prévoit la fixation par arrêté des règles de sécurité nécessaires à la protection des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.

Les règles ainsi définies en annexe I du texte portent notamment :

* dans le domaine de la gouvernance de la sécurité des réseaux et systèmes d’information, sur l’élaboration et la mise en œuvre d’une politique de sécurité des réseaux et systèmes d’information et l’homologation de sécurité des réseaux et systèmes d’information ;
* dans le domaine de la protection des réseaux et systèmes d’information, sur la sécurité de l’architecture et de l’administration des réseaux et systèmes d’information et le contrôle des accès à ces réseaux et systèmes ;
* dans le domaine de la défense des réseaux et systèmes d’information, sur la détection et le traitement des incidents de sécurité affectant les réseaux et systèmes d’information ;
* dans le domaine de la résilience des activités, sur la gestion de crises en cas d’incidents de sécurité ayant un impact majeur sur des services essentiels.

L’annexe II fixe pour chaque règle de sécurité son délai d’application, qui court à compter de la date de désignation de l’opérateur en tant qu’opérateur de services essentiels (délai compris entre trois mois et trois ans selon les règles en cause).

Ces dispositions entrent en vigueur le 1er octobre 2018.