Arrêté du 22 mars 2021 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au sous-secteur d’activités d’importance vitale « Activités militaires de l’Etat » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

JO du 1er avril 2021

En premier lieu, ce texte fixe en annexe I les règles de sécurité que les opérateurs d’importance vitale (OIV) du sous-secteur d’activités « Activités militaires de l’Etat » sont tenus de respecter pour protéger leurs systèmes d’information.

Il prévoit également qu’au plus tard le 1er octobre 2021 ou dans un délai de trois mois suivant leur désignation en tant qu’OIV, ces opérateurs doivent déclarer à l’ANSSI :

* la liste de leurs SIIV identifiés par types de système, en mettant à jour cette déclaration une fois par an ;
* les coordonnées de la personne désignée comme leur représentant auprès de l’ANSSI.

Les OIV doivent également :

* déclarer à l’ANSSI tout incident de sécurité qui relève d’un type figurant à l’annexe IV du texte ;
* déclarer tout nouveau SSIV préalablement à sa mise en service et tout système d’information qui satisfait aux conditions pour être qualifié d’importance vitale postérieurement à sa mise en service dès qu’il satisfait à ces conditions ;
* informer sans délai l’ANSSI de tout retrait de sa liste d’un des systèmes précédemment déclarés et en préciser les raisons.

Ces dispositions entrent en vigueur le 1er juillet 2021.

Les annexes du texte ne sont pas publiées mais uniquement notifiées aux personnes ayant besoin d’en connaître.