Arrêté du 29 mai 2019 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Activités civiles de l’Etat » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du code de la défense

JO du 8 juin 2019

En premier lieu, ce texte fixe en annexe I les règles de sécurité que les opérateurs d’importance vitale (OIV) du sous-secteur d’activités « Activités civiles de l’Etat » sont tenus de respecter pour protéger leurs systèmes d’information.

La démarche consiste en particulier à :

* mettre en œuvre une politique de sécurité des systèmes d’information (PSSI) ;
* procéder à l’homologation de sécurité de chaque système d’information d’importance vitale (SIIV) ;
* fournir à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) des éléments de cartographie pour chaque SIIV ;
* mettre en œuvre une procédure de maintien en conditions de sécurité des ressources matérielles et logicielles des SIIV ;
* mettre en place un système de détection qualifié de type « sonde d’analyse de fichiers et de protocoles » et créer une politique de traitement des incidents de sécurité et de gestion de crise.

Le texte prévoit également qu’au plus tard le 1er janvier 2020, les OIV du sous-secteur d’activités « Activités civiles de l’Etat » déclarent à l’ANSSI :

* la liste de leurs SIIV identifiés par types de système, en mettant à jour cette déclaration une fois par an ;
* les coordonnées de la personne désignée comme leur représentant auprès de l’ANSSI.

Les OIV doivent également déclarer à l’ANSSI tout incident de sécurité qui relève d’un type figurant à l’annexe IV du texte.

Ces dispositions entrent en vigueur le 1er octobre 2019.