Décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d’information et de communication de l’Etat et de ses établissements publics

JO du 10 avril 2022

Ce texte introduit au sein du décret n° 2019-1088 du 25 octobre 2019 relatif au système d’information et de communication de l’Etat des exigences relatives à la sécurité numérique de ce système.

Au sein des ministères d’une part, cette sécurité numérique est assurée par chaque ministre qui doit notamment désigner :

* un fonctionnaire de sécurité des systèmes d’information, chargé :
* de l’assister dans l’exercice de sa responsabilité en matière de sécurité numérique ;
* de l’application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d’information et de communication ;
* de déclarer à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) les incidents affectant les systèmes d’information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci ;
* une ou plusieurs autorités qualifiées en sécurité des systèmes d’information, chargées de définir la politique de sécurité numérique qui leur est applicable et de contrôler son application au travers notamment de l’homologation de ces systèmes d’information ;

Au sein des établissements publics de l’Etat d’autre part, elle est assurée par leur dirigeant exécutif, chargé :

* de définir et mettre en œuvre une organisation permettant d’assurer la sécurité numérique des systèmes d’information et de communication de l’établissement ;
* de désigner au sein de l’établissement un interlocuteur compétent pour l’ensemble des sujets relatifs à la sécurité numérique ;
* de réaliser et communiquer au fonctionnaire de sécurité des systèmes d’information du ministère assurant la tutelle de l’établissement une évaluation annuelle du niveau de sécurité numérique de celui-ci ;
* de déclarer à ce fonctionnaire ainsi qu’à l’ANSSI les incidents de sécurité affectant le système d’information et de communication de l’établissement.

Par ailleurs, le texte institue une homologation de sécurité des infrastructures et services logiciels informatiques du système d’information et de communication de l’Etat.

Cette homologation consiste dans une décision formelle prise par l’autorité qualifiée en sécurité des systèmes d’information qui atteste :

* que les risques pesant sur la sécurité ont été identifiés ;
* que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre ;
* que les éventuels risques résiduels ont été identifiés et acceptés par l’autorité qualifiée en sécurité des systèmes d’information.

Ces dispositions, qui seront précisées par arrêté, entrent en vigueur le 1er octobre 2022. Les infrastructures et services logiciels informatiques qui composent le système d’information et de communication de l’Etat à cette date doivent faire l’objet de l’homologation de sécurité prévue par le texte dans un délai de deux ans.