Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique

JORF n°0145 du 26 juin 2018
texte n° 3




Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique

NOR: PRMD1815433A
ELI: https://www.legifrance.gouv.fr/eli/arrete/2018/6/13/PRMD1815433A/jo/texte


Publics concernés : opérateurs de services essentiels mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018, fournisseurs de service numérique mentionnés à l'article 11 de la loi n° 2018-133 du 26 février 2018.
Objet : modalités de déclaration des réseaux et systèmes d'information et de déclaration des incidents de sécurité pour l'application des articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.
Entrée en vigueur : l'arrêté entre en vigueur le lendemain de sa publication .
Notice : l'arrêté fixe les modalités selon lesquelles les opérateurs de services essentiels déclarent, à l'Agence nationale de la sécurité des systèmes d'information, leurs réseaux et systèmes d'information en application de l'article 8 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique. Il fixe également les modalités selon lesquelles les opérateurs de services essentiels et les fournisseurs de service numérique déclarent, à cette agence, les incidents de sécurité en application des articles 11 et 20 du décret précité.
Références : l'arrêté peut être consulté sur le site Légifrance (http://www.legifrance.gouv.fr).


Le Premier ministre,
Vu le règlement d'exécution (UE) 2018/151 de la Commission du 30 janvier 2018 portant modalités d'application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif ;
Vu la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union ;
Vu le code de la défense, notamment ses articles L. 2321-1, R.* 1132-3 et R. 2321-1 ;
Vu la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, notamment son titre Ier ;
Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu le décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique, notamment ses articles 8, 11 et 20,
Arrête :

  • Chapitre Ier : Déclaration des réseaux et systèmes d'information par les opérateurs de services essentiels


    En application de l'article 8 du décret du 23 mai 2018 susvisé, tout opérateur de services essentiels communique à l'Agence nationale de la sécurité des systèmes d'information la liste des réseaux et systèmes d'information mentionnée au même article et, pour chacun de ces réseaux et systèmes, le formulaire de déclaration, disponible sur le site internet de l'agence (www.ssi.gouv.fr), dûment rempli. Ce formulaire comporte notamment des informations relatives au déclarant, à la description du réseau et système d'information, à ses caractéristiques techniques, à son exploitation et à sa sécurité.
    L'opérateur transmet à l'agence la liste et les formulaires, mentionnés au premier alinéa, par voie électronique, selon des modalités précisées sur le site internet de l'agence, ou par voie postale.


    L'opérateur de services essentiels communique une fois par an à l'Agence nationale de la sécurité des systèmes d'information, selon les modalités mentionnées à l'article 1er, la liste et les formulaires de déclaration mis à jour.
    Lorsqu'il retire un réseau et système d'information de sa liste, l'opérateur en informe sans délai l'agence et lui fournit la justification de ce retrait.

  • Chapitre II : Déclaration des incidents de sécurité par les opérateurs de services essentiels


    Pour effectuer la déclaration d'incidents mentionnée à l'article 11 du décret du 23 mai 2018 précité, tout opérateur de services essentiels communique à l'Agence nationale de la sécurité des systèmes d'information le formulaire de déclaration d'incidents disponible sur le site internet de l'agence (www.ssi.gouv.fr). Ce formulaire comporte notamment des informations relatives au déclarant, au réseau et système d'information affecté par l'incident, aux conséquences de l'incident sur les services essentiels concernés, au type d'incident, à ses causes et aux mesures prises par l'opérateur pour y répondre.
    L'opérateur remplit et transmet le formulaire de déclaration mentionné au premier alinéa dès qu'il a connaissance d'un incident, même s'il ne dispose pas de toutes les informations relatives à ses causes et conséquences. Dès qu'il connait ces informations, il communique le formulaire dûment complété.
    L'opérateur transmet le formulaire de déclaration susmentionné à l'agence par voie électronique, selon des modalités précisées sur le site internet de l'agence, ou par voie postale.

  • Chapitre III : Déclaration des incidents de sécurité par les fournisseurs de service numérique


    Pour effectuer la déclaration d'incidents mentionnée à l'article 20 du décret du 23 mai 2018 précité, tout fournisseur de service numérique communique à l'Agence nationale de la sécurité des systèmes d'information le formulaire de déclaration d'incidents, disponible sur le site internet de l'agence (www.ssi.gouv.fr), dûment rempli. Ce formulaire comporte notamment des informations relatives au déclarant, au réseau et système d'information affecté par l'incident, aux conséquences de l'incident sur les services numériques concernés, au type d'incident, à ses causes et aux mesures prises par le fournisseur de service numérique pour y répondre.
    Le fournisseur de service numérique transmet à l'agence le formulaire de déclaration mentionné au premier alinéa, par voie électronique, selon des modalités précisées sur le site internet de l'agence, ou par voie postale.

  • Chapitre IV : Dispositions finales


    Le présent arrêté est applicable sur l'ensemble du territoire de la République.


    Le directeur général de l'Agence nationale de la sécurité des systèmes d'information est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.


Fait le 13 juin 2018.


Pour le Premier ministre et par délégation :

La secrétaire générale de la défense et de la sécurité nationale,

C. Landais