LOI n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité
Chapitre II : Dispositions relatives à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels
Les dispositions du présent chapitre ne sont pas applicables aux opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense, pour les systèmes d'information mentionnés au premier alinéa de l'article L. 1332-6-1 du même code.
Nota
Les règles prévues au premier alinéa du présent article sont définies dans chacun des domaines suivants :
1° La gouvernance de la sécurité des réseaux et systèmes d'information ;
2° La protection des réseaux et systèmes d'information ;
3° La défense des réseaux et systèmes d'information ;
4° La résilience des activités.
Les règles prévues au même premier alinéa peuvent notamment prescrire que les opérateurs recourent à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.
II. - Après avoir consulté l'opérateur concerné, l'autorité administrative peut informer le public d'un incident mentionné au I du présent article, lorsque cette information est nécessaire pour prévenir ou traiter un incident. Lorsqu'un incident a un impact significatif sur la continuité de services essentiels fournis par l'opérateur dans d'autres Etats membres de l'Union européenne, l'autorité administrative en informe les autorités ou organismes compétents de ces Etats.
Les contrôles sont effectués, sur pièce et sur place, par l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense ou par des prestataires de service qualifiés par le Premier ministre. Le coût des contrôles est à la charge des opérateurs.
Les opérateurs sont tenus de communiquer à l'autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa du présent article les informations et éléments nécessaires pour réaliser le contrôle, y compris les documents relatifs à leur politique de sécurité et, le cas échéant, les résultats d'audit de sécurité, et leur permettre d'accéder aux réseaux et systèmes d'information faisant l'objet du contrôle afin d'effectuer des analyses et des relevés d'informations techniques.
En cas de manquement constaté à l'occasion d'un contrôle, l'autorité mentionnée au deuxième alinéa peut mettre en demeure les dirigeants de l'opérateur concerné de se conformer, dans un délai qu'elle fixe, aux obligations qui incombent à l'opérateur en vertu du présent chapitre. Le délai est déterminé en tenant compte des conditions de fonctionnement de l'opérateur et des mesures à mettre en œuvre.
Est puni de 75 000 € d'amende le fait, pour les mêmes personnes, de ne pas satisfaire à l'obligation de déclaration d'incident prévue au I de l'article 7.
Est puni de 125 000 € d'amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l'article 8.