Sécurité des systèmes d’information des opérateurs d’importance vitale
En vertu de l’arrêté du 2 juin 2006 pris pour l’application de l’article R1332-2 du code de la défense, certains distributeurs d’eau potable sont des « opérateurs d’importance vitale », et sont soumis à un certain nombre d’obligations. A ce titre, un décret du 27 mars 2015 ajoute au code de la défense des articles R1332-41-1 à 23, qui précisent les conditions et limites dans lesquelles :
- sont fixées les règles de sécurité nécessaires à la protection des systèmes d’information des opérateurs d’importance vitale ;
- sont mis en œuvre les systèmes de détection d’événements affectant la sécurité de ces systèmes d’information ;
- sont déclarés les incidents affectant la sécurité ou le fonctionnement de ces systèmes d’information;
- sont contrôlés ces systèmes d’information ;
- sont qualifiés les systèmes de détection d’événements et les prestataires de service chargés de leur exploitation ou du contrôle des systèmes d’information ;
- sont proposées les mesures pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d’information.
Règles de sécurité pour les opérateurs d’importance vitale du secteur de l’eau
Un arrêté du 17 juin 2016 fixe les règles de sécurité que les opérateurs d’importance vitale, c’est-à-dire certains opérateurs intervenant dans le domaine de l’eau et désignés par arrêté ministériel, sont tenus de respecter pour protéger leurs systèmes d’information (annexe I) ; les délais dans lesquels ces opérateurs sont tenus d’appliquer les règles de sécurité (annexe II) ; les modalités selon lesquelles ils déclarent à l’Agence nationale de la sécurité des systèmes d’information la liste de leurs systèmes d’information d’importance vitale identifiés par types de système (annexe III) ainsi que les modalités selon lesquelles ils déclarent à l’agence certains types d’incidents affectant la sécurité ou le fonctionnement de leurs systèmes d’information (annexe IV).