Arrêté n° 18 du 11 octobre 2022

Article 1 Le présent arrêté a pour objet d'organiser l'exercice des responsabilités relatives à la sécurité des systèmes d'information et de communication au sein des ministères chargés de la transition écologique, de la cohésion des territoires, de la transition énergétique et de la mer. Article 2 Une instance stratégique de la sécurité du numérique est créée pour l'ensemble des ministres et secrétaires d'État ayant autorité sur le secrétaire général, haut fonctionnaire de défense et de sécurité dont les responsabilités sont définies par le décret du 9 juillet 2008 susvisé, ou en disposant, sous la dénomination : comité stratégique de la sécurité numérique. Présidé par le ministre chargé de la transition écologique, ce comité stratégique est composé : - des ministres et secrétaires d'État ayant autorité sur le secrétaire général, ou en disposant ; - du haut fonctionnaire de défense et de sécurité ; - du fonctionnaire de la sécurité des systèmes d'informations ; - des autorités qualifiées SSI reprises à l'article 1er de l'arrêté du 11 octobre 2022 susvisé ; - de trois autorités qualifiées désignées par le ministre chargé de la transition écologique, parmi celles indiquées à l'article 2 du même arrêté ; - du directeur du numérique ; - du responsable du numérique de la direction générale de l'aviation civile (DGAC) ; - du responsable du numérique de la direction générale des affaires maritimes, de la pêche et de l'aquacultures (DGAMPA). Ce comité peut être élargi à des membres invités en fonction de l'ordre du jour. Le comité stratégique de la sécurité numérique se réunit au moins une fois par an en amont du comité stratégique interministériel de la sécurité du numérique. Le haut fonctionnaire de défense et de sécurité en assure le secrétariat. Chaque autorité qualifiée en sécurité des systèmes d'informations présente une synthèse du niveau de sécurité du numérique sur son périmètre de responsabilité, une synthèse des incidents de sécurité numérique ainsi que les plans d'action associés. Le comité stratégique de la sécurité numérique vérifie la bonne prise en compte de la sécurité du numérique dans les politiques publiques portées par le ministère ainsi que dans la stratégie ministérielle du numérique, au regard notamment de la politique de sécurité des systèmes d'information de l'Etat. Le comité stratégique de la sécurité numérique définit les orientations stratégiques en matière de sécurité du numérique dans une feuille de route pluriannuelle. Il arbitre, le cas échéant, les allocations budgétaires relatives aux questions de sécurité du numérique pour les services et les infrastructures transverses. Article 3 Une instance ministérielle de pilotage de la sécurité du numérique est créée pour l'ensemble des ministres et secrétaires d'État ayant autorité sur le secrétaire général, haut fonctionnaire de défense et de sécurité dont les responsabilités sont définies par le décret du 9 juillet 2008 susvisé, ou en disposant, sous la dénomination : comité de pilotage de la sécurité numérique. Présidé par le haut fonctionnaire de défense et de sécurité, ce comité est composé des conseillers à la sécurité du numérique et des responsables de la sécurité des systèmes d'information (RSSI), dépendant des autorités qualifiées mentionnées à l'article 1er de l'arrêté du 11 octobre 2022 susvisé et des conseillers à la sécurité du numérique et des responsables de la SSI dépendant de trois autorités qualifiées désignées par le haut fonctionnaire de défense et de sécurité parmi les autorités qualifiées mentionnées à l'article 2 du même arrêté. Il peut être élargi à des membres invités en fonction de l'ordre du jour. Le comité se réunit au minimum deux fois par an et, en tant que de besoin, sur convocation par son président. Le fonctionnaire de la sécurité des systèmes d'information en assure le secrétariat. Chaque réunion fait l'objet d'un relevé de décisions. Le comité a pour objectif de piloter les activités relatives à la sécurité du numérique et d'assurer le suivi de la feuille de route pluriannuelle validée par le comité stratégique de la sécurité numérique. Le suivi de ces activités concerne au moins les démarches d'homologation et les plans d'amélioration continue de la sécurité qui leur sont liés, le traitement des incidents de sécurité numérique, les programmes d'audits de sécurité ainsi que les plans d'action associés, l'élaboration et le maintien à jour des cartographies des systèmes d'information, le maintien en condition opérationnelle et de sécurité des systèmes d'information, la stratégie de résilience numérique au travers des plans de continuité et de reprise informatique. Le comité de pilotage peut émettre des avis et formuler des propositions quant aux orientations techniques et choix technologiques auxquelles le pôle ministériel aurait à faire face dans le futur. Article 4 Le haut fonctionnaire de défense et de sécurité du ministère de la transition écologique et de la cohésion des territoires et du ministère de la transition énergétique est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.