Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI), en administration centrale et pour l'ensemble des ministères sociaux, les titulaires des fonctions suivantes :
― les chefs de cabinet des ministres et secrétaires d'Etat ;
― le secrétaire général de l'inspection générale des affaires sociales ;
― les directeurs d'administration centrale ;
― les délégués ministériels et interministériels ;
― le secrétaire général de la mission interministérielle de lutte contre la drogue et la toxicomanie ;
― le directeur général de la cohésion sociale ;
― le chef de la mission pour l'informatisation du système de santé.

Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI), dans les services déconcentrés :
― les directeurs des directions régionales et départementales chargées des affaires sanitaires et sociales ;
― les directeurs des directions régionales chargées du travail, de l'emploi et de la formation professionnelle ;
― les directeurs des directions du travail, de l'emploi et de la formation professionnelle d'outre-mer ;
― les directeurs des directions régionales chargées de la jeunesse et des sports.

Sont désignés autorités qualifiées pour la sécurité des systèmes d'information (AQSSI) dans les agences et établissements sous tutelle des ministères : les directeurs des agences sanitaires nationales, des agences régionales de l'hospitalisation et des autres établissements sous tutelle.

L'autorité qualifiée pour la sécurité des systèmes d'information (AQSSI) est la personne responsable, pour sa structure, de la sécurité des systèmes d'information. Elle s'assure, à ce titre, de l'application des dispositions ministérielles y afférentes, définies sous l'autorité du haut fonctionnaire de défense et de sécurité.
Dans ce cadre, en liaison avec le fonctionnaire de sécurité des systèmes d'information (FSSI), elle est chargée :
― de disposer d'une analyse des risques encourus par le système d'information de sa structure, et de la mettre régulièrement à jour ;
― de décliner la politique ministérielle de sécurité des systèmes d'information adaptée aux spécificités de sa structure et d'en fixer les objectifs ;
― de s'assurer que les dispositions réglementaires et contractuelles sur la sécurité des systèmes d'information sont appliquées ;
― d'élaborer les directives internes et désigner les correspondants chargés des diverses tâches liées à la sécurité des systèmes d'information ;
― d'organiser la sensibilisation et la formation du personnel aux questions de sécurité ;
― de veiller à l'application des procédures prescrites, y compris par les entreprises contractantes, pour la protection et le contrôle des personnels, en particulier concernant les droits d'accès, l'habilitation et le respect de la vie privée ;
― de s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;
― de s'assurer que tout système d'information, avant sa mise en service, a fait l'objet d'une homologation tant pour les produits que les installations ;
― d'apporter sa contribution aux plans de lutte interministériels contre le cyberterrorisme, en prenant notamment en compte les avis ou alertes émis par le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) et en rendant compte immédiatement aux autorités de tout incident et de tout phénomène suspect pouvant affecter la sécurité des systèmes d'information avec, si besoin, un régime d'astreinte approprié.

Est abrogé l'arrêté du 16 mai 2006portant désignation des autorités qualifiées de sécurité des systèmes d'information dans les services de l'administration centrale et les services déconcentrés du ministère de l'emploi, de la cohésion sociale et du logement et du ministère de la santé et des solidarités.

Le haut fonctionnaire de défense et de sécurité est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.