L'opérateur prend en compte la sécurité dès les premières phases de conception des installations, des plateformes de transbordement et du système de sécurité nucléaire défini à l'article 18, de manière à limiter autant que possible :

- les conséquences potentielles d'actes de malveillance ;
- la facilité de commettre de tels actes sur les installations ; et
- les vulnérabilités du système de sécurité nucléaire face à de tels actes, ou à des aléas pouvant en réduire l'efficacité.

Il applique ce principe à tous les éléments de la sécurité nucléaire, dans leurs aspects techniques, organisationnels et humains, en prenant en compte l'ensemble des prescriptions figurant au présent arrêté. En particulier, pour ce qui concerne la menace interne, il prend en compte les dispositions prévues à l'article 17.
La sécurité dès la conception prend également en compte les spécificités du site et de son environnement de sécurité nucléaire.

L'article 14 s'applique pendant toute la durée de vie de l'activité, de la planification de cette dernière à l'abrogation de l'autorisation pour cette activité.
L'opérateur maîtrise tout nouveau projet ou modification de nature matérielle, humaine ou organisationnelle dans les conditions prévues à l'article 36.

L'opérateur s'assure que la sécurité est prise en compte dès la conception par l'intégration de spécialistes de la sécurité nucléaire au sein des équipes de conception.
L'opérateur met en place une organisation permettant, lors de la conception, la recherche de synergies entre la protection physique, la sécurité des systèmes d'information, le suivi physique, la comptabilité des matières nucléaires, ainsi qu'avec la sûreté nucléaire, la radioprotection, la santé et la sécurité au travail, la protection de l'environnement et la réglementation relative à la sécurité des activités d'importance vitale. Cette organisation vise à éviter tout conflit entre ces différents domaines et, le cas échéant, à rechercher la meilleure solution tout en garantissant un niveau de sécurité nucléaire conforme à la réglementation applicable.
L'opérateur intègre, dans un ensemble cohérent, la technique, l'organisation du travail, les conditions de travail, et les relations sociales avec la sécurité nucléaire, pour notamment favoriser la culture de sécurité nucléaire, pour prévenir et se protéger contre la menace interne.
L'opérateur vise autant que possible, en particulier par la conception des postes de travail, le choix des équipements de travail et des méthodes de travail et de production établies pour son activité, à limiter les contraintes de sécurité nucléaire pesant sur le personnel, à réduire la possibilité de menace interne et à favoriser l'acceptation des dispositions garantissant la sécurité nucléaire par le personnel.

L'opérateur prend en compte la menace interne lors de la mise en œuvre de l'ensemble des dispositions du présent titre, notamment pour concevoir sa stratégie et son système de sécurité nucléaire, tel que prévu à l'article 18.
Il prend les dispositions adaptées en particulier de manière à :

- réduire autant que possible le risque d'apparition d'une menace interne ;
- limiter au strict nécessaire le nombre de personnes ayant un besoin d'accès aux locaux et aux informations mentionnées à l'article 92, pour accomplir leurs tâches ;
- réduire les opportunités et les possibilités que des personnes puissent commettre des actes de malveillance entraînant des conséquences significatives pour les enjeux de sécurité nucléaire, par une conception des installations, des organisations et des dispositions de sécurité nucléaire adaptées ;
- éviter que des acteurs malveillants puissent occuper un poste présentant une sensibilité du point de vue de la sécurité nucléaire, pour son propre personnel et chez les intervenants extérieurs et les entités nucléaires hébergées, et en particulier pour éviter l'accès à tout ou partie d'un PIV à des personnes physiques ou morales dont les caractéristiques sont incompatibles avec cet accès. A cette fin, il peut demander l'avis de l'autorité administrative qui est émis à la suite d'une enquête administrative de sécurité prévue par les dispositions des articles L. 1332-2-1 et R. 1332-22-1 du code de la défense. Les parties des PIV concernées par ces enquêtes sont précisées dans le plan particulier de protection ;
- concevoir les tâches les plus sensibles au regard de la sécurité nucléaire de manière à ce qu'elles nécessitent l'implication de plusieurs personnes, afin de prévenir des actes de malveillance ;
- confier les contrôles internes prévus à l'article 40 à des personnes différentes de celles responsables de leur réalisation, en vue de détecter des actes de malveillance ;
- détecter la présence d'acteurs malveillants et agir avant qu'ils ne passent à l'acte.

L'opérateur établit une stratégie de sécurité nucléaire permettant de prévenir et de lutter contre des actes de malveillance correspondant aux menaces de référence. Celle-ci prend en compte l'environnement de sécurité nucléaire, ainsi que les entités concernées par les articles 37, 38 et 39. Elle est également conçue pour pouvoir s'adapter et appuyer au mieux les pouvoirs publics dans les conditions fixées à l'article 98.
Pour les plateformes de transbordement ou les installations dans lesquelles des matières nucléaires ne sont pas présentes en permanence, cette stratégie peut prévoir des dispositions particulières lorsqu'aucune matière nucléaire ou matière dangereuse n'est présente, sous réserve de justifier que cela ne dégrade pas la sécurité nucléaire.
L'opérateur conçoit un système de sécurité nucléaire permettant le respect des dispositions du présent arrêté, en particulier la mise en œuvre de la stratégie de sécurité nucléaire, couvrant l'ensemble des éléments décrits à l'article 7.
Dans ce cadre l'opérateur fixe les objectifs de performance qui doivent être atteints pour chaque fonction de sécurité de ce système, y compris en matière de protection des systèmes d'information et des informations.
Pour les PIV, les plans particuliers de protection intègrent dans leur dispositif les dispositions du système de sécurité nucléaire. Le cas échéant, le plan particulier de protection est révisé pour inclure les modifications apportées à l'autorisation.

I. - L'opérateur justifie la stratégie et la performance du système de sécurité nucléaire face aux menaces de référence, au travers de la démonstration de performance.
II. - Cette justification est réalisée en prenant en compte le point de vue d'un acteur malveillant, et la difficulté pour ce dernier de réussir l'acte de malveillance qu'il envisage.
III. - La démonstration de performance comprend les étapes successives suivantes :
1° L'identification des cibles potentielles, dans les conditions définies à l'article 20 ;
2° L'identification des cibles retenues et des scénarios de vol, de détournement ou de sabotage pertinents par les menaces de référence, dans les conditions définies à l'article 21 ;
3° La justification de la stratégie et du système de sécurité nucléaire, dans les conditions définies à l'article 22.
IV. - Dans le cas des installations nucléaires de base définies à l'article L. 593-2 du code de l'environnement, l'opérateur s'assure de la cohérence entre les éléments de la démonstration de performance et les éléments de la démonstration de sûreté nucléaire présentés, selon la situation de l'installation, dans :

- le rapport de sûreté mentionné au 1° de l'article R. 593-30 du code de l'environnement ;
- la version préliminaire de la révision du rapport de sûreté mentionnée au 7° de l'article R. 593-16 ou au 8° de l'article R. 593-67 du code de l'environnement ;
- la révision du rapport de sûreté mentionné au IV de l'article R. 593-69 et au 1° de l'article R. 593-70 du code de l'environnement.

V. - Concernant les attaques informatiques, seules ou combinées avec des attaques physiques, les dispositions prévues à l'article 21 et à l'article 22 ne sont pas requises si l'opérateur justifie que les cibles potentielles informatiques sont des SIIV ou que leur atteinte ne pourrait pas conduire à des conséquences inacceptables au regard des critères précisés en annexe 10.
VI. - Concernant les cibles qui ne sont pas susceptibles de conduire à des conséquences radiologiques, l'opérateur peut proposer une méthode d'analyse et des critères d'acceptabilité adaptés répondant aux objectifs généraux de ce chapitre, sous réserve du respect des directives nationales de sécurité qui lui sont applicables.

I. - L'opérateur identifie les cibles potentielles présentes à l'intérieur du périmètre d'autorisation ainsi que, pour les systèmes d'information nécessaires à la démonstration de sécurité nucléaire, celles qui pourraient être à l'extérieur.
Il évalue pour chacune d'entre elles sa sensibilité, en vue de déterminer, selon le cas :

- les menaces de référence à prendre en compte ;
- le critère applicable au regard de l'annexe 10 ;
- la ou les zones de protection requises pour l'application de l'article 71.

II. - La sensibilité face au sabotage est appréciée selon les dommages envisageables radiologiques ou toxiques, pour les personnes représentatives, consécutifs à des actes malveillants.
Les moyens et caractéristiques majorants des menaces de référence peuvent être pris en compte pour évaluer cette sensibilité. Le système de sécurité nucléaire n'est pas pris en compte à ce stade, ni pour écarter la possibilité de conséquences, ni pour évaluer la sensibilité.
L'opérateur veille à la cohérence de l'évaluation des conséquences du sabotage des cibles potentielles avec celles présentées dans la démonstration de sûreté nucléaire, en application de l'article 16 et du IV de l'article 19. Lorsque les conséquences radiologiques ou toxiques peuvent dépendre de dispositions techniques, actives ou passives, de la démonstration de sûreté nucléaire, l'opérateur examine également la pertinence de retenir ces dernières comme cibles potentielles.
III. - La sensibilité au vol des matières nucléaires, au détournement et à la perte, est appréciée selon la catégorie des matières nucléaires.
IV. - Les matières nucléaires et autres matières chimiques faisant l'objet de mouvements internes sont considérées comme des cibles potentielles. Les matières nucléaires respectant les conditions précisées au IV de l'article 84 ne le sont pas.

I. - Parmi les cibles potentielles, l'opérateur identifie celles qui nécessitent de faire l'objet de la justification prévue à l'article 22. Elles sont appelées cibles.
II. - L'opérateur identifie les scénarios de vol, de détournement ou de sabotage pertinents et crédibles qui pourraient viser les cibles.
III. - Pour cela, l'opérateur précise comment il prend en compte les moyens et caractéristiques des menaces de référence et les modes opératoires correspondants, ainsi que les critères de pertinence et de crédibilité qu'il propose. II examine la possibilité de vols, détournements ou sabotages cumulée sur plusieurs cibles potentielles.
IV. - Il prend en compte la possibilité que les acteurs malveillants utilisent des moyens présents dans le périmètre d'autorisation, en permanence ou temporairement, pour l'attaque des cibles potentielles, notamment par effet domino. Il s'agit notamment des sources de dangers même quand elles ne sont pas concernées par l'article 20, y compris celles en mouvement interne et celles mentionnées au IV de l'article 84.
L'opérateur justifie les scénarios et les cibles retenus ou non.

Pour les cibles et les scénarios associés retenus conformément à l'article 21, l'opérateur justifie que sa stratégie de sécurité nucléaire et son système de sécurité nucléaire permettent de faire face aux menaces de référence, selon au moins une des deux modalités suivantes :
1° Empêcher les acteurs malveillants de réaliser un acte de malveillance entraînant des conséquences vis-à-vis des enjeux de sécurité nucléaire, jusqu'à ce qu'ils soient neutralisés, avec ou sans le concours des forces de sécurité intérieure ; ou
2° Garantir qu'un acte de malveillance éventuel, compte tenu du système de sécurité nucléaire, ne conduirait pas à des conséquences inacceptables au regard des critères précisés à l'annexe 10.

L'opérateur identifie et met en œuvre les dispositions apportant des garanties de l'atteinte des objectifs de performance, en lien avec la démonstration de performance.
Chaque disposition peut remplir une fonction, une partie de fonction ou plusieurs fonctions, relatives à la sécurité ou à d'autres objectifs. Lorsqu'une disposition contribue à plusieurs fonctions ou différentes exigences spécifiées, l'opérateur s'assure qu'elle peut remplir toutes les fonctions et les différentes exigences de la démonstration de sécurité nucléaire de manière satisfaisante en permanence. S'il y a des moyens utilisés par d'autres entités ou pour d'autres besoins, l'opérateur justifie comment la disponibilité et l'efficacité du système de sécurité nucléaire est garantie dans les différentes circonstances prévisibles.
Le système de sécurité nucléaire et ses objectifs de performance sont établis au regard des différents modes opératoires des menaces de référence pertinents auxquels ils doivent faire face, en particulier, en prenant en compte la fraude ou d'autres modes opératoires visant à affecter sa performance, et en le protégeant à un niveau cohérent par rapport aux cibles qu'il doit protéger.
L'opérateur apporte des garanties de fiabilité et de robustesse des dispositions de sécurité nucléaire. Ces garanties sont proportionnées aux conséquences qu'aurait la défaillance, accidentelle ou malveillante, de ces dispositions sur la performance du système de sécurité nucléaire et de sa stratégie.

La démonstration de sécurité nucléaire est mise à jour autant que nécessaire, notamment en cas de modification significative des circonstances, hypothèses et données prises en compte et au plus tard tous les dix ans. Elle est également mise à jour à la demande du ministre compétent.