L'opérateur identifie les systèmes d'information importants pour la sécurité nucléaire (SIISN) sur la base d'une analyse d'impact des systèmes d'information mentionnés à l'annexe 11.
Cette identification prend en compte également les systèmes d'information dont il a confié l'exploitation, la supervision notamment sécuritaire, l'hébergement ou la maintenance à un tiers.
L'opérateur tient à jour la liste de ses SIISN dans laquelle il identifie ceux qui sont des cibles potentielles, en cohérence avec l'article 20.

I. - L'opérateur définit et met en œuvre, dès la phase de conception et durant toutes les phases ultérieures de l'existence des SIISN, un ensemble de dispositions techniques, organisationnelles et humaines cohérentes et proportionnées aux enjeux permettant de les protéger contre les actes malveillants auxquels ils peuvent être exposés.
II. - Les dispositions définies et mises en œuvre permettent notamment :

- d'éviter la présence et l'apparition de failles de sécurité ;
- d'empêcher les actes de malveillance ;
- de détecter et d'identifier les actes de malveillance survenant sur un système d'information ;
- de limiter les conséquences d'un acte de malveillance ;
- de disposer de moyens pour remettre le système en fonctionnement et en condition de sécurité à la suite d'un dysfonctionnement ou d'un acte de malveillance.

III. - Pour les SIISN qui sont également des SIIV, l'application de la réglementation applicable à ces SIIV vaut respect du présent article.
Pour les SIISN qui sont également des SI classifiés ou DR, l'application de l'instruction générale interministérielle n° 1300 vaut respect du présent article.
IV. - L'opérateur s'assure que les SIISN participant à la protection des zones de protection définies à l'article 71 sont dédiés à cet usage et ne sont pas connectés à d'autres systèmes d'information. Lorsque la mise en place d'une interconnexion entre un de ces SIISN et d'autres systèmes d'information est strictement nécessaire pour le bon fonctionnement et la sécurité de ce SIISN, l'opérateur en justifie les raisons et met en place des mesures de réduction de risque.
V. - L'opérateur tient à disposition du ministre compétent les informations relatives aux SIISN, notamment les documents techniques, les configurations, les architectures, ainsi que les justifications des choix des dispositions définies et mises en œuvre en application des I et II du présent article.

Les dispositions de protection physique des SIISN définies en application de l'article 87 peuvent s'appliquer de manière différenciée aux différentes composantes des SIISN au regard de l'analyse d'impact mentionnée à l'article 86 et en fonction de leurs enjeux pour la sécurité nucléaire.
Ces dispositions sont définies en cohérence avec les dispositions de protection physique définies au chapitre 4 et, le cas échéant, au titre d'autres réglementations notamment celles définies pour les SI classifiés ou DR.

L'opérateur intègre le management des SIISN au système de management prévu à l'article 26 en définissant notamment les procédures relatives :

- à l'homologation de sécurité des SIISN ;
- au maintien en conditions de sécurité des ressources des SIISN comprenant notamment la veille sur des incidents, des vulnérabilités ou des menaces diffusés par l'Agence nationale de la sécurité des systèmes d'information ;
- aux contrôles internes des SIISN en précisant et justifiant, au travers d'une planification, la périodicité des contrôles mis en œuvre. Ces contrôles permettent de garantir l'application des dispositions de protection relatives aux SIISN. Ils prennent en compte la vérification régulière des configurations et des paramétrages de ces systèmes ;
- aux audits des SIISN par rapport aux menaces auxquels ils sont exposés, selon une planification adaptée et justifiée. Ces audits comprennent des audits d'architecture, de configuration, de code source, organisationnels et physiques et des tests d'intrusion et de performance ;
- aux exercices qui visent à entrainer le personnel, notamment celui en charge de la sécurité des SIISN, à se confronter à un acte de malveillance informatique, ainsi qu'à s'assurer de l'efficacité des dispositions organisationnelles, humaines et techniques relatives à la sécurité des SIISN mises en œuvre en application du présent arrêté au regard d'un acte de malveillance. Ces exercices sont réalisés de façon régulière et au moins une fois par an et par installation ;
- à la gestion de crise informatique ainsi que la continuité et la reprise d'activité issues d'une telle crise.

En complément, il élabore, met à jour et met en œuvre une politique de sécurité des systèmes d'information qui prend en compte les SIISN. En particulier, cette politique :

- précise les objectifs et les orientations stratégiques en matière de sécurité des SIISN en prenant en compte que celle-ci peut également dépendre de la sécurité de systèmes d'information qui ne sont pas des SIISN ;
- décrit l'organisation de la gouvernance de la sécurité des systèmes d'information et notamment les rôles et les responsabilités du personnel interne, des entités nucléaires hébergées et des intervenants extérieurs à l'égard de la sécurité des SIISN. Cette organisation permet notamment de garantir l'indépendance des personnes en charge de l'audit des SIISN vis-à-vis des entités en charge de la conception, de la mise en œuvre, de l'exploitation ou de la gestion de ces systèmes d'information ;
- décrit l'ensemble des dispositions et moyens organisationnels, techniques et humains mis en œuvre par l'opérateur afin d'assurer la protection des SIISN notamment contre toute menace interne ou externe ;
- identifie les procédures nécessaires à l'application du présent chapitre.

Cette politique et, le cas échéant, ses documents d'application sont approuvés formellement par la direction de l'opérateur. L'opérateur s'assure de l'application de cette politique et de ses documents d'application, ainsi que des mesures qu'ils définissent.
Cette politique est réexaminée régulièrement et au moins tous les cinq ans en prenant en compte les résultats des contrôles, des audits et des exercices ainsi que l'analyse des non-conformités, des faits suspects et des événements significatifs pour la sécurité nucléaire relatifs aux SIISN.

L'opérateur procède à l'homologation de sécurité de chaque SIISN sur la base d'un dossier qui comporte toutes les informations ayant permis d'homologuer un SIISN, notamment :

- les risques pris en compte ;
- les dispositions de protection contribuant à la sécurité et au fonctionnement du SIISN ;
- les risques résiduels identifiés ;
- la durée de validité de l'homologation ;
- le cas échéant, les résultats d'audits de sécurité du SIISN.

Cette démarche d'homologation prend en compte les dispositions de protection du SIISN relatives aux éléments qui assurent son paramétrage ainsi que celles supportés par d'autres systèmes d'information qui participent à sa protection notamment au regard des objectifs définis au II de l'article 87.
Pour les SIISN qui sont des SIIV, l'homologation de sécurité réalisée en application des règles mentionnées au premier alinéa de l'article L. 1332-6-1 du code de la défense vaut homologation de sécurité au titre de cet article.
Pour les SIISN qui sont également des SI classifiés ou DR, l'homologation de sécurité réalisée en application de l'article R. 2311-6-1 du code de la défense et de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale, vaut homologation de sécurité au titre de cet article.
La validité de l'homologation est réexaminée par l'opérateur avec une périodicité adaptée aux enjeux de sécurité nucléaire et lors de chaque événement ou évolution de nature à modifier sa pertinence.

Dans le cadre des contrôles prévus à l'article L. 1333-2 du code de la défense l'opérateur met à disposition du ministre compétent et des agents en charge du contrôle au titre de l'article L. 1333-5 du même code les documents d'architectures et les configurations des SIISN sur un support électronique, dans un format qui permet leur exploitation et leur traitement.