Le chef d'organisme ou le chef d'établissement arrête une stratégie de protection contre la malveillance et un système de management de la qualité intégrant les dispositions du présent chapitre, dans les plans de sécurité répondant aux dispositions ministérielles prises pour la défense-sécurité des activités, moyens et installations relevant du ministre de la défense. Cette stratégie est mise en œuvre par le responsable de l'activité nucléaire auquel sont déléguées l'autorité et les ressources nécessaires.

Le responsable de l'activité nucléaire informe par écrit le personnel affecté à l'organisme ou à l'établissement, ou à la réalisation d'un transport :

- de la nécessité de signaler dans les meilleurs délais tout fait qui pourrait laisser suspecter un acte de malveillance ;
- des modalités de signalement associées.

Le responsable de l'activité nucléaire vérifie que les personnes auxquelles il envisage de délivrer l'autorisation d'accès aux sources de rayonnements ionisants et aux informations afférentes, mentionnée à l'article R. 1333-148 du code de la santé publique, disposent des compétences et des informations en matière de prévention et de lutte contre la malveillance, adaptées à leurs fonction et responsabilités et limitées à leurs besoins d'en connaître, notamment :

- les moyens et mesures de protection contre la malveillance qu'elles devront mettre en œuvre et respecter pendant leurs activités ;
- leurs responsabilités dans le système de protection contre la malveillance, le suivi des sources de rayonnements ionisants ou le management de la protection contre la malveillance ;
- la chaîne d'alerte et la conduite à tenir lors d'un événement de malveillance ;
- les dispositions retenues en matière de protection de l'information ;
- les consignes à suivre lors de l'accompagnement d'une personne dans les conditions prévues à l'article 22.

Le responsable de l'activité nucléaire s'assure, aussi souvent que nécessaire et au moins une fois tous les trois ans, que les personnes auxquelles il a délivré cette autorisation disposent des compétences et informations précitées à jour.

Le responsable de l'activité nucléaire limite aux besoins strictement nécessaires le nombre de personnes dont il autorise l'accès aux sources de rayonnements ionisants ou lots de sources radioactives de catégorie A, B ou C et leur convoyage, ou l'accès aux informations portant sur les moyens ou mesures mis en œuvre pour les protéger contre les actes de malveillance, en application de l'article R. 1333-148 du code de la santé publique.
Il tient à jour la liste nominative de ces personnes et, pour chacune d'elles, des sources de rayonnements ionisants ou informations auxquelles elle est autorisée à accéder.

Lorsqu'une ou des sources radioactives sont contenues dans un dispositif et que la mise en œuvre de ce dispositif implique l'usage d'une commande à distance, le responsable de l'activité prend des dispositions pour que seules les personnes qu'il a autorisées en application des articles R. 1333-148 à R. 1333-151 du code de la santé publique et formées à cet effet puissent utiliser la commande à distance.

En application du dernier alinéa du I de l'article R. 1333-148 du code de la santé publique, lorsque, pour accéder à une source de rayonnements ionisants ou lot de sources radioactives, une personne autorisée à cet effet accompagne une personne non autorisée, sont enregistrés :

- les nom, prénom et éventuel chef d'organisme ou chef d'établissement de la personne accompagnée ;
- le motif de l'accès ou de la participation au transport ;
- les dates et heures de début et de fin d'accès ou de début et de fin de transport ;
- les nom et prénom de l'accompagnant, ainsi que sa signature ;
- les commentaires éventuels de l'accompagnant.

I. - Tout événement de malveillance est enregistré et fait l'objet d'une analyse dans des délais adaptés aux enjeux, qui ne dépassent pas deux mois. Le responsable de l'activité nucléaire s'assure que cet enregistrement et cette analyse sont réalisés et permettent :

- de décrire les circonstances détaillées de l'événement ;
- d'évaluer les conséquences réelles et potentielles de l'événement sur les intérêts mentionnés à l'article L. 1333-7 du code de la santé publique ;
- d'identifier les causes de l'événement, qu'elles soient de nature technique, organisationnelle ou humaine et les dispositions qui pourraient atténuer les conséquences réelles de l'événement ;
- de déterminer les dispositions à mettre en œuvre pour prévenir le renouvellement d'un tel événement ou d'un événement similaire ;
- de définir un calendrier pour la mise en œuvre, dans des délais adaptés aux enjeux et à la facilité de cette mise en œuvre, des dispositions identifiées.

L'analyse est documentée et les actions mises en œuvre à la suite d'un événement de malveillance sont enregistrées, avec leur date de mise en œuvre effective.
II. - Pour l'application de l'article R. 1333-22 du code de la santé publique, le responsable de l'activité nucléaire fournit toutes les informations utiles à une action rapide des services de l'Etat, notamment des forces de sécurité intérieure, en particulier :

- la date et le lieu de la découverte de l'acte, tentative d'acte ou de la perte ;
- la date et le lieu, le cas échéant supposé, de l'acte, tentative d'acte ou de la perte ;
- la nature, la catégorie et l'activité de la source ou du lot de sources concerné ;
- tout élément pouvant permettre d'identifier les personnes à l'origine de l'acte ou de la tentative d'acte ;
- tout élément pouvant faciliter l'identification de la source ou du lot de sources ;
- tout élément pouvant faciliter la récupération de la source ou du lot de sources ;
- le point de contact pour les autorités, ses coordonnées et son numéro de téléphone ;
- toute autre information qui serait jugée pertinente.

L'autorité compétente chargée du contrôle en matière de protection contre les actes de malveillance devant recevoir la déclaration prévue au 3° de l'article R. 1333-22 est celle définie à l'article 6 du présent arrêté.
Le responsable de l'activité nucléaire transmet également cette déclaration à la direction de la protection des installations, moyens et activités de la défense. Pour les organismes, cette déclaration devra se faire via le traitement automatisé de données à caractère personnel dénommé « FL@SHEVENT » autorisé par décret du 17 février 2021 susvisé.

Le responsable de l'activité nucléaire établit un plan de gestion des événements de malveillance qui décrit les actions à mettre en œuvre lors d'un événement de malveillance et identifie, le cas échéant de manière nominative, les personnes chargées de les mener.
Dans le cadre de l'élaboration de ce plan, le responsable de l'activité nucléaire prend en compte, le cas échéant, le plan d'urgence interne défini au II de l'article L. 1333-13 du code de la santé publique et les autres plans ou consignes d'urgence applicables dans l'emprise ou installation, ou durant le transport.

Le responsable de l'activité nucléaire formalise et regroupe dans un plan de protection contre la malveillance :
1° La stratégie de protection contre la malveillance mentionnée aux articles 4 et 17 ;
2° Une description, le cas échéant :
a) Des principales caractéristiques de l'emprise ou installation, de son fonctionnement général, de ses conditions d'accès, de sa fréquentation, de son environnement et notamment de la localisation des éléments d'intervention les plus proches ;
b) Des principales caractéristiques des transports impliquant des sources de rayonnements ionisants ou lots de sources radioactives ;
3° une description des sources de rayonnements ionisants ou lots de sources radioactives et, selon le cas, de leurs conditions d'entreposage, d'utilisation ou de transport ;
4° La liste des personnes intervenant ou exerçant une fonction de protection contre la malveillance, en précisant leurs rôles et responsabilités ;
5° Une description précise du système de protection contre la malveillance et la justification des dispositions techniques et organisationnelles retenues au regard de la réglementation, en particulier du présent arrêté ;
6° La gestion du contrôle d'accès des personnes aux lieux où les sources de rayonnements ionisants ou lots de sources sont détenus ou utilisés ainsi que les modalités de délivrance, de retrait ou désactivation des droits d'accès, de verrouillage et déverrouillage des ouvrants des barrières et d'activation et désactivation des dispositifs de détection et d'alarme ;
7° Les modalités retenues pour assurer le suivi des sources de rayonnements ionisants ou des lots de sources radioactives prévu aux articles 15 et 16 du présent arrêté.
Ce plan est une information sensible traitée comme une information à diffusion restreinte et respecte les dispositions de l'article 28.

Une vérification de bon fonctionnement est réalisée immédiatement après toute opération de maintenance ou modification d'un élément du système de protection ou toute suspicion de dégradation, défaillance ou indisponibilité non programmée. Ces vérifications de bon fonctionnement sont enregistrées selon les modalités prévues à l'article 29.

Le responsable de l'activité nucléaire s'assure, par des exercices réalisés périodiquement, de l'efficacité du plan de gestion des événements de malveillance établi en application de l'article 24. Ces exercices font l'objet d'un rapport analysant leur déroulement et présentant les enseignements tirés ainsi que les éventuelles actions correctives et d'amélioration identifiées.
Ces exercices sont réalisés :

- au moins une fois par an pour les sources de rayonnements ionisants ou lots de sources radioactives de catégorie A ;
- au moins une fois tous les deux ans pour ceux de catégorie B ;
- au moins une fois tous les trois ans pour ceux de catégorie C.

I. - Le responsable de l'activité nucléaire s'assure de la protection des informations sensibles et de leur diffusion uniquement à des personnes ayant le besoin d'en connaître.
II. - Ces informations sensibles, sous forme papier ou numérique, sont placées dans des meubles ou locaux verrouillés.

Les registres, programmes, enregistrements des mesures compensatoires, résultats des contrôles, plans, rapports, enregistrements, listes, vérifications et enregistrements du suivi des actions correctives, prévus par le présent arrêté sont conservés et tenus à disposition des agents chargés du contrôle de l'application des dispositions du présent arrêté pendant une durée minimum de cinq ans.

I. - Le responsable de l'activité nucléaire organise et met en œuvre une revue annuelle des exigences réglementaires pour ce qui concerne la protection des sources contre les actes de malveillance.
Cette revue porte également sur la mise à jour du plan de gestion des événements de malveillance prévu à l'article 24 et du plan de protection contre la malveillance prévu à l'article 25.
II. - Cette revue est enregistrée avec mention de :

- leur date ;
- leur nature ;
- les noms et qualités de la ou des personnes les ayant effectués ;
- les résultats obtenus et les éventuelles non-conformités relevées.

III. - Toute non-conformité mise en évidence fait l'objet d'un traitement formalisé destiné à la corriger dans des délais adaptés aux enjeux et, dans l'intervalle, à assurer la protection des sources de rayonnements ionisants ou lots de sources radioactive. A cette fin, les mesures conservatoires ou compensatoires à mettre immédiatement en œuvre sont identifiées puis mises en place, les actions correctives à mettre en œuvre, les échéances et modalités associées sont définies, puis leur mise en place effective est vérifiée.