Art. 3. - L'autorité qualifiée, en tant que responsable de la sécurité des systèmes d'information dans son service ou son organisme, est chargée de :

- définir une politique de sécurité des systèmes d'information adaptée à son service ou son organisme et en fixer les objectifs ;

- s'assurer que les dispositions réglementaires sur la sécurité des systèmes d'information sont appliquées aux différents niveaux ;

- élaborer les consignes et directives internes ;

- s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;

- organiser la sensibilisation et la formation du personnel aux questions de sécurité ;

- informer le fonctionnaire de sécurité des systèmes d'information (FSSI) du département ministériel des événements notables ayant compromis la sécurité des systèmes d'information du service ou de l'organisme ;

- faire désigner au sein de son service ou de son organisme un agent de sécurité des systèmes d'information (ASSI) chargé de la gestion et du suivi des moyens de sécurité des systèmes d'information.