Le ministre est responsable dans son département et dans les organismes dont il a la charge, de la sécurité des systèmes d'information.

Les autorités qualifiées en sécurité des systèmes d'information (AQSSI) mentionnées à l'article 3 sont responsables de la sécurité des systèmes d'information au niveau de leur service, direction, organisme ou établissement. Cette responsabilité ne peut être déléguée.

Les autorités qualifiées en sécurité des systèmes d'information (AQSSI) du ministère de l'intérieur sont :

- pour le périmètre du secrétariat général : le secrétaire général du ministère de l'intérieur ;
- pour la direction générale des collectivités locales : le directeur de cabinet du directeur général ;
- pour la direction générale de la police nationale : le directeur général de la police nationale ;
- pour la direction générale de la sécurité intérieure : le directeur général de la sécurité intérieure ;
- pour la direction générale de la gendarmerie nationale : le directeur général de la gendarmerie nationale ;
- pour la direction générale des étrangers en France : le directeur de cabinet du directeur général ;
- pour la direction générale des outre-mer : le directeur général adjoint ;
- pour la direction générale de la sécurité civile et de la gestion des crises : le directeur de cabinet du directeur général ;
- pour la préfecture de police : le préfet de police ;
- pour la délégation à la sécurité routière : le délégué à la sécurité routière ;
- pour l'agence nationale des titres sécurisés : le directeur de l'agence nationale des titres sécurisés ;
- pour l'agence nationale de traitement automatisé des infractions : le directeur technique de l'agence nationale de traitement automatisé des infractions.

Pour les autres entités, délégations et établissements publics administratifs, l'autorité qualifiée en sécurité des systèmes d'information est le directeur.

En vue de garantir la sécurité globale du ministère, le haut fonctionnaire de défense (HFD), assisté du service du haut fonctionnaire de défense (SHFD), anime, coordonne et contrôle les actions des autorités qualifiées en sécurité des systèmes d'information.

Les autorités qualifiées en sécurité des systèmes d'information doivent notamment, au sein de leur entité :

- organiser la voie fonctionnelle SSI conformément aux prescriptions de la politique de sécurité des systèmes d'information du ministère de l'intérieur ;
- appliquer les directives, instructions ministérielles et interministérielles diffusées par le SHFD ;
- définir, à partir des objectifs de sécurité fixés par le HFD, ou, pour les systèmes traitant d'informations classifiées, des objectifs de sécurité fixés par l'instruction générale interministérielle n° 1300, une politique de sécurité des systèmes d'information adaptée à leur structure ;
- s'assurer que les dispositions réglementaires et, le cas échéant, contractuelles sur la sécurité des systèmes d'information sont appliquées, notamment celles relatives à la sécurité des systèmes traitant d'informations classifiées et sensibles ;
- gérer les situations d'urgence en conformité avec les plans Vigipirate et Piranet. A ce titre, en liaison avec le SHFD, ils doivent s'assurer de la mise à jour de la liste des points de contact utiles en cas d'alerte ou de situation d'urgence ;
- s'assurer de la mise en œuvre des procédures réglementaires prescrites pour l'homologation des systèmes d'information. L'AQSSI peut confier ses attributions en matière d'homologation des systèmes à des autorités déléguées. La délégation fixe les limites des attributions correspondantes et précise le niveau de confidentialité maximal pour lequel chaque autorité déléguée est compétente ;
- s'assurer que des contrôles de sécurité sont régulièrement effectués et que les actions correctives sont programmées puis mises en œuvre ;
- organiser la sensibilisation et la formation du personnel aux questions de sécurité, en particulier en matière de systèmes d'information ;
- mettre en œuvre la gestion des articles contrôlés de la sécurité des systèmes d'information (ACSSI). A ce titre, l'AQSSI désigne l'officier de sécurité ou le gestionnaire des ACSSI le représentant auprès du SHFD ;
- contribuer aux plans de lutte contre le cyberterrorisme, notamment en rendant compte immédiatement au FSSI de tout incident et de tout phénomène suspect pouvant affecter la sécurité des systèmes d'information.

L'autorité qualifiée en sécurité des systèmes d'information peut désigner un représentant (RAQSSI) aux fins de la représenter dans les différents organes de pilotage de la sécurité des systèmes d'information et d'assurer la liaison fonctionnelle avec le FSSI.

Le secrétaire général, haut fonctionnaire de défense, est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.