Conformément à l'article R. 1333-3-2 du code de la défense, l'opérateur de transport autorisé est responsable de la sécurité des transports de matières nucléaires qu'il effectue lui-même ou qu'il confie, sous sa responsabilité, à des transporteurs tiers.

L'opérateur de transport autorisé assure la sécurité des transports en mettant en œuvre des fonctions de sécurité, suivant une approche graduée correspondant à la nature et à la catégorie des matières transportées ainsi qu'au mode de transport utilisé, conformément aux articles R. 1333-13 et R. 1333-14 du code de la défense.
Ces fonctions de sécurité sont constituées de mesures techniques, organisationnelles et humaines visant à prévenir, détecter, signaler et retarder, pendant toute la durée du transport, les actes de malveillance, définis à l'article R. 1333-1 du code de la défense, notamment le vol, le détournement et tout acte visant à altérer, détériorer ou disperser des matières nucléaires, et à en limiter les conséquences.
Pour les transports routiers de matières nucléaires de catégories I et II, à l'exception du combustible irradié, les fonctions de sécurité comprennent également l'intervention.

Après avoir obtenu l'accord de l'expéditeur, l'opérateur de transport autorisé peut demander des aménagements aux mesures mentionnées à l'article 16 du présent arrêté s'il justifie la mise en place de dispositions compensatoires offrant un niveau de protection équivalent. Ces aménagements sont autorisés par le ministre compétent, dans les conditions prévues à l'article R. 1333-7 du code de la défense et sont communiqués à l'Institut de radioprotection et de sûreté nucléaire.

L'opérateur de transport autorisé intègre les impératifs de sécurité dans la conception et le choix de ses équipements et moyens participant à la sécurité des transports, conformément au I de l'article R. 1333-4-1 du code de la défense, à l'exception des emballages et des colis.

Parmi les informations relatives à la planification, au suivi et à la sécurité des transports dont il est responsable ou à la circulation à vide des moyens de transport de matières nucléaires de catégories I et II non irradiées, l'opérateur de transport autorisé identifie les informations, quelle qu'en soit la forme, la nature ou le mode de transmission, logiciel inclus, dont la divulgation, la modification, la transformation, la destruction ou l'usage non autorisé pourraient nuire à la sécurité nucléaire ou aux enjeux de sécurité nucléaire.
Dans le cadre de cette détermination, il prend également en compte les modalités de classification au titre du secret de la défense nationale ou les modalités d'apposition de la mention de protection Diffusion Restreinte précisées par les ministres.

L'opérateur de transport autorisé définit et met en œuvre, dès leur conception et durant toutes les phases ultérieures de l'existence des informations identifiées à l'article 19 du présent arrêté, un ensemble de dispositions techniques, organisationnelles et humaines cohérentes et proportionnées aux enjeux de sécurité nucléaire permettant d'assurer la disponibilité, l'intégrité, la confidentialité et la traçabilité de ces informations. Ces mesures prennent également en compte la protection physique de ces informations.

L'opérateur de transport autorisé limite aux seules personnes ayant besoin d'en connaître l'accès aux informations identifiées à l'article 19 du présent arrêté et tient à jour la liste nominative de ces personnes.

Pour les informations qui sont classifiées au titre du secret de la défense nationale ou qui portent la mention de protection Diffusion Restreinte, l'application de l'instruction générale interministérielle n° 1300 et, le cas échéant, des modalités de classification et de protection précisées par les ministres, vaut respect des articles 18, 19 et 20.

Afin d'assurer la protection des informations identifiées à l'article 19 du présent arrêté, l'opérateur de transport autorisé définit les procédures suivantes :

- les procédures de contrôle périodiques permettant de garantir l'application des dispositions de protection de ces informations mises en œuvre en application du présent arrêté. Ces contrôles permettent notamment de vérifier l'efficacité de la sauvegarde et la conservation de ces informations, quel que soit leur support ;
- les procédures d'audit périodiques permettant d'évaluer l'application des dispositions de protection de ces informations ;
- les procédures de déclaration des événements significatifs pour la sécurité nucléaire relatifs à ces informations ;
- les procédures de diffusion de ces informations qui prennent en particulier en compte le respect du besoin d'en connaître ;
- les procédures d'élaboration, d'échange, de suivi, de traitement ou de destruction de ces informations impliquant un tiers.

En complément, l'opérateur de transport autorisé élabore et met en œuvre une politique de protection des informations. Cette politique :

- décrit les rôles et les responsabilités, ainsi que l'ensemble des moyens organisationnels, techniques et humains qu'il met en œuvre afin d'assurer la protection de ces informations ;
- définit les processus et règles de détermination de ces informations ;
- décrit les procédures pour gérer ces informations, de leur élaboration à leur destruction, y compris, quel que soit leur support, pour leur transmission, leur sauvegarde, leur conservation et pour leur reproduction.

Cette politique et ses documents d'application sont approuvés formellement par la direction de l'opérateur et mis à jour régulièrement.

L'opérateur de transport autorisé identifie les systèmes d'information destinés au traitement, au stockage et à la transmission des informations et dont l'atteinte à la sécurité et au fonctionnement, notamment l'usage inapproprié, la défaillance ou l'endommagement, pourrait nuire à la sécurité nucléaire, y compris lorsqu'il en a confié l'exploitation, la supervision, l'hébergement ou la maintenance à un tiers.
L'opérateur tient à jour la liste de ses systèmes d'information.

L'opérateur de transport autorisé définit et met en œuvre, dès la phase de conception et durant toutes les phases ultérieures de l'existence des systèmes d'information identifiés en application de l'article 25, un ensemble de dispositions techniques, organisationnelles et humaines cohérentes et proportionnées aux enjeux permettant de les protéger contre les actes malveillants auxquels ils peuvent être exposés.
Les dispositions définies et mises en œuvre permettent notamment :

- d'éviter la présence et l'apparition de failles de sécurité ;
- d'empêcher les actes de malveillance ;
- de détecter et d'identifier les actes de malveillance survenant sur un système d'information ;
- de limiter les conséquences d'un acte de malveillance ;
- de disposer de moyens pour remettre le système en fonctionnement et en condition de sécurité à la suite d'un dysfonctionnement ou d'un acte de malveillance.

Pour ces systèmes d'information qui sont également des systèmes d'information d'importance vitale, l'application de la réglementation applicable à ces systèmes vaut respect du présent article.
Pour ces systèmes d'information qui sont également des systèmes d'informations destinés à traiter, stocker ou transmettre des informations classifiées ou portant la mention de protection Diffusion Restreinte, l'application de l'instruction générale interministérielle n° 1300 vaut respect du présent article.

L'opérateur tient à disposition du ministre compétent les informations relatives à ces systèmes d'informations, notamment les documents techniques, les configurations, les architectures, ainsi que les justifications des choix des dispositions de protection définies et mises en œuvre.

L'opérateur de transport autorisé procède à l'homologation de sécurité des systèmes identifiés en application de l'article 25 du présent arrêté sur la base d'un dossier qui comporte toutes les informations ayant permis l'homologation, notamment :

- les risques pris en compte ;
- les dispositions de protection contribuant à la sécurité et au fonctionnement de ces systèmes d'information ;
- les risques résiduels identifiés ;
- la durée de validité de l'homologation ;
- le cas échéant, les résultats d'audits de sécurité de ces systèmes d'information.

Cette démarche d'homologation prend en compte les dispositions de protection du système d'information relatives aux éléments qui assurent son paramétrage notamment au regard des objectifs définis à l'alinéa 2 de l'article 26.
Pour ces systèmes d'information qui sont des systèmes d'information d'importance vitale, l'homologation de sécurité réalisée en application des règles mentionnées au premier alinéa de l'article L. 1332-6-1 du code de la défense vaut homologation de sécurité au titre de cet article.
Pour ces systèmes d'information qui sont également des systèmes d'information destinés à traiter, stocker ou transmettre les informations classifiées ou portant la mention de protection Diffusion Restreinte, l'homologation de sécurité telle que prévue par l'article R. 2311-6-1 du code de la défense, réalisée en application de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale, vaut homologation de sécurité au titre de cet article.
La validité de l'homologation est réexaminée par l'opérateur selon une périodicité adaptée aux enjeux de sécurité nucléaire et lors de chaque événement ou évolution de nature à modifier sa pertinence.

L'opérateur de transport autorisé définit les procédures nécessaires à l'application des articles 26 à 28 du présent arrêté, y compris :

- les procédures d'homologation de sécurité des systèmes d'information identifiés en application de l'article 25 du présent arrêté ;
- les procédures de maintien en conditions de sécurité des ressources des systèmes d'information précités. Ces procédures prennent notamment en compte la veille sur des incidents, des vulnérabilités ou des menaces diffusées par l'Agence nationale de la sécurité des systèmes d'information ;
- les procédures de contrôles internes des systèmes d'information précités précisant et justifiant, au travers d'une planification, la périodicité des contrôles mis en œuvre. Ces contrôles permettent de garantir l'application des dispositions de protection relatives à ces systèmes d'information. Ils prennent en compte la vérification régulière des configurations et des paramétrages de ces systèmes ;
- les procédures d'audit des systèmes d'information précités par rapport aux menaces auxquelles ils sont exposés, selon une planification adaptée et justifiée ;
- les procédures d'exercices qui visent à entrainer le personnel, notamment celui en charge de la sécurité de ces systèmes d'information, à se confronter à un acte de malveillance informatique, ainsi qu'à s'assurer de l'efficacité des dispositions organisationnelles, humaines et techniques relatives à la sécurité des systèmes d'information précités mises en œuvre en application du présent arrêté au regard d'un acte de malveillance. Ces procédures prévoient la tenue de ces exercices de façon régulière et au moins une fois par an ;
- les procédures de test de performance qui visent à évaluer les dispositions de protection mises en œuvre. Ces procédures prévoient la tenue de tests de performance de façon régulière et au moins une fois par an ;
- les procédures de gestion de crise ainsi que celles de continuité et de reprise d'activité.

L'opérateur de transport autorisé élabore, met à jour et met en œuvre une politique de sécurité des systèmes d'information qui prend en compte les systèmes d'information identifiés en application de l'article 25. En particulier, cette politique :

- décrit l'organisation de la gouvernance de la sécurité des systèmes d'information. Cette organisation permet notamment de garantir l'indépendance des personnes en charge de l'audit de ces systèmes d'information vis-à-vis des entités en charge de la conception, de la mise en œuvre, de l'exploitation ou de la gestion de ces systèmes d'information ;
- décrit l'ensemble des dispositions et moyens organisationnels, techniques et humains mis en œuvre par l'opérateur afin d'assurer la protection de ces systèmes d'information notamment contre toute menace interne ou externe ;
- établit la liste les procédures définies à l'article 29 du présent arrêté qui permettent de l'appliquer.

Cette politique et, le cas échéant, ses documents d'application sont approuvés formellement par la direction de l'opérateur. L'opérateur s'assure de l'application de cette politique et de ses documents d'application, ainsi que des mesures qu'ils définissent.
Cette politique est revue régulièrement et au moins tous les cinq ans en prenant en compte les résultats des contrôles, des audits et des exercices ainsi que l'analyse des non-conformités, des faits suspects et des événements significatifs pour la sécurité nucléaire relatifs aux systèmes d'information identifiés en application de l'article 25 du présent arrêté.
Cette politique, ses documents d'application et les résultats des contrôles et des audits sont tenus à la disposition du ministre compétent.

Dans le cadre des contrôles prévus à l'article L. 1333-2 du code de la défense l'opérateur met à disposition du ministre compétent et des agents en charge du contrôle au titre de l'article L. 1333-5 du code de la défense les documents d'architectures et les configurations des systèmes d'information identifiés en application de l'article 25 sur un support électronique, dans un format qui permet leur exploitation et leur traitement.

L'opérateur de transport autorisé assure le suivi de tous ses transports. Ce suivi est réalisé dans des conditions permettant de :

- géo-localiser les transports ;
- détecter les événements susceptibles de porter atteinte à la sécurité des transports ;
- effectuer la levée de doute permettant de qualifier ces événements et définir en particulier s'ils sont d'origine malveillante ou accidentelle ;
- garantir l'alerte des autorités.

Les moyens utilisés pour effectuer les transports routiers et ferrés de matières nucléaires appartenant aux catégories I à III sont équipés d'un dispositif de transmission de données permettant leur suivi en permanence par l'opérateur de transport autorisé, le ministre compétent et l'IRSN. Il est régulièrement testé par l'opérateur de transport autorisé.
Toutefois, pour les transports nationaux ou internationaux en provenance ou à destination d'établissements ou d'installations placés directement sous l'autorité du ministère de la défense :

- le dispositif de transmission de données n'est pas requis si les matières nucléaires transportées appartiennent à la catégorie III ;
- le dispositif de transmission de données peut être désactivé à la demande du ministère de la défense si les matières nucléaires transportées appartiennent à la catégorie I ou II.

Ce dispositif est agréé selon des modalités précisées par un arrêté conjoint du ministre chargé de l'énergie et du ministre de la défense.

Pour assurer le contrôle du suivi, prévu à l'article 32 du présent arrêté, des transports soumis à accord d'exécution, le ministre compétent s'appuie sur l'expertise technique de l'Institut de radioprotection et de sûreté nucléaire.
A ce titre, l'Institut de radioprotection et de sûreté nucléaire :

- est systématiquement et dans les meilleurs délais rendu destinataire des informations utilisées par l'opérateur de transport autorisé, tel que prévu par les articles 40, 41, 52, 74, 75, 76, 90, 93, 95 et 98 ;
- vérifie, à sa diligence à distance, par sondage, la conformité des conditions d'exécution du transport au regard des modalités fixées dans la demande d'accord d'exécution ;
- géolocalise l'ensemble des transports en cours d'exécution sur le territoire national et met à disposition du ministre compétent une cartographie dynamique de ceux-ci.

Dans le cadre de la gestion de crise résultant d'un accident, l'Institut de radioprotection et de sûreté nucléaire appuie le ministre compétent pour :

- évaluer la sécurité des matières transportées et celle des autres transports en cours d'exécution ;
- évaluer la qualité des solutions palliatives et correctives proposées par les opérateurs de transports ;
- proposer, le cas échéant, des solutions de sécurité alternatives ;
- s'assurer, à la demande des autorités compétentes de l'Etat, de la mise en œuvre des solutions retenues par ces dernières jusqu'au retour à une situation stabilisée.

L'opérateur de transport autorisé réalise au moins deux exercices par an comportant des mises en situation, afin d'évaluer la performance d'une ou plusieurs fonctions de sécurité. La participation des forces de sécurité intérieures ou des prestataires à ces exercices n'est pas requise.
Un bilan des exercices, comprenant la date de réalisation, l'objectif poursuivi, le scénario, la liste des participants, les enseignements tirés et les modalités de leur prise en compte pour améliorer la sécurité est établi chaque année, au plus tard le 31 janvier de l'année suivante. Il est transmis au ministre compétent et est tenu à la disposition des agents mentionnés à l'article L. 1333-5 du code de la défense.
Les dispositions du présent article ne s'appliquent pas aux opérateurs de transport autorisé qui n'effectuent que des transports de matières nucléaires de catégorie IV.

L'opérateur de transport autorisé prend en compte la sécurité nucléaire dans son organisation. Celle-ci prévoit toutes les procédures relatives à l'alerte des pouvoirs publics, et aux moyens de protection nécessaires à la sécurité nucléaire.
Cette organisation et ces procédures sont décrites dans des documents tenus à disposition des autorités compétentes.

L'opérateur de transport autorisé envoie au destinataire une notification préalable de l'expédition indiquant la date et l'heure d'arrivée prévues. Cette notification peut être réalisée par voie électronique.
Après la remise au destinataire des matières nucléaires dont le transport est soumis à accord d'exécution, l'opérateur de transport autorisé en avise l'Institut de radioprotection et de sûreté nucléaire et l'expéditeur.

Les transports soumis à accord d'exécution font l'objet d'un document destiné à tracer la continuité de la prise en charge de la protection physique des matières nucléaires transportées, ainsi que les transferts de responsabilité intervenant pendant le déroulement du transport. Ce document est renseigné sous la responsabilité de l'opérateur de transport autorisé.
Il présente à minima les informations suivantes :

1. La référence de l'accord d'exécution ;
2. Le lieu où est effectué la prise en charge de la protection physique ou le transfert de responsabilité ;
3. La date et l'heure de la prise en charge de la protection physique ou du transfert de responsabilité ;
4. La raison sociale, les noms et les visas des représentants du ou des opérateurs de transport autorisés et, le cas échéant, des prestataires ou des transporteurs.

A l'issue du transport, l'opérateur de transport autorisé transmet ce document dans les meilleurs délais à l'Institut de radioprotection et de sûreté nucléaire.

L'opérateur de transport autorisé adresse à l'Institut de radioprotection et de sûreté nucléaire, au plus tard le dernier jour ouvré de chaque semaine, la liste des transports de matières nucléaires soumis à information, au titre de l'article 6 du présent arrêté, qu'il a programmés jusqu'au dernier jour ouvré de la semaine suivante.
Cette liste précise notamment les dates, horaires et lieux de départ et d'arrivée de chacun de ces transports, ainsi que la forme physico-chimique, la teneur isotopique et les masses des matières nucléaires transportées.
En cas d'annulation de l'un de ces transports, l'opérateur de transport autorisé informe l'Institut de radioprotection et de sûreté nucléaire.
Cette disposition n'est pas applicable aux transports effectués par le ministère de la défense avec ses moyens propres.

Tout incident ou accident susceptible d'affecter la sécurité des matières nucléaires ou de leurs moyens de transport, y compris ceux affectant la sécurité des systèmes d'information, ainsi que tout acte de malveillance, est porté immédiatement à la connaissance du ministre compétent, conformément aux articles R. 1333-19 et article R. 1333-15 du code de la défense et de l'Institut de radioprotection et de sûreté nucléaire. Il est confirmé et fait l'objet d'un compte-rendu écrit, adressé dans les meilleurs délais au ministre compétent et à l'Institut de radioprotection et de sûreté nucléaire. Ce compte-rendu comprend notamment les éléments synthétiques suivants :

- la nature et la localisation de l'évènement ;
- l'état de la protection du transport et des matières nucléaires ;
- les mesures prises pour limiter les conséquences réelles et potentielles de l'évènement.

Ce compte-rendu écrit sera régulièrement mis à jour jusqu'à la résolution de la crise résultant de l'évènement et la mise en sécurité durable des matières nucléaires.

En cas d'acte de malveillance et conformément à l'article R. 1333-15 du code de la défense, l'opérateur de transport autorisé garantit l'alerte des services de police et de gendarmerie territorialement compétents avant que l'information soit transmise au ministre compétent et à l'Institut de radioprotection et de sûreté nucléaire.