L'opérateur de transport autorisé définit et met en œuvre, dès la phase de conception et durant toutes les phases ultérieures de l'existence des systèmes d'information identifiés en application de l'article 25, un ensemble de dispositions techniques, organisationnelles et humaines cohérentes et proportionnées aux enjeux permettant de les protéger contre les actes malveillants auxquels ils peuvent être exposés.

Les dispositions définies et mises en œuvre permettent notamment :

- d'éviter la présence et l'apparition de failles de sécurité ;

- d'empêcher les actes de malveillance ;

- de détecter et d'identifier les actes de malveillance survenant sur un système d'information ;

- de limiter les conséquences d'un acte de malveillance ;

- de disposer de moyens pour remettre le système en fonctionnement et en condition de sécurité à la suite d'un dysfonctionnement ou d'un acte de malveillance.

Pour ces systèmes d'information qui sont également des systèmes d'information d'importance vitale, l'application de la réglementation applicable à ces systèmes vaut respect du présent article.

Pour ces systèmes d'information qui sont également des systèmes d'informations destinés à traiter, stocker ou transmettre des informations classifiées ou portant la mention de protection Diffusion Restreinte, l'application de l'instruction générale interministérielle n° 1300 vaut respect du présent article.