L'opérateur de transport autorisé élabore, met à jour et met en œuvre une politique de sécurité des systèmes d'information qui prend en compte les systèmes d'information identifiés en application de l'article 25. En particulier, cette politique :

- décrit l'organisation de la gouvernance de la sécurité des systèmes d'information. Cette organisation permet notamment de garantir l'indépendance des personnes en charge de l'audit de ces systèmes d'information vis-à-vis des entités en charge de la conception, de la mise en œuvre, de l'exploitation ou de la gestion de ces systèmes d'information ;

- décrit l'ensemble des dispositions et moyens organisationnels, techniques et humains mis en œuvre par l'opérateur afin d'assurer la protection de ces systèmes d'information notamment contre toute menace interne ou externe ;

- établit la liste les procédures définies à l'article 29 du présent arrêté qui permettent de l'appliquer.

Cette politique et, le cas échéant, ses documents d'application sont approuvés formellement par la direction de l'opérateur. L'opérateur s'assure de l'application de cette politique et de ses documents d'application, ainsi que des mesures qu'ils définissent.

Cette politique est revue régulièrement et au moins tous les cinq ans en prenant en compte les résultats des contrôles, des audits et des exercices ainsi que l'analyse des non-conformités, des faits suspects et des événements significatifs pour la sécurité nucléaire relatifs aux systèmes d'information identifiés en application de l'article 25 du présent arrêté.

Cette politique, ses documents d'application et les résultats des contrôles et des audits sont tenus à la disposition du ministre compétent.