Art. 3. - L'autorité qualifiée de sécurité des systèmes d'information est chargée, dans le cadre des orientations et du schéma de sécurité des systèmes d'information arrêté par l'administration centrale, de :

- définir une politique de sécurité des systèmes d'information adaptée à son service et en fixer les objectifs ;

- s'assurer que les dispositions réglementaires sur la sécurité des systèmes d'information sont appliquées ;

- élaborer les consignes et directives internes ;

- s'assurer que les contrôles internes de sécurité sont régulièrement effectués ;

- organiser la sensibilisation et la formation du personnel aux questions de sécurité ;

- informer l'administration centrale des événements notables ayant affecté la sécurité des systèmes d'information du service ;

- désigner au sein de son service un agent de la sécurité des systèmes d'information chargé de la gestion et du suivi des moyens de sécurité des systèmes d'information du service.