Les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services sont soumis aux dispositions du présent chapitre. Ces opérateurs sont désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans.
Les dispositions du présent chapitre ne sont pas applicables aux opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense, pour les systèmes d'information mentionnés au premier alinéa de l'article L. 1332-6-1 du même code.

Le Premier ministre fixe les règles de sécurité nécessaires à la protection des réseaux et systèmes d'information mentionnés au premier alinéa de l'article 5. Ces règles ont pour objet de garantir un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances. Elles définissent les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'information utilisés pour la fourniture des services essentiels ou pour en limiter l'impact afin d'assurer la continuité de ces services essentiels. Les opérateurs mentionnés au même article 5 appliquent ces règles à leurs frais.
Les règles prévues au premier alinéa du présent article sont définies dans chacun des domaines suivants :
1° La gouvernance de la sécurité des réseaux et systèmes d'information ;
2° La protection des réseaux et systèmes d'information ;
3° La défense des réseaux et systèmes d'information ;
4° La résilience des activités.
Les règles prévues au même premier alinéa peuvent notamment prescrire que les opérateurs recourent à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.

I. - Les opérateurs mentionnés à l'article 5 déclarent, sans délai après en avoir pris connaissance, à l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d'avoir, compte tenu notamment du nombre d'utilisateurs et de la zone géographique touchés ainsi que de la durée de l'incident, un impact significatif sur la continuité de ces services.
II. - Après avoir consulté l'opérateur concerné, l'autorité administrative peut informer le public d'un incident mentionné au I du présent article, lorsque cette information est nécessaire pour prévenir ou traiter un incident. Lorsqu'un incident a un impact significatif sur la continuité de services essentiels fournis par l'opérateur dans d'autres Etats membres de l'Union européenne, l'autorité administrative en informe les autorités ou organismes compétents de ces Etats.

Le Premier ministre peut soumettre les opérateurs mentionnés à l'article 5 à des contrôles destinés à vérifier le respect des obligations prévues au présent chapitre ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels.
Les contrôles sont effectués, sur pièce et sur place, par l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense ou par des prestataires de service qualifiés par le Premier ministre. Le coût des contrôles est à la charge des opérateurs.
Les opérateurs sont tenus de communiquer à l'autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa du présent article les informations et éléments nécessaires pour réaliser le contrôle, y compris les documents relatifs à leur politique de sécurité et, le cas échéant, les résultats d'audit de sécurité, et leur permettre d'accéder aux réseaux et systèmes d'information faisant l'objet du contrôle afin d'effectuer des analyses et des relevés d'informations techniques.
En cas de manquement constaté à l'occasion d'un contrôle, l'autorité mentionnée au deuxième alinéa peut mettre en demeure les dirigeants de l'opérateur concerné de se conformer, dans un délai qu'elle fixe, aux obligations qui incombent à l'opérateur en vertu du présent chapitre. Le délai est déterminé en tenant compte des conditions de fonctionnement de l'opérateur et des mesures à mettre en œuvre.

Est puni de 100 000 € d'amende le fait, pour les dirigeants des opérateurs mentionnés à l'article 5, de ne pas se conformer aux règles de sécurité mentionnées à l'article 6 à l'issue du délai fixé par la mise en demeure qui leur a été adressée en application de l'article 8.
Est puni de 75 000 € d'amende le fait, pour les mêmes personnes, de ne pas satisfaire à l'obligation de déclaration d'incident prévue au I de l'article 7.
Est puni de 125 000 € d'amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l'article 8.