.
19 décembre 2013
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 1 sur 163
« Art. L. 2321-1. − Dans le cadre de la stratégie de sécurité nationale et de la politique de défense, le
Premier ministre définit la politique et coordonne l’action gouvernementale en matière de sécurité et de défense
des systèmes d’information. Il dispose à cette fin de l’autorité nationale de sécurité des systèmes d’information
qui assure la fonction d’autorité nationale de défense des systèmes d’information.
« Art. L. 2321-2. − Pour répondre à une attaque informatique qui vise les systèmes d’information affectant
le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l’Etat
peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la
caractérisation de l’attaque et à la neutralisation de ses effets en accédant aux systèmes d’information qui sont
à l’origine de l’attaque.
« Pour être en mesure de répondre aux attaques mentionnées au premier alinéa, les services de l’Etat
déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes
informatiques et toutes données susceptibles de permettre la réalisation d’une ou plusieurs des infractions
prévues aux articles 323-1 à 323-3 du code pénal, en vue d’analyser leur conception et d’observer leur
fonctionnement. »
Article 22
Le chapitre II du titre III du livre III de la première partie du même code est ainsi modifié :
1o Est insérée une section 1 intitulée : « Dispositions générales » et comprenant les articles L. 1332-1
à L. 1332-6 ;
2o Après l’article L. 1332-6, est insérée une section 2 ainsi rédigée :
« Section 2
« Dispositions spécifiques
à la sécurité des systèmes d’information
« Art. L. 1332-6-1. − Le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes
d’information des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs publics ou privés
qui participent à ces systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer
d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation.
Ces opérateurs sont tenus d’appliquer ces règles à leurs frais.
« Les règles mentionnées au premier alinéa peuvent notamment prescrire que les opérateurs mettent en œuvre
des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes
d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service
qualifiés en matière de sécurité de systèmes d’information, par l’autorité nationale de sécurité des systèmes
d’information ou par d’autres services de l’Etat désignés par le Premier ministre.
« Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont
délivrées par le Premier ministre.
« Art. L. 1332-6-2. − Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 informent sans délai le
Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d’information
mentionnés au premier alinéa de l’article L. 1332-6-1.
« Art. L. 1332-6-3. − A la demande du Premier ministre, les opérateurs mentionnés aux articles L. 1332-1
et L. 1332-2 soumettent leurs systèmes d’information à des contrôles destinés à vérifier le niveau de sécurité et
le respect des règles de sécurité prévues à l’article L. 1332-6-1. Les contrôles sont effectués par l’autorité
nationale de sécurité des systèmes d’information ou par des services de l’Etat désignés par le Premier ministre
ou par des prestataires de service qualifiés par ce dernier. Le coût des contrôles est à la charge de l’opérateur.
« Art. L. 1332-6-4. − Pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes
d’information, le Premier ministre peut décider des mesures que les opérateurs mentionnés aux
articles L. 1332-1 et L. 1332-2 doivent mettre en œuvre.
« Art. L. 1332-6-5. − L’Etat préserve la confidentialité des informations qu’il recueille auprès des opérateurs
mentionnés aux articles L. 1332-1 et L. 1332-2 dans le cadre de l’application de la présente section.
« Art. L. 1332-6-6. − Un décret en Conseil d’Etat précise les conditions et limites dans lesquelles
s’appliquent les dispositions de la présente section. » ;
3o Est ajoutée une section 3 intitulée : « Dispositions pénales » et comprenant l’article L. 1332-7 ;
4o Le même article L. 1332-7 est complété par deux alinéas ainsi rédigés :
« Est puni d’une amende de 150 000 € le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations
prévues aux articles L. 1332-6-1 à L. 1332-6-4. Hormis le cas d’un manquement à l’article L. 1332-6-2, cette
sanction est précédée d’une mise en demeure.
« Les personnes morales déclarées responsables, dans les conditions prévues à l’article 121-2 du code pénal,
des infractions prévues à la présente section encourent une amende suivant les modalités prévues à
l’article 131-38 du même code. »
.