OIV : une nouvelle volée d’arrêtés dans les transports et l’énergie

La mise en place des dispositions réglementaires relatives à la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV) se poursuit, comme prévu. Six nouveaux arrêtés sectoriels (énergie et transports) ont été publiés le 25 août au Journal Officiel. Ils fixent « les règles de sécurité, à la fois organisationnelles et techniques, s’appliquant aux systèmes d’information d’importance vitale (SIIV) et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité ».

Les activités d’approvisionnement en énergie électrique, en gaz naturel et en hydrocarbures pétroliers sont couvertes par cette nouvelle vague d’arrêtés. Les transports terrestres, maritime et fluvial, et aérien sont également concernés. Ces arrêtés entreront en vigueur le 1er octobre 2016. Ils font suite aux premiers arrêtés sectoriels (eau, alimentation, santé) entrés en vigueur le 1er juillet.

3e vague d’arrêtés en janvier

Les OIV, privés et publics, « exploitent ou utilisent des installations jugées indispensables au bon fonctionnement et à la sécurité de la Nation ». 249 organisations ont été identifiées, à ce jour. L’article 22 de la loi de programmation militaire (LPM) du 18 décembre 2013 leur impose un renforcement de la sécurité de leurs systèmes critiques (les SIIV), dont la notification d’incidents à l’Anssi (Agence nationale de sécurité des systèmes d’information).

La France est un des rares pays à passer par la loi, plutôt que par un référentiel de bonnes pratiques, pour définir un dispositif de cybersécurité de ses infrastructures d’importance vitale. D’autres arrêtés sectoriels devraient sortir en janvier 2017. Une fois ces textes publiés, les OIV ont jusqu’à 18 mois ou 2 ans pour les mettre en œuvre.

Lire aussi :

La sécurité des OIV mise au pas par l’Etat… petit à petit

Eau, santé et alimentation, les premiers arrêtés sur les OIV publiés

crédit photo © chungking / Shutterstock