Un arrêté du Premier ministre fixe, sur proposition de l'Agence nationale de la sécurité des systèmes d'information, les règles de sécurité prévues à l'article 6 de la loi du 26 février 2018 précitée et les délais dans lesquels elles s'appliquent.
Ces règles portent notamment :
1° Dans le domaine de la gouvernance de la sécurité des réseaux et systèmes d'information, sur l'élaboration et la mise en œuvre d'une politique de sécurité des réseaux et systèmes d'information et l'homologation de sécurité des réseaux et systèmes d'information ;
2° Dans le domaine de la protection des réseaux et systèmes d'information, sur la sécurité de l'architecture et de l'administration des réseaux et systèmes d'information et le contrôle des accès à ces réseaux et systèmes ;
3° Dans le domaine de la défense des réseaux et systèmes d'information, sur la détection et le traitement des incidents de sécurité affectant les réseaux et systèmes d'information ;
4° Dans le domaine de la résilience des activités, sur la gestion de crises en cas d'incidents de sécurité ayant un impact majeur sur des services essentiels.