Articles

Article AUTONOME (Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique)

Article AUTONOME (Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique)


ANNEXE II
DÉLAIS D'APPLICATION DES RÈGLES DE SÉCURITÉ


REGLES DE SECURITE

DELAIS D'APPLICATION
(à compter de la date de désignation de l'opérateur
en tant qu'opérateur de services essentiels)

Règle 1. Analyse de risque

Délai prévu pour l'homologation de sécurité (délai de la règle 3)

Règle 2. Politique de sécurité

1 an

Règle 3. Homologation de sécurité

3 ans pour un système d'information essentiel (SIE) mis en service antérieurement à la date de désignation de l'opérateur de services essentiels.
2 ans pour un SIE mis en service dans un délai de 2 ans à compter de la date de désignation de l'opérateur de services essentiels.
Avant sa mise en service pour un SIE mis en service dans un délai supérieur à 2 ans à compter de la date de désignation de l'opérateur de services essentiels.

Règle 4. Indicateurs

2 ans

Règle 5. Audits de la sécurité

Délai prévu pour l'homologation de sécurité (délai de la règle 3)

Règle 6. Cartographie

1 an

Règle 7. Configuration

1 an

Règle 8. Cloisonnement

2 ans

Règle 9. Accès distant

2 ans

Règle 10. Filtrage

2 ans

Règle 11. Comptes d'administration

2 ans

Règle 12. Systèmes d'information d'administration

2 ans

Règle 13. Identification

1 an

Règle 14. Authentification

1 an

Règle 15. Droits d'accès

1 an

Règle 16. Procédure de maintien en conditions de sécurité

1 an

Règle 17. Sécurité physique et environnementale

1 an

Règle 18. Détection

2 ans

Règle 19. Journalisation

1 an

Règle 20. Corrélation et analyse de journaux

2 ans

Règle 21. Réponse aux incidents

1 an

Règle 22. Traitement des alertes

3 mois

Règle 23. Gestion de crises

1 an