L'autorité qualifiée est responsable de la sécurité des systèmes d'information au sein de sa direction, du service, de l'établissement ou de l'autorité. Sa responsabilité ne peut être déléguée.
Elle s'assure, à ce titre, de l'application des instructions ministérielles données en cette matière, sous l'autorité du haut fonctionnaire de défense et de sécurité.
Dans ce cadre, en liaison avec le haut fonctionnaire de défense et de sécurité (HFDS) et le fonctionnaire de sécurité des systèmes d'information (FSSI) qui lui est rattaché, l'autorité qualifiée est chargée :
- de définir, à partir des objectifs de sécurité qu'il fixe, ou, pour les systèmes traitant d'informations classifiées, des objectifs de sécurité fixés par la présente instruction, une politique de sécurité des systèmes d'information adaptée à son service, sa direction, son établissement ou son organisme ;
- de désigner les autorités d'homologation des systèmes relevant de sa responsabilité ;
- de s'assurer que les dispositions réglementaires et, le cas échéant, contractuelles sur la sécurité des systèmes d'information sont appliquées, notamment celles relatives à la sécurité des systèmes traitant d'informations classifiées ;
- de faire appliquer les consignes et les directives internes ;
- de disposer d'une analyse, régulièrement mise à jour, des risques encourus par les SI de sa structure ;
- de s'assurer que des contrôles internes de sécurité sont régulièrement effectués ;
- d'organiser la sensibilisation et la formation du personnel aux questions de sécurité, en particulier en matière de systèmes d'information ;
- de s'assurer de la mise en œuvre des procédures réglementaires prescrites pour l'homologation des systèmes, pour l'agrément des dispositifs de sécurité et pour la gestion des articles contrôlés de la sécurité des systèmes d'information (ACSSI) ;
- de désigner les autorités d'homologation des systèmes et des services numériques relevant de sa responsabilité.