I.-Le décret du 25 octobre 2019 susvisé est ainsi modifié :
1° Le deuxième alinéa de l'article 1er est complété par les mots : «, qui détermine à ce titre les orientations générales et les règles de sécurité numérique applicables à ce système » ;
2° Au premier alinéa de l'article 2, après les mots : « La responsabilité du Premier ministre » sont insérés les mots : «, y compris en matière de sécurité numérique du système d'information et de communication de l'Etat, » ;
3° Après l'article 4, il est inséré un titre Ier bisainsi rédigé :
« Titre Ier BIS
« DISPOSITIONS RELATIVES À LA SÉCURITÉ NUMÉRIQUE DU SYSTÈME D'INFORMATION ET DE COMMUNICATION DE L'ÉTAT ET DE SES ÉTABLISSEMENTS PUBLICS
« Art. 4-1.-Chaque ministre désigne un fonctionnaire de sécurité des systèmes d'information chargé de l'assister dans l'exercice de sa responsabilité en matière de sécurité numérique mentionnée à l'article 2. Ce fonctionnaire est placé sous l'autorité du haut fonctionnaire mentionné à l'article R. 1143-1 du code de la défense.
« Le fonctionnaire de sécurité des systèmes d'information s'assure de l'application cohérente par son département ministériel et par les organismes placés sous la tutelle de celui-ci des orientations générales et des règles de sécurité numérique relatives aux systèmes d'information et de communication.
« Il déclare à l'Agence nationale de la sécurité des systèmes d'information les incidents affectant les systèmes d'information et de communication de son département ministériel et des organismes placés sous la tutelle de celui-ci.
« Les responsabilités de ce fonctionnaire sont précisées par arrêté du Premier ministre.
« Art. 4-2.-Chaque ministre désigne également, pour son département ministériel, une ou plusieurs autorités qualifiées en sécurité des systèmes d'information compétentes pour les systèmes d'information et de communication autres que ceux qui sont classifiés.
« L'autorité qualifiée en sécurité des systèmes d'information est responsable de la sécurité numérique des systèmes d'information et de communication relevant de ses attributions. A ce titre, elle définit la politique de sécurité numérique qui leur est applicable et contrôle son application au travers notamment de l'homologation de ces systèmes d'information prévue à l'article 4-3. Elle peut déléguer cette fonction d'homologation à des autorités d'homologation qu'elle désigne.
« Les responsabilités des autorités qualifiées en sécurité des systèmes d'information ainsi que celles des personnes désignées pour les assister sont précisées par arrêté du Premier ministre.
« Art. 4-3.-Sans préjudice des mesures prises en application des articles R. 1332-41-1 et R. 1332-41-2 du code de la défense pour les systèmes d'information d'importance vitale et de l'article 9 de l'ordonnance du 8 décembre 2005 susvisée pour les systèmes d'information des autorités administratives faisant l'objet d'échanges par voie électronique ainsi que de l'homologation prévue par l'article R. 2311-6-1 du même code pour les systèmes d'information contenant des informations classifiées, les infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat mentionné à l'article 1er du présent décret font l'objet, préalablement à leur mise en œuvre, d'une homologation de sécurité.
« L'homologation de sécurité est une décision formelle prise par l'autorité qualifiée en sécurité des systèmes d'information ou par toute personne à qui elle délègue cette fonction. Elle atteste que les risques pesant sur la sécurité ont été identifiés et que les mesures nécessaires pour maîtriser ces risques sont mises en œuvre. Elle atteste également que les éventuels risques résiduels ont été identifiés et acceptés par l'autorité qualifiée en sécurité des systèmes d'information.
« Art. 4-4.-Le dirigeant exécutif d'un établissement public de l'Etat est responsable de la sécurité numérique des systèmes d'information et de communication de cet établissement.
« A ce titre :
« 1° Il s'assure de la définition et de la mise en œuvre d'une organisation permettant d'assurer la sécurité numérique des systèmes d'information et de communication de l'établissement ;
« 2° Il désigne au sein de l'établissement un interlocuteur compétent pour l'ensemble des sujets relatifs à la sécurité numérique. Les coordonnées de cet interlocuteur sont tenues à jour et communiquées au fonctionnaire de sécurité des systèmes d'information du ministère assurant la tutelle de l'établissement ainsi qu'à l'Agence nationale de la sécurité des systèmes d'information ;
« 3° Il réalise et communique annuellement au fonctionnaire de sécurité des systèmes d'information du ministère assurant la tutelle de l'établissement une évaluation du niveau de sécurité numérique de celui-ci ;
« 4° Il déclare au fonctionnaire de sécurité des systèmes d'information du ministère de tutelle ainsi qu'à l'Agence nationale de la sécurité des systèmes d'information les incidents de sécurité affectant le système d'information et de communication de l'établissement.
« Lorsque la tutelle de l'établissement public relève de plusieurs ministres, les communications et déclarations prévues aux 2°, 3° et 4° sont faites auprès du fonctionnaire de sécurité des systèmes d'information de chacun des ministères correspondants.
« Art. 4-5.-L'article 4-4 ne peut être modifié que par décret en Conseil d'Etat. »
II.-A l'exception de ses articles 4-4 et 4-5, les dispositions du décret du 25 octobre 2019 susvisé modifiées ou insérées par le I du présent article peuvent être modifiées par décret.