I. - L'opérateur définit et met en œuvre, dès la phase de conception et durant toutes les phases ultérieures de l'existence des SIISN, un ensemble de dispositions techniques, organisationnelles et humaines cohérentes et proportionnées aux enjeux permettant de les protéger contre les actes malveillants auxquels ils peuvent être exposés.
II. - Les dispositions définies et mises en œuvre permettent notamment :
- d'éviter la présence et l'apparition de failles de sécurité ;
- d'empêcher les actes de malveillance ;
- de détecter et d'identifier les actes de malveillance survenant sur un système d'information ;
- de limiter les conséquences d'un acte de malveillance ;
- de disposer de moyens pour remettre le système en fonctionnement et en condition de sécurité à la suite d'un dysfonctionnement ou d'un acte de malveillance.
III. - Le cas échéant, pour les SIISN qui sont également des SIIV, l'application de la réglementation applicable à ces SIIV vaut respect du présent article.
Le cas échéant, pour les SIISN qui sont également des SI classifiés ou DR, l'application de l'instruction générale interministérielle n° 1300 vaut respect du présent article.
IV. - L'opérateur tient à disposition du ministre compétent les informations relatives aux SIISN, notamment les documents techniques, les configurations, les architectures, ainsi que les justifications des choix des dispositions définies et mises en œuvre en application des I et II du présent article.