L'opérateur intègre le management des SIISN au système de management prévu à l'article 19 en définissant notamment les procédures relatives :
- à l'homologation de sécurité des SIISN ;
- au maintien en conditions de sécurité des ressources des SIISN comprenant notamment la veille sur des incidents, des vulnérabilités ou des menaces diffusés par l'Agence nationale de la sécurité des systèmes d'information ;
- aux contrôles internes des SIISN en précisant et justifiant, au travers d'une planification, la périodicité des contrôles mis en œuvre. Ces contrôles permettent de garantir l'application des dispositions de protection relatives aux SIISN. Ils prennent en compte la vérification régulière des configurations et des paramétrages de ces systèmes ;
- aux audits des SIISN par rapport aux menaces auxquels ils sont exposés, selon une planification adaptée et justifiée. Ces audits comprennent des audits d'architecture, de configuration, de code source, organisationnels et physiques et des tests d'intrusion et de performances ;
- aux exercices qui visent à entrainer le personnel, notamment celui en charge de la sécurité des SIISN, à se confronter à un acte de malveillance informatique, ainsi qu'à s'assurer de l'efficacité des dispositions organisationnelles, humaines et techniques relatives à la sécurité des SIISN mises en œuvre en application du présent arrêté au regard d'un acte de malveillance. Ces exercices sont réalisés de façon régulière et au moins une fois par an et par installation ;
- à la gestion de crise informatique ainsi que la continuité et la reprise d'activité issues d'une telle crise.
En complément, il élabore, met à jour et met en œuvre une politique de sécurité des systèmes d'information qui prend en compte les SIISN. En particulier, cette politique :
- précise les objectifs et les orientations stratégiques en matière de sécurité des SIISN en prenant en compte que celle-ci peut également dépendre de la sécurité de systèmes d'information qui ne sont pas des SIISN ;
- décrit l'organisation de la gouvernance de la sécurité des systèmes d'information et notamment les rôles et les responsabilités du personnel interne, des entités nucléaires hébergées et des intervenants extérieurs à l'égard de la sécurité des SIISN. Cette organisation permet notamment de garantir l'indépendance des personnes en charge de l'audit des SIISN vis-à-vis des entités en charge de la conception, de la mise en œuvre, de l'exploitation ou de la gestion de ces systèmes d'information ;
- décrit l'ensemble des dispositions et moyens organisationnels, techniques et humains mis en œuvre par l'opérateur afin d'assurer la protection des SIISN notamment contre toute menace interne ou externe ;
- identifie les procédures nécessaires à l'application du présent chapitre.
Cette politique et, le cas échéant, ses documents d'application sont approuvés formellement par la direction de l'opérateur. L'opérateur s'assure de l'application de cette politique et de ses documents d'application, ainsi que des mesures qu'ils définissent.
Cette politique est revue régulièrement et au moins tous les cinq ans en prenant en compte les résultats des contrôles, des audits et des exercices ainsi que l'analyse des non-conformités, des faits suspects et des événements significatifs pour la sécurité nucléaire relatifs aux SIISN.