L'opérateur identifie les systèmes d'information importants pour la sécurité nucléaire (SIISN) sur la base d'une analyse d'impact des systèmes d'information mentionnés à l'annexe 11.
Cette identification prend en compte également les systèmes d'information dont il a confié l'exploitation, la supervision notamment sécuritaire, l'hébergement ou la maintenance à un tiers.
L'opérateur tient à jour la liste de ses SIISN dans laquelle il identifie ceux qui sont des cibles potentielles, en cohérence avec l'article 20.