I. - L'opérateur définit et met en œuvre, dès la phase de conception et durant toutes les phases ultérieures de l'existence des SIISN, un ensemble de dispositions techniques, organisationnelles et humaines cohérentes et proportionnées aux enjeux permettant de les protéger contre les actes malveillants auxquels ils peuvent être exposés.
II. - Les dispositions définies et mises en œuvre permettent notamment :
- d'éviter la présence et l'apparition de failles de sécurité ;
- d'empêcher les actes de malveillance ;
- de détecter et d'identifier les actes de malveillance survenant sur un système d'information ;
- de limiter les conséquences d'un acte de malveillance ;
- de disposer de moyens pour remettre le système en fonctionnement et en condition de sécurité à la suite d'un dysfonctionnement ou d'un acte de malveillance.
III. - Pour les SIISN qui sont également des SIIV, l'application de la réglementation applicable à ces SIIV vaut respect du présent article.
Pour les SIISN qui sont également des SI classifiés ou DR, l'application de l'instruction générale interministérielle n° 1300 vaut respect du présent article.
IV. - L'opérateur s'assure que les SIISN participant à la protection des zones de protection définies à l'article 71 sont dédiés à cet usage et ne sont pas connectés à d'autres systèmes d'information. Lorsque la mise en place d'une interconnexion entre un de ces SIISN et d'autres systèmes d'information est strictement nécessaire pour le bon fonctionnement et la sécurité de ce SIISN, l'opérateur en justifie les raisons et met en place des mesures de réduction de risque.
V. - L'opérateur tient à disposition du ministre compétent les informations relatives aux SIISN, notamment les documents techniques, les configurations, les architectures, ainsi que les justifications des choix des dispositions définies et mises en œuvre en application des I et II du présent article.