Les infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat mentionné à l'article 1er du décret du 25 octobre 2019 susvisé peuvent être dispensés d'une homologation de sécurité ou de son renouvellement dès lors qu'ils répondent aux conditions suivantes :
1° Les mises à jour mineures, évolutions mineures, les ajouts de services ou changements de ressources matérielles des infrastructures et services logiciels informatiques déjà homologués, dès lors qu'ils n'ont pas pour effet d'augmenter du niveau de risque ;
2° Les modifications s'imposant du fait de contraintes sécuritaires ou d'urgence, dès lors qu'elles ne remettent pas en cause la validité de l'homologation déjà prononcée. Dans le cas contraire, une nouvelle homologation doit être prononcée par l'autorité qualifiée en sécurité des systèmes d'information dans un délai maximum de six mois après la mise en production de la modification ;
3° Les infrastructures et services logiciels informatiques dont la création s'impose du fait de contraintes sécuritaires ou d'urgence impliquant des délais incompatibles avec la démarche d'homologation applicable. Une homologation doit être prononcée par l'autorité qualifiée en sécurité des systèmes d'information dans un délai maximum de six mois après la mise en production de l'infrastructure ou du service logiciel informatique ;
4° Les infrastructures et services logiciels informatiques mis en œuvre à titre expérimental, ouverts à un nombre limité d'utilisateurs, dont les impacts d'une attaque informatique sont négligeables et surmontables sans difficulté par les destinataires du service, l'entité et les autres acteurs de l'écosystème de l'infrastructure ou du service logiciel informatique. Une homologation doit être prononcée par l'autorité qualifiée en sécurité des systèmes d'information dès lors que l'infrastructure ou le service logiciel informatique sort de sa phase expérimentale pour être mis en production ;
5° Les infrastructures et services logiciels informatiques cumulant les deux critères suivants :
- les impacts d'une attaque informatique sont négligeables pour les destinataires du service, l'entité et les autres acteurs de l'écosystème de l'infrastructure ou du service logiciel informatique ;
- le niveau de disponibilité requis pour le service permet un arrêt immédiat, sans décision formelle de l'autorité qualifiée en sécurité des systèmes d'information ;
6° Les infrastructures et services logiciels informatiques utilisés à la demande et disposant d'une qualification de sécurité, délivrée par l'Agence nationale de la sécurité des systèmes d'information ou d'un équivalent européen, couvrant les besoins métier et les enjeux de sécurité du système d'information de l'Etat qui en fait usage ;
7° Les services logiciels informatiques de croisement de données cumulant les critères suivants :
- les données utilisées pour réaliser le croisement ne sont pas identifiées comme sensibles ;
- les données résultantes du croisement ne sont pas identifiées comme sensibles ;
- le croisement de données est réalisé sans interconnexion directe ou indirecte avec des produits en production ;
- le croisement de données est réalisé aux seuls bénéfices d'un nombre limité d'agents placés sous la seule responsabilité de l'autorité qualifiée en sécurité des systèmes d'information ;
8° Les instanciations, au sein d'une même entité, d'infrastructures et de services logiciels informatiques déjà homologués, sous réserve que les besoins en sécurité soient équivalents et qu'elles mettent en œuvre des mesures de sécurité identiques à celles du système d'information instancié ;
9° Les infrastructures et services logiciels informatiques déjà homologués et dont un changement de l'autorité qualifiée en sécurité des systèmes d'information, ou de l'autorité d'homologation qu'elle a désignée, survient au cours de la période de validité de l'homologation.