Les systèmes d'information contenant des informations classifiées font l'objet, préalablement à leur emploi, d'une homologation de sécurité à un niveau au moins égal au niveau de classification de ces informations.
Cette homologation atteste de l'aptitude du système à assurer, au niveau requis, la disponibilité, l'intégrité, la confidentialité et la traçabilité des informations qu'il contient.
La protection de ces systèmes d'information doit, selon les modalités précisées par arrêté du Premier ministre, au regard notamment des menaces pesant sur la disponibilité, l'intégrité, la confidentialité et la traçabilité des informations qu'ils contiennent, être assurée par des dispositifs, matériels ou logiciels, agréés par l'Agence nationale de la sécurité des systèmes d'information.
A titre exceptionnel, et sur le fondement d'une analyse de risques réalisée dans le cadre de l'homologation, l'autorité d'homologation peut autoriser le recours à des matériels et logiciels non agréés.
Un arrêté du Premier ministre précise les modalités d'application de ces dispositions.