L'opérateur de transport autorisé définit les procédures nécessaires à l'application des articles 26 à 28 du présent arrêté, y compris :
- les procédures d'homologation de sécurité des systèmes d'information identifiés en application de l'article 25 du présent arrêté ;
- les procédures de maintien en conditions de sécurité des ressources des systèmes d'information précités. Ces procédures prennent notamment en compte la veille sur des incidents, des vulnérabilités ou des menaces diffusées par l'Agence nationale de la sécurité des systèmes d'information ;
- les procédures de contrôles internes des systèmes d'information précités précisant et justifiant, au travers d'une planification, la périodicité des contrôles mis en œuvre. Ces contrôles permettent de garantir l'application des dispositions de protection relatives à ces systèmes d'information. Ils prennent en compte la vérification régulière des configurations et des paramétrages de ces systèmes ;
- les procédures d'audit des systèmes d'information précités par rapport aux menaces auxquelles ils sont exposés, selon une planification adaptée et justifiée ;
- les procédures d'exercices qui visent à entrainer le personnel, notamment celui en charge de la sécurité de ces systèmes d'information, à se confronter à un acte de malveillance informatique, ainsi qu'à s'assurer de l'efficacité des dispositions organisationnelles, humaines et techniques relatives à la sécurité des systèmes d'information précités mises en œuvre en application du présent arrêté au regard d'un acte de malveillance. Ces procédures prévoient la tenue de ces exercices de façon régulière et au moins une fois par an ;
- les procédures de test de performance qui visent à évaluer les dispositions de protection mises en œuvre. Ces procédures prévoient la tenue de tests de performance de façon régulière et au moins une fois par an ;
- les procédures de gestion de crise ainsi que celles de continuité et de reprise d'activité.