Arrêté Ministériel n° 2017-625 du 16 août 2017 portant application de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée.
Nous, Ministre d'État de la Principauté,
Vu la Constitution ;
Vu la loi n° 1.383 du 2 août 2011 sur l'économie numérique, notamment ses articles 35 à 44 ;
Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;
Vu l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et les administrés, modifiée ;
Vu l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu l'arrêté ministériel n° 2016-723 du 12 décembre 2016 portant application de l'article 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et fixant les niveaux de classification des informations, modifié ;
Vu l'arrêté ministériel 2017-56 du 1er février 2017 portant application de l'Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l'Administration et l'administré, modifiée ;
Vu la délibération du Conseil de Gouvernement en date du 26 juillet 2017 ;
Arrêtons :
Article Premier.
La qualification des prestataires d'audit de la sécurité des systèmes d'information, prévue au c) de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée, doit respecter le référentiel d'exigences énoncé à l'annexe au présent arrêté.
Art. 2.
Le Directeur de l'Agence Monégasque de Sécurité Numérique peut, l'intéressé entendu en ses explications ou dûment appelé à les fournir, suspendre pour une durée déterminée voire retirer la qualification de prestataire d'audit de la sécurité des systèmes d'information dans le cas où le référentiel d'exigences énoncé à l'annexe au présent arrêté n'est plus respecté.
Art. 3.
Le prestataire d'audit de la sécurité des systèmes d'information doit notifier à l'Agence Monégasque de Sécurité Numérique, sous 48 heures, le départ de la société d'un ou plusieurs de ses auditeurs.
Le départ d'un auditeur peut entraîner la suspension ou la perte de qualification sur une activité d'audit ou sur la totalité des prestations d'audit, conformément à l'article 2 du présent arrêté.
Art. 4.
Le Directeur de l'Agence Monégasque de Sécurité Numérique délivre une attestation individuelle de compétence à chaque auditeur qualifié et tient à jour le registre des auditeurs qualifiés.
Art. 5.
Les prestataires d'audit de la sécurité des systèmes d'information sont tenus de mettre en place, pour les travaux d'audit qualifié, un système d'information respectant les exigences définies dans l'appendice 5 de l'annexe au présent arrêté.
Art. 6.
Le Ministre d'État et le Conseiller de Gouvernement-Ministre de l'Intérieur sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.
Fait à Monaco, en l'Hôtel du Gouvernement, le seize août deux mille dix-sept.
Le Ministre d'État,
S. TELLE.
Le référentiel d'exigences concernant la qualification des prestataires d'audit de la sécurité des systèmes d'information (PASSI) pris au titre du paragraphe C) de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de sécurité numérique, modifiée, est en annexe du présent Journal de Monaco.