icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails
Switch to French
MENU
French | English
  • Arrêtés Ministériels
  • Réglementation

Arrêté Ministériel n° 2025‑611 du 12 novembre 2025 portant application de l'article 6 de l'Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l'article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée, instituant une procédure de qualification des produits de sécurité et des prestataires de service pour les besoins de la sécurité des systèmes d'information.

  • No. Journal 8775
  • Date of publication 28/11/2025
  • Quality 100%
  • Page no.

Nous, Ministre d’État de la Principauté,

Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;

Vu la loi n° 1.565 du 3 décembre 2024 relative à la protection des données personnelles ;

Vu l’Ordonnance Souveraine n° 3.413 du 29 août 2011 portant diverses mesures relatives à la relation entre l’Administration et l’administré, modifiée ;

Vu l’Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l’article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, modifiée ;

Vu l’arrêté ministériel n° 2016‑622 du 17 octobre 2016 portant application de l’article 3 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;

Vu l’arrêté ministériel n° 2016‑723 du 12 décembre 2016 portant application de l’article 18 de la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale et fixant les niveaux de classification des informations, modifié ;

Vu la délibération du Conseil de Gouvernement en date du 22 octobre 2025 ;

Arrêtons :

Article Premier.

Il est institué une procédure de qualification des prestataires de service pour les besoins de la sécurité des systèmes d’information.

Au sens du présent arrêté, on entend par :

-    « Produit de sécurité », tout dispositif, matériel ou logiciel, mettant en œuvre des fonctions qui contribuent à la sécurité des systèmes d’information ;

-    « Prestataire de service », toute personne fournissant des services qui contribuent à la sécurité des systèmes d’information.

Chapitre 1

Qualification des produits de sécurité

Art. 2.

Les produits de sécurité qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information française, sont réputés être qualifiés en Principauté. Leur liste est disponible et consultable sur le site https://cyber.gouv.fr/decouvrir-les-solutions-qualifiees.

Chapitre 2

Qualification des prestataires de service

Art. 3.

Les seuls prestataires de services pour les besoins de la sécurité des systèmes d’information réputés qualifiés, reconnus en Principauté de Monaco, sont les prestataires qualifiés par l’Agence Monégasque de Sécurité Numérique qui est chargée d’instruire les demandes.

La demande de qualification est adressée par le prestataire de service à l’Agence Monégasque de Sécurité Numérique conformément aux dispositions de l’annexe au présent arrêté.

Art. 4.

Lorsque le dossier de demande de qualification est complet, l’Agence Monégasque de Sécurité Numérique s’assure, au vu des pièces fournies, que :

1° Les services fournis par le prestataire sont susceptibles de répondre aux besoins de sécurité des systèmes d’information ;

2° Le centre d’évaluation choisi pour évaluer les services sur lesquels porte la demande est agréé ;

3° Le programme de travail défini avec le centre d’évaluation est cohérent ;

4° Les documents nécessaires à l’évaluation sont disponibles ;

5° Les conditions d’accès aux locaux, au personnel et aux moyens techniques du prestataire sont satisfaisantes.

Lorsqu’elle estime que les conditions prévues aux alinéas 1° à 5° sont remplies, l’Agence Monégasque de Sécurité Numérique invite le prestataire à faire évaluer ses services en vue d’obtenir une qualification. Dans le cas contraire, elle lui indique les motifs pour lesquels il ne peut être admis à se faire évaluer.

Art. 5.

Les services fournis par le prestataire sont évalués au regard de règles fixées par des référentiels propres à chaque type de services. Ces référentiels sont élaborés par l’Agence Monégasque de Sécurité Numérique et publiés par arrêté ministériel. Pour les besoins spécifiques de Sécurité Nationale, les référentiels peuvent imposer au prestataire de respecter les prescriptions prévues par l’arrêté ministériel n° 2016‑723 du 12 décembre 2016, modifié, susvisé.

L’évaluation est réalisée sur pièce et sur place par un centre d’évaluation agréé dans les conditions prévues au chapitre 3 du présent arrêté. Elle vise à s’assurer que le prestataire respecte les règles prévues par les référentiels mentionnés au premier alinéa, en particulier qu’il dispose du personnel compétent ainsi que des moyens techniques et des locaux adéquats pour fournir ses services.

Lorsque l’évaluation nécessite des compétences particulières dont ne disposent pas les centres d’évaluation, l’Agence Monégasque de Sécurité Numérique apporte son concours auxdits centres.

En l’absence de centre d’évaluation agréé, l’Agence Monégasque de Sécurité Numérique peut évaluer les services du prestataire.

Art. 6.

Le prestataire choisit un centre d’évaluation agréé sur la liste prévue à l’article 11.

Il détermine avec le centre d’évaluation :

1° Les services à évaluer ;

2° Les conditions d’accès à ses locaux, à son personnel et à ses moyens techniques ;

3° Les conditions de protection des informations traitées dans le cadre de l’évaluation ;

4° Le programme de travail du centre.

Il met à la disposition de l’Agence Monégasque de Sécurité Numérique et du centre d’évaluation tous les documents nécessaires à l’évaluation. Il leur permet d’accéder à ses locaux et à ses moyens techniques et de rencontrer son personnel.

Dans le cadre de l’évaluation, l’Agence Monégasque de Sécurité Numérique et le centre d’évaluation peuvent chacun demander à assister au déroulement d’une prestation de service effectuée par le prestataire.

Art. 7.

L’Agence Monégasque de Sécurité Numérique veille à la bonne exécution des travaux d’évaluation. Le centre d’évaluation l’informe sans délai de toute difficulté. L’Agence peut à tout moment demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander au centre de compléter son évaluation.

Art. 8.

Au terme de l’évaluation, le centre d’évaluation remet un rapport au prestataire et à l’Agence Monégasque de Sécurité Numérique. Lorsqu’elle a réalisé l’évaluation, l’Agence remet un rapport d’évaluation au prestataire.

Le rapport d’évaluation est un document confidentiel susceptible de contenir des informations dont la révélation est réprimée par les dispositions de l’article 308 du Code pénal. Il peut être, le cas échéant, couvert par le Secret de Sécurité Nationale.

Art. 9.

Au vu du rapport d’évaluation et, le cas échéant, des conclusions d’une enquête administrative sur le prestataire menée en application de l’arrêté ministériel n° 2016‑622 du 17 octobre 2016, modifié, susvisé, le directeur de l’Agence Monégasque de Sécurité Numérique décide de qualifier ou non le prestataire.

Lorsqu’il décide de qualifier le prestataire, le directeur de l’Agence Monégasque de Sécurité Numérique lui notifie une décision attestant sa capacité à respecter les règles mentionnées au premier alinéa de l’article 5 et précisant, s’il y a lieu, le niveau de qualification obtenu. La décision précise les services qualifiés et est assortie, le cas échéant, de conditions et de réserves.

La qualification est valable pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions.

Art. 10.

L’Agence Monégasque de Sécurité Numérique peut s’assurer à tout moment que le prestataire respecte les règles au vu desquelles il a été qualifié. Le prestataire l’informe sans délai de toute modification des circonstances dans lesquelles il a été qualifié.

En cas de manquement aux conditions et réserves fixées par la décision de qualification ou en cas de changement des circonstances de droit ou de fait dans lesquelles le prestataire a été qualifié, le directeur de l’Agence Monégasque de Sécurité Numérique peut, après que le prestataire a pu faire valoir ses observations, suspendre ou abroger la qualification.

Chapitre 3

Agrément des centres d’évaluation

Art. 11.

Les agréments délivrés par l’Agence Nationale de la Sécurité des Systèmes d’Information française aux centres d’évaluation sont réputés valables en Principauté.

La liste des centres d’évaluations agréés par l’Agence Nationale de la Sécurité des Systèmes d’Information française est disponible et consultable sur https://cyber.gouv.fr/voir-les-centres-devaluation.

Art. 12.

Le Secrétaire Général du Gouvernement et le Directeur de l’Agence Monégasque de Sécurité Numérique sont chargés, chacun en ce qui le concerne, de l’exécution du présent arrêté.

Fait à Monaco, en l’Hôtel du Gouvernement, le douze novembre deux mille vingt-cinq.

Le Ministre d’État,

C. Mirmand.

Le processus de qualification des prestataires de services pour les besoins de la sécurité des Systèmes d’Information est en annexe du présent Journal de Monaco.

View journal appendices

View journal
in PDF format 1.82 MB
Download journal
in PDF format 1.82 MB
Print article
Previous article Return to summary Next article

All rights reserved - Monaco 2016
Version 2018.11.07.14