Arrêté Ministériel n° 2019-841 du 8 octobre 2019 portant application de l'article 28 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique.
Nous, Ministre d'État de la Principauté,
Vu la Constitution ;
Vu la loi n° 975 du 12 juillet 1975 portant statut des fonctionnaires de l'État, modifiée ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;
Vu la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;
Vu l'Ordonnance Souveraine n° 6.365 du 17 août 1978 fixant les conditions d'application de la loi n° 975 du 12 juillet 1975, modifiée, susvisée ;
Vu l'Ordonnance Souveraine n° 16.605 du 10 janvier 2005 portant organisation des Départements ministériels, modifiée ;
Vu l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu l'arrêté ministériel n° 2016-723 du 12 décembre 2016 portant application de l'article 18 de la loi n° 1.430 du 13 juillet 2016, susvisée, modifié ;
Vu l'arrêté ministériel n° 2017-625 du 16 août 2017 portant application de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015, modifiée, susvisée ;
Vu l'arrêté ministériel n° 2018-1053 du 8 novembre 2018 portant application de l'article 27 de la loi n° 1.435 du 8 novembre 2016, susvisée ;
Vu l'arrêté ministériel n° 2019-791 du 17 septembre 2019 portant application de l'article 2, a) de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015, modifiée, susvisée ;
Vu la délibération du Conseil de Gouvernement en date du 25 septembre 2019 ;
Arrêtons :
Article Premier.
Dans le respect des dispositions de l'article 28 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique, l'Agence Monégasque de Sécurité Numérique effectue des contrôles destinés à vérifier le niveau et le respect des règles de sécurité des systèmes d'information des opérateurs d'importance vitale. Lesdits contrôles peuvent être effectués soit suite à un doute sur la bonne application des règles de sécurité fixées par l'arrêté ministériel n° 2018-1053 du 8 novembre 2018 portant application de l'article 27 de la loi n° 1.435 du 8 novembre 2016, susvisé, soit à la suite d'une attaque visant les systèmes d'information desdits opérateurs, ou, ponctuellement à des fins de contrôle de l'état des systèmes d'information de l'opérateur d'importance vitale. Dans ce dernier cas, les contrôles ne peuvent avoir une fréquence inférieure à 4 ans.
Art. 2.
Les contrôles peuvent être effectués par le personnel de l'Agence Monégasque de Sécurité Numérique désigné par le Directeur de ladite agence ou, par le personnel, titulaire d'une attestation de compétence en cours de validité délivrée par l'Agence Monégasque de Sécurité Numérique, d'un Prestataire d'Audit de la Sécurité des Systèmes d'Information qualifié conformément à l'arrêté ministériel n° 2017-625 du 16 août 2017 portant application de l'article 3 de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015, modifiée, susvisée.
Art. 3.
Dans le cas où le contrôle est effectué par un Prestataire d'Audit de la Sécurité des Systèmes d'Information qualifié, l'opérateur d'importance vitale choisit le prestataire parmi la liste des prestataires qualifiés, disponible et téléchargeable sur le site https://amsn.gouv.mc/PASSI-qualifies/.
L'opérateur d'importance vitale soumet ce choix à l'Agence Monégasque de Sécurité Numérique qui peut le refuser soit en raison des qualifications du prestataire qui ne couvriraient pas l'ensemble des activités de contrôle à réaliser, soit en raison de délais d'exécution non compatibles avec l'urgence du contrôle.
Art. 4.
Le coût desdits contrôles est à la charge de l'opérateur d'importance vitale concerné.
Lorsque le contrôle est effectué par l'Agence Monégasque de Sécurité Numérique, le coût journalier est fixé à mille deux cents euros (1200 €) hors taxe par personne intervenant.
Art. 5.
Les informations collectées lors des contrôles et les rapports de contrôle sont considérés comme des informations sensibles, devant recevoir, de la part de leur émetteur, la mention de protection DIFFUSION RESTREINTE, destinée à restreindre leur diffusion et à garantir leur protection.
Les systèmes d'information utilisés pour traiter les informations collectées lors des contrôles doivent être conformes aux exigences de l'arrêté ministériel n° 2019-791 du 17 septembre 2019, portant application de l'article 2, a) de l'Ordonnance Souveraine n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée.
Art. 6.
Le Ministre d'État est chargé de l'exécution du présent arrêté.
Fait à Monaco, en l'Hôtel du Gouvernement, le huit octobre deux mille dix-neuf.
Le Ministre d'État,
S. TELLE.