Operatør av vital betydning

En operatør av vital betydning ( OIV ) er i Frankrike en organisasjon som staten har identifisert som aktiviteter som er avgjørende for nasjonens overlevelse eller farlige for befolkningen . Det er omtrent 250 i 12 bransjer. Av nasjonale sikkerhetsmessige årsaker er listen over OIV-er ikke offentlig, og utpekte selskaper blir bedt om å ikke kommunisere om deres involvering i systemet.

Enheten ble beskrevet ved dekret i 2006 før den ble kodifisert i forsvarskoden i 2007.

Definisjon

En sektor av aktiviteter av vital betydning (SAIV), som definert i artikkel R. 1332-2 i forsvarskoden , består av aktiviteter:

• bidra til samme mål, produksjon og distribusjon av viktige varer eller tjenester:
  • til tilfredsstillelse av de essensielle behovene for befolkningenes liv,
  • utøvelse av statlig myndighet,
  • til økonomiens funksjon ,
  • opprettholde forsvarspotensialet ,
  • eller til nasjonens sikkerhet;
• eller å utgjøre en alvorlig fare for befolkningen.

En operatør av vital betydning, som definert i artikkel R. 1332-1 i forsvarskoden , er en organisasjon som:

• "Utfører aktiviteter som inngår i en sektor av aktiviteter av vital betydning";
• "Administrerer eller bruker for denne aktiviteten en eller flere etablissementer eller strukturer, en eller flere installasjoner hvis skade eller utilgjengelighet eller ødeleggelse som et resultat av en handling med ondsinnet hensikt, sabotasje eller terrorisme vil risikere, direkte eller indirekte:
  • alvorlig svekke krigen eller det økonomiske potensialet, sikkerheten eller overlevelseskapasiteten til Nasjonen;
  • eller alvorlig fare for helsen eller livet til befolkningen ”.

Betegnelse

Tolv aktivitetssektorer av vital betydning (SAIV) ble definert i et dekret av 2. juni 2006, endret ved dekret av 3. juli 2008 :

Dominerende	Aktivitetssektor av vital betydning	Koordinerende departement
Regalienne	Sivile aktiviteter i staten	Innenriksdepartementet
	Statlige militære aktiviteter	Forsvarsdepartementet
	Rettslig virksomhet	Justisdepartementet
Menneskelig	Helse	Helsedepartementet
	Vannforvaltning	Departementet med ansvar for økologi
	Mat	Landbruksdepartementet
Økonomisk	Energi	Energidepartementet
	Finansiere	Økonomi- og finansdepartementet
	Transport	Samferdselsdepartementet
Teknologisk	Elektronisk, audiovisuell kommunikasjon og informasjon	Departementet med ansvar for elektronisk kommunikasjon
	Industri	Næringsdepartementet
	Rom og forskning	Forskningsdepartementet

Operatører av vital betydning er utpekt for hver sektor av aktivitet av vital betydning etter ordre fra den koordinerende ministeren . Dette dekretet blir tatt i samråd med den eller de berørte statsrådene, etter samråd med den interministerielle kommisjonen for forsvar og sikkerhet i sektorer av vital betydning. Denne kommisjonen ledes av generalsekretæren for forsvar og nasjonal sikkerhet (artikkel R. 1332-10 i forsvarskoden).

Hver koordinerende minister for en aktivitetssektor av vital betydning varsler operatører om viktig betydning av det tilsvarende nasjonale sikkerhetsdirektivet (DNS). DNS identifiserer risikoer og trusler og definerer de viktigste sikkerhetsmålene for hver sektor eller undersektor.

Forpliktelser

Operatører av avgjørende betydning er forpliktet til å:

• “Lær sine sikkerhetssjefer og direktører på både sentralt og lokalt nivå”  ;
• "Etter en risikoanalyse, etablere en operatør sikkerhetsplan som tar hensyn forventningene til den nasjonale sikkerhetsdirektivet under hvilke de er utpekt operatører av vital betydning"  ;
• "Identifiser poengene deres av avgjørende betydning som vil bli gjenstand for en spesiell beskyttelsesplan (OPP) på deres bekostning og en ekstern beskyttelsesplan (PPE) på bekostning av prefekt for avdelingen" .

Militær programmeringslov for 2014-2019

Den militære programmering regningen for 2014-2019 angir at det er ansvaret til staten for å sikre tilstrekkelig sikkerhet for de kritiske systemer for operatører av vital betydning. Gjennom fire hovedtiltak har det som mål å etablere et minimumsnivå for sikkerhet for organisasjoner.

På slutten av 2013 ville staten på grunnlag av lovforslaget kunne:

• sette forpliktelser som forbudet mot å koble visse kritiske systemer til Internett;
• sette opp deteksjonssystemer av statssertifiserte tjenesteleverandører;
• sjekk sikkerhetsnivået til kritiske informasjonssystemer gjennom et revisjonssystem;
• og i tilfelle en større krise, å kunne pålegge operatører av vital betydning de nødvendige tiltakene.

Sektorielle implementeringsdekreter

For hver identifiserte sektor eller undersektor utstedte statsministeren et gjennomføringsdekret skrevet av ANSSI-tjenestene som definerer operatørens forpliktelser med hensyn til IT-sikkerhet.

Bestillingene ble tatt:

Sektor eller undersektor	Stoppet		Trer i kraft
Delsektoren "Helseprodukter"	10. juni 2016		1 st juli 2016
"Vann" sektor	17. juni 2016
"Mat" sektor
Delsektoren "Landtransport"	11. august 2016		1 st oktober 2016
Delsektoren "Maritim og elvetransport"
Delsektoren "Lufttransport"
"Strømforsyning" undersektor
Delsektoren "Naturgassforsyning"
Delsektoren "Petroleum hydrokarbonforsyning"
"Økonomi" sektor	28. november 2016		1 st januar 2017
"Industri sektor
Delsektoren "Audiovisuell og informasjon"
Delsektoren "Elektronisk kommunikasjon og Internett"
"Nuklear" undersektor	10. mars 2017		1 st april 2017
"Space" undersektor	8. september 2017		1 st oktober 2017
Delsektoren "Industrielle våpenaktiviteter"
Sektor "Sivile aktiviteter i staten"	29. mai 2019		1 st oktober 2019
Delsektoren "Offentlig forskning"	13. juli 2020		1 st oktober 2020

Med unntak av sivile aktiviteter er dekreter som er knyttet til den dominerende kongelige fortsatt ventet.

Disse dekretene gir en periode som varierer fra 3 måneder til 2 år for gjennomføring av tiltakene oppført i vedlegg 1, hvorav det er 20, inkludert særlig:

• etablering av en sikkerhetspolitikk for informasjonssystemer;
• gjennomføre en sikkerhetsakkreditering;
• kommunikasjon av elementer på det svært viktige informasjonssystemet (SIIV) satt opp av operatøren til ANSSI;
• observere og svare på sikkerhetsvarsler;
• begrensning av tilgang;
• den partisjonering av nettverk .

Vedlegg II (tidsfrister), III (type informasjonssystem) og IV (type hendelser) er ikke offentlige, og kommuniseres av ANSSI til folk som "trenger å vite".

Merknader og referanser

1. "  Beskyttelse av OIV i Frankrike  " , Anssi (åpnes 1 st juli 2020 ) .
2. Organisering av aktivitetssektorer av vital betydning , Generalsekretariat for forsvar og nasjonal sikkerhet (SGDSN).
3. Dekret nr .  2006-212 av 23. februar 2006 om sikkerheten ved viktige aktiviteter , JORF nr .  47 av 24. februar 2006, s.  2889, tekst nr .  1, NOR PRMX0500312D, om Légifrance.
4. Coursaget 2010 .
5. Artikkel R. 1332-2 i forsvarskoden , om Légifrance.
6. Artikkel R. 1332-1 i forsvarskoden , om Légifrance.
7. Dekret av 2. juni 2006 om etablering av en liste over aktivitetssektorer av vital betydning og utpeking av koordinerende ministre for nevnte sektorer , JORF nr .  129 av 4. juni 2006, s.  8502, tekst nr .  1, NOR PRMX0609332A på Lgifrance.
8. resolusjon av 03.07.2008 om endring av resolusjon 2. juni 2006 om innføring listen over sektorer av aktivitet av avgjørende betydning, og utpeke de koordinerende ministre nevnte sektorer , Jorf n o  156 av 05.07.2008, s.  10823, tekst nr .  6, NOR PRMD0813724A på Lgifrance.
9. artikkel R. 1332-3 i forsvarskoden , på Légifrance.
10. Artikkel R. 1332-10 i forsvarskoden , om Légifrance.
11. Statsministerens svar på et spørsmål fra en parlamentariker , 28. mai 2013, nasjonalforsamlingen.
12. Loven om militær planlegging og beskyttelse av operatører av vital betydning (OIV) , Cyberstrategie.org.
13. Marc Watin-Augouard, "  Loven om militær programmering og cybermenace  ", Les Échos ,27. november 2013( les online ).
14. Bestilling av10. juni 2016(helseprodukter) .
15. Bestilling av17. juni 2016(vann) .
16. Bestilling av17. juni 2016(mat) .
17. Bestilling av11. august 2016(landtransport) .
18. Bestilling av11. august 2016(sjø- og elvetransport) .
19. Bestilling av11. august 2016(lufttransport) .
20. Bestilling av11. august 2016(elektrisk energiforsyning) .
21. Bestilling av11. august 2016(naturgassforsyning) .
22. Bestilling av11. august 2016(tilførsel av petroleum hydrokarboner) .
23. Bestilling av28. november 2016(økonomi) .
24. Bestilling av28. november 2016(industri) .
25. Bestilling av28. november 2016(audiovisuell og informasjon) .
26. Bestilling av28. november 2016(elektronisk kommunikasjon og Internett) .
27. Bestilling av10. mars 2017(kjernefysisk) .
28. Bestilling av8. september 2017(mellomrom) .
29. Bestilling av8. september 2017(industrielle våpenaktiviteter) .
30. Bestilling av29. mai 2019(sivile aktiviteter i staten) .
31. Bestilling av13. juli 2020(offentlig forskning) .

Vedlegg

Bibliografi

• Alain Coursaget, "  Sikkerheten til aktiviteter av vital betydning: Første vurdering av SGDSN  ", Sécurité et Stratégie , nr .  4,2010, s.  5–17 ( DOI  10.3917 / sestr.004.0005 ).

Relaterte artikler

• Kritisk infrastruktur
• Europeisk program for beskyttelse av kritisk infrastruktur
• Operatør av viktige tjenester
• Atomsikkerhet
• Direktoratet for beskyttelse av forsvarsanlegg, ressurser og aktiviteter