La loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique est venue consacrer le statut d’Opérateur d’Importance Vitale (OIV), défini comme tout opérateur public ou privé :
- Exerçant dans des secteurs essentiels pour le fonctionnement des institutions et des services publics, pour l’activité économique ou plus généralement pour la vie en Principauté ;
- Exploitant des établissements ou utilisant des installations ou des ouvrages dont l’indisponibilité risquerait d’affecter de façon importante les intérêts précités.
Dès 2017, l’Arrêté Ministériel n° 2017-42 listait les secteurs d’importance vitale, dont font partie les établissements bancaires et financiers de la Place, qui sont donc tenus de se conformer à l’ensemble des règles de sécurité posées par les textes, sous le contrôle et les directives de l’Agence Monégasque de Sécurité Numérique (AMSN).
Des textes supplémentaires étaient attendus en vue de déterminer les modalités d’application de la loi, et notamment les règles de sécurité que les OIV doivent appliquer et leurs obligations auprès de l’AMSN.
- C’est chose faite depuis le 8 novembre 2018, date du nouvel Arrêté Ministériel n° 2018-1053, qui vient préciser à l’aide de sept différentes annexes :
- Les règles de sécurité des OIV (politique de sécurité, cartographie, homologation de sécurité, journalisation, gestion des incidents, etc.);
- La déclaration de la liste des systèmes d’information d’importance vitale qui doit être adressée à l’ANSM et mise à jour annuellement ;
- L’analyse d’impact qui doit être menée par les OIV, à l’aide d’un tableau d’évaluation du niveau de sécurité des systèmes d’information d’importance vitale joint en annexe de l’Arrêté Ministériel ;
- La déclaration de tout incident de sécurité à l’ANSM, selon un format défini.
Certaines annexes ne sont pas rendues publiques du fait de leur caractère sensible, et seront donc directement notifiées aux personnes habilitées au sein des OIV (typologie des système d’information d’importance vitale et typologie des incidents à déclarer, délais d’application des règles de sécurité).
Les établissements bancaires et financiers doivent donc être particulièrement vigilants face à ces nouvelles obligations et les formalités qui en découlent.
