Art. L2321-3, Code de la défense

Pour les besoins de la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents de l'autorité nationale de sécurité des systèmes d'information, habilités par le Premier ministre dans des conditions fixées par décret en Conseil d'Etat et dont la liste est transmise à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, peuvent obtenir des opérateurs de communications électroniques, en application du II bis de l'article L. 34-1 du code des postes et des communications électroniques et des personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, en application du II du même article 6, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l'atteinte de leur système.

Lorsque l'autorité nationale de sécurité des systèmes d'information est informée, en application de l'article L. 33-14 du code des postes et des communications électroniques, de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique, d'un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée ou d'un opérateur public ou privé participant aux systèmes d'information d'une des entités mentionnées au présent alinéa, les agents mentionnés au premier alinéa du présent article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l'analyse de cet événement. Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes. Elles ne peuvent être conservées plus de cinq ans.

Les surcoûts identifiables et spécifiques des prestations suivantes effectuées à la demande de l'autorité nationale de sécurité des systèmes d'information sont compensés selon des modalités prévues par décret en Conseil d'Etat :

1° Les prestations assurées par les opérateurs de communications électroniques en application du premier alinéa du présent article, dans les conditions prévues au VI de l'article L. 34-1 du code des postes et des communications électroniques, et du deuxième alinéa du présent article ;

2° Les prestations assurées par les personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 précitée.