Art. R9-9, Code des postes et des communications électroniques

I. – Lorsque le ministre chargé des communications électroniques impose à un opérateur un contrôle de la sécurité et de l'intégrité de ses installations, réseaux ou services, il lui notifie les objectifs du contrôle et le délai dans lequel le contrôle doit être achevé, qui ne peut pas être supérieur à six mois. Il lui précise également si le contrôle doit être effectué par l'Agence nationale de la sécurité des systèmes d'information ou par un autre service de l'Etat ou par un organisme qualifié indépendant. Dans ce dernier cas, l'opérateur choisit l'organisme sur la liste mentionnée à l'article R. 9-7 et le coût du contrôle est fixé par contrat entre l'opérateur et l'organisme.

II. – L'opérateur prend les dispositions nécessaires à la réalisation du contrôle par le service de l'Etat désigné par le ministre ou par l'organisme qu'il a choisi et communique ces dernières dans un délai de deux mois suivant la notification mentionnée au I du présent article au ministre chargé des communications électroniques, qui s'assure que ces dispositions répondent aux objectifs du contrôle.

L'opérateur rend compte sans délai de toute difficulté au ministre chargé des communications électroniques.

III. – Lorsque le contrôle intervient à la suite d'une atteinte à la sécurité ou une perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux ou des services de l'opérateur ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité de ses installations, réseaux ou services ont été constatés à l'occasion d'un précédent contrôle intervenu au cours de la même année civile, le ministre chargé des communications électroniques peut imposer que le délai mentionné au II soit inférieur à deux mois compte tenu du risque de sécurité identifié.