relative à la sécurité informatique (French Only)

Back to search

Text details

  • Text type : Law
  • Text year : 2004
  • Text number : 5
  • Text date : 03/02/2004

OGRT details

  • OGRT year : 2004
  • OGRT number : 010
  • OGRT date : 03/02/2004

Discussions of the chamber of deputies

Full text

Data not available
باسم الشعب،
وبعد موافقة مجلس النواب،
يصدر رئيس الجمهورية القانون الآتي نصه :
الباب الأول
في الوكالة الوطنية للسلامة المعلوماتية
الفصل الأول ـ يهدف هذا القانون إلى تنظيم مجال السلامة المعلوماتية وضبط القواعد العامة لحماية النظم المعلوماتية والشبكات.
الفصل 2 ـ تحدث مؤسسة عمومية لا تكتسي صبغة إدارية تتمتع بالشخصية المعنوية وبالاستقلال المالي يطلق عليها اسم "الوكالة الوطنية للسلامة المعلوماتية" وتخضع في علاقاتها مع الغير إلى التشريع التجاري ويكون مقرها بتونس العاصمة.
وتخضع الوكالة لإشراف الوزارة المكلفة بتكنولوجيات الاتصال.
ويضبط التنظيم الإداري والمالي وطرق سير الوكالة بمقتضى أمر.
الفصل 3 ـ تضطلع الوكالة الوطنية للسلامة المعلوماتية بمراقبة عامة على النظم المعلوماتية والشبكات الراجعة بالنظر إلى مختلف الهياكل العمومية والخاصة وتكلف خصوصا بالمهام التالية :
ـ السهر على تنفيذ التوجهات الوطنية والاستراتيجية العامة لسلامة النظم المعلوماتية والشبكات،
ـ متابعة تنفيذ الخطط والبرامج المتعلقة بالسلامة المعلوماتية في القطاع العمومي باستثناء التطبيقات الخاصة بالدفاع والأمن الوطني والتنسيق بين المتدخلين في هذا المجال،
ـ ضمان اليقظة التكنولوجية في مجال السلامة المعلوماتية،
ـ وضع مقاييس خاصة بالسلامة المعلوماتية وإعداد أدلة فنية في الغرض والعمل على نشرها،
ـ العمل على تشجيع تطوير حلول وطنية في مجال السلامة المعلوماتية وإبرازها وذلك وفق الأولويات والبرامج التي يتم ضبطها من قبل الوكالة،
ـ المساهمة في دعم التكوين والرسكلة في مجال السلامة المعلوماتية،
ـ السهر على تنفيذ التراتيب المتعلقة بإجبارية التدقيق الدوري لسلامة النظم المعلوماتية والشبكات.
ويمكن لسلطة الإشراف تكليفها بأي مهمة أخرى لها علاقة بميدان تدخلها.
الفصل 4 ـ في صورة حل الوكالة ترجع ممتلكاتها إلى الدولة التي تتولى تنفيذ التزاماتها وتعهداتها طبقا للتشريع الجاري به العمل.
الباب الثاني
في التدقيق الإجباري
الفصل 5 ـ تخضع النظم المعلوماتية والشبكات الراجعة بالنظر إلى مختلف الهياكل العمومية، باستثناء النظم المعلوماتية وشبكات وزارتي الدفاع الوطني والداخلية والتنمية المحلية لنظام تدقيق إجباري ودوري للسلامة المعلوماتية.
ـــــــــــــــــــــــــــــــــــــــ
(1) الأعمال التحضيرية :
مداولة مجلس النواب وموافقته بجلستـه المنعقدة بتاريخ 13 جانفي 2004.
وتخضع كذلك النظم المعلوماتية وشبكات الهياكل التي يتم ضبطها بأمر لتدقيق إجباري ودوري للسلامة المعلوماتية.
وتضبط بمقتضى أمر المعايير المتعلقة بطبيعة التدقيق ودوريته وإجراءات متابعة تطبيق التوصيات الواردة في تقرير التدقيق.
الفصل 6 ـ في صورة عدم قيام الهياكل المشار إليها بالفصل 5 من هذا القانون بإجراء التدقيق الإجباري الدوري، تتولى الوكالة الوطنية للسلامة المعلوماتية إنذار الهيكل المعني الذي يتعين عليه القيام بهذا التدقيق في أجل لا يتجاوز شهرا ابتداء من تاريخ الإنذار.
وعند انقضاء هذا الأجل دون نتيجة، على الوكالة تعيين خبير يعهد إليه بالتدقيق المشار إليه أعلاه على نفقة الهيكل المخالف.
الفصل 7 ـ يتعين على الهياكل العمومية والخاصة، ومع مراعاة الاستثناءات الواردة بالفصلين 3 و5 من هذا القانون، تمكين الوكالة الوطنية للسلامة المعلوماتية والخبراء الذين يتم تكليفهم بعملية التدقيق من الاطلاع على جميع الوثائق والملفات الخاصة بالسلامة المعلوماتية قصد القيام بمهامهم.
الباب الثالث
في المدققين
الفصل 8 ـ يتولى القيام بعمليات التدقيق خبراء، أشخاص طبيعيون أو معنويون، مصادق عليهم مسبقا من قبل الوكالة الوطنية للسلامة المعلوماتية.
وتضبط شروط وإجراءات المصادقة على هؤلاء الخبراء بمقتضى أمر.
الفصل 9 ـ يحجر على أعوان الوكالة الوطنية للسلامة المعلوماتية وعلى الخبراء المكلفين بأعمال التدقيق، إفشاء أي معلومات أمكن لهم الاطلاع عليها بمناسبة قيامهم بالمهام الموكولة إليهم.
تسلط العقوبات المقررة بالفصل 254 من المجلة الجنائية على كل من يفشي هذه المعلومات أو يشارك في إفشائها أو يحث على ذلك.
الباب الرابع
في الأحكام المختلفة
الفصل 10 ـ يجب على كل مستغل، هيكلا عموميا كان أو خاصا، لنظام معلوماتي أو شبكة، إعلام الوكالة الوطنية للسلامة المعلوماتية فورا بالهجمات والاختراقات وغيرها من الاضطرابات التي من شأنها عرقلة استغلال نظام معلوماتي أو شبكة أخرى حتى يتسنى لها اتخاذ التدابير الكفيلة بالتصدي لها.
ويتحتم على المستغل الامتثال إلى التدابير المقررة من قبل الوكالة الوطنية للسلامة المعلوماتية، لوضع حد لهذه الاضطرابات.
الفصل 11 ـ يمكن للوكالة الوطنية للسلامة المعلوماتية، في الصور المنصوص عليها في الفصل السابق، ولغاية حماية النظم المعلوماتية والشبكات، اقتراح عزل النظام المعلوماتي أو الشبكة المعنية إلى أن تكف هذه الاضطرابات ويتم هذا العزل بمقتضى مقرر من الوزير المكلف بتكنولوجيات الاتصال.
ويتم بالنسبة إلى الاستثناءات الواردة بالفصل 3 من هذا القانون اتخاذ الإجراءات الملائمة بالتنسيق مع وزيري الدفاع الوطني والداخلية والتنمية المحلية.
ينشر هذا القانون بالرائد الرسمي للجمهورية التونسية وينفذ كقانون من قوانين الدولة.
تونس في 3 فيفري 2004.
Au nom du peuple,
La chambre des députés ayant adopté,
Le Président de la République promulgue la loi dont la teneur suit :
CHAPITRE PREMIER
De l'agence nationale de la sécurité informatique
Article premier. - La présente loi a pour objet d'organiser le domaine de la sécurité informatique et de fixer les règles générales de protection des systèmes informatiques et des réseaux.
Art. 2. - Est créée, une entreprise publique à caractère non administratif dotée de la personnalité morale et de l'autonomie financière dénommée "Agence Nationale de la Sécurité Informatique". Elle est soumise dans ses relations avec les tiers à la législation commerciale et son siège est fixé à Tunis.
L'agence est soumise à la tutelle du ministère chargé des technologies de la communication.
____________
(1) Travaux préparatoires :
Discussion et adoption par la chambre des députés dans sa séance du 13 janvier 2004.
L'organisation administrative et financière et les modalités de fonctionnement de l'agence sont fixées par décret.
Art. 3. - L'agence nationale de la sécurité informatique effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés et elle est chargée notamment des missions suivantes :
- veiller à l'exécution des orientations nationales et de la stratégie générale en matière de sécurité des systèmes informatiques et des réseaux,
- suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine,
- assurer la veille technologique dans le domaine de la sécurité informatique,
- établir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication,
- œuvrer à encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence,
- participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique,
- veiller à l'exécution des réglementations relatives à l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux.
L'autorité de tutelle peut confier à l'agence toute autre activité en rapport avec le domaine de son intervention.
Art. 4. - En cas de dissolution de l'agence, ses biens feront retour à l'Etat qui exécute ses obligations et ses engagements conformément à la législation en vigueur.
CHAPITRE II
De l'audit obligatoire
Art. 5. - Les systèmes informatiques et les réseaux relevant des divers organismes publics sont soumis à un régime d'audit obligatoire et périodique de la sécurité informatique, à l'exception des systèmes informatiques et des réseaux appartenant aux ministères de la défense nationale et de l'intérieur et du développement local.
Sont, également, soumis à l'audit obligatoire périodique de la sécurité informatique, les systèmes informatiques et les réseaux des organismes qui seront fixés par décret.
Sont fixés par décret, les critères relatifs à la nature de l'audit, à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit.
Art. 6. - Dans le cas où les organismes prévus à l'article 5 de la présente loi n'effectuent pas l'audit obligatoire périodique, L'agence nationale de la sécurité informatique avertit l'organisme concerné qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement.
A l'expiration de ce délai sans résultat, l'agence est tenue de désigner, aux frais de l'organisme contrevenant, un expert qui sera chargé de l'audit sus-indiquée.
Art. 7. - Sous réserve des exceptions prévues aux articles 3 et 5 de la présente loi, les organismes publics et privés doivent permettre à l'agence nationale de la sécurité informatique et aux experts qui seront chargés de l'opération d'audit, de consulter tous les documents et dossiers relatifs à la sécurité informatique afin d'accomplir leurs missions.

CHAPITRE III
Des auditeurs
Art. 8. - L'opération d'audit est effectuée par des experts, personnes physiques ou morales, préalablement certifiées par l'agence nationale de la sécurité informatique.
Sont fixées par décret, les conditions et les procédures de certification de ces experts.
Art. 9. - Il est interdit aux agents de l'agence nationale de la sécurité informatique et aux experts chargés des opérations d'audit de divulguer toutes informations dont ils ont eu connaissance lors de l'exercice de leurs missions.
Sont passibles des sanctions prévues à l'article 254 du code pénal, quiconque divulgue, participe ou incite à la divulgation de ces informations.
CHAPITRE IV
Des dispositions diverses
Art. 10. - Tout exploitant d'un système informatique ou réseau, qu'il soit organisme public ou privé, doit informer immédiatement l'agence nationale de la sécurité informatique de toutes attaques, intrusions et autres perturbations susceptibles d'entraver le fonctionnement d'un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.
L'exploitant est tenu de se conformer aux mesures arrêtées par l'agence nationale de la sécurité informatique pour mettre fin à ces perturbations.
Art. 11. - Dans les cas prévus à l'article précédent et afin de protéger les systèmes informatiques et les réseaux, l'agence nationale de la sécurité informatique peut proposer l'isolement du système informatique ou du réseau concerné jusqu'à ce que ces perturbations cessent. L'isolement est prononcé par décision du ministre chargé des technologies de la communication.
Concernant les exceptions prévues à l'article 3 de la présente loi, des procédures adéquates seront arrêtées en coordination avec les ministres de la défense nationale et de l'intérieur et du développement local.
La présente loi sera publiée au Journal Officiel de la République Tunisienne et exécutée comme loi de l'Etat.
Tunis, le 3 février 2004.

Download