الباب الأول أحكام عامة
الفصل الأول – يضبط هذا القانون
الفصل 2 – يقصد بالعبارات التالية على معنى هذا القانون ما يلي:
الباب الثاني – إجراءات حماية أمن نظم المعلومات
الفرع الأول – أحكام خاصة بالهيئات
الفصل 3 – يتعين على كل هيئة أن تسهر على أن تكون نظم معلوماتها مطابقة للتوجيهات والقواعد والأنظمة والمراجع والتوصيات الصادرة عن السلطة الوطنية.
الفصل 4 – يتعين على كل هيئة أن تضع وتنفذ سياسة لأمن نظم معلوماتها وفق التوجيهات الصادرة عن السلطة الوطنية. يتعين على كل هيئة تحديد المخاطر التي تهدد أمن نظم معلوماتها واتخاد الإجراءات التقنية والتنظيمية اللازمة لإدارة هذه المخاطر، من أجل تجنب الحوادث.
يتعين أن يخضع كل نظام معلومات هيئة تقدم خدمات رقمية للغير لتدقيق أمني قبل الشروع في استغلاله.
يتعين على كل هيئة إجراء تدقيق لنظم معلوماتها بانتظام.
الفصل 5 – يتعين على كل هيئة أن تقوم بتصنيف أصولها المعلوماتية ونظم معلوماتها حسب مستوى حساسيتها من حيث السرية والجهوزية والتوافر، كما تكون تدابير حماية الأصول المعلوماتية ونظم المعلومات متناسبة مع التصنيف المخصص لها. كما يتعين على كل هيئة أن تحدد إجراءات تأهيل الأشخاص الذين يمكنهم الولوج إلى المعلومات المصنفة وشروط معالجة هذه المعلومات أو تبادلها ونظمها أو تخزينها أو نقلها.
ويضبط بأمر الدليل المرجعي لتصنيف أصول المعلومات ونظمها.
الفصل 6 – على كل هيئة أن تعين مسؤولا عن أمن نظم المعلومات، يتولى السهر على تطبيق سياسة أمن نظم المعلومات. يعتبر المسؤول عن أمن نظم المعلومات مخاطب السلطة الوطنية للأمن السيبراني، ويتعين أن يتمتع بالاستقلالية اللازمة لممارسة مهامه.
الفصل 7 – على كل هيئة أن توفر الوسائل المناسبة لمراقبة ورصد الأحداث التي قد تمس بأمن نظم معلوماتها ويكون لها وقع بالغ على استمرارية الخدمات التي تقدمها.
لا يمكن للسلطة الوطنية استغلال المعطيات التقنية المتحصل عليها بواسطة الوسائل المذكورة إلا لغرض تحديد ومعالجة الخطر الذي يمس بأمن نظم معلومات الهيئة المعنية.
الفصل 8 – على كل هيئة فور علمها بأي حادث يؤثر على أمن أو سير نظم المعلومات الخاصة بها أن تقوم بإبلاغ السلطة الوطنية.
تقوم كل هيئة بإبلاغ السلطة الوطنية، بناء على طلب هذه الأخيرة، ودون تأخير، بالمعلومات الإضافية المتعلقة بالحوادث التي تؤثر على أمن أو سير معلوماتها.
تبين السلطة الوطنية المعطيات التقنية والمعلومات المتعلقة بالحوادث التي يجب إبلاغها، وكيفيات إرسالها.
ترسل السلطة الوطنية إلى الهيئة المعنية تقريرا مفصلا يتضمن التدابير والتوصيات لمعالجة الحادث.
الفصل 9 – تعد كل هيئة مخططا لضمان استمرارية أو استئناف الأنشطة يتضمن مجموع الحلول البديلة لإبطال مفعول انقطاعات الأنشطة وحماية الوظائف المهمة والحساسة من الآثار الناجمة عن الاختلالات الأساسية لنظم المعلومات أو عن الكوارث، وضمان استئناف عمل هذ الوظائف في أقرب الآجال.
يتعين اختبار مخطط ضمان استمرارية أو استئناف الأنشطة بصفة منتظمة من أجل تحيينه حسب التطورات الخاصة بالهيئة وتطور التهديدات.
الفصل 10 – في حالة إسناد نظام معلومات حساس لجهة خارجية، يتعين على هذه الجهة احترام القواعد والأنظمة والدلائل المرجعية التقنية المتعلقة بأمن نظم المعلومات والتي تضعها السلطة الوطنية.
الفصل 11 – إيواء المعطيات الحساسة، تتم حصريا داخل التراب الوطني.
الفصل 12 – يتعين أن يكون كل إسناد خارجي لنظام معلومات حساس موضوع عقد خاضع للقانون التونسي يتضمن وجوبا الإلتزامات المتعلقة بحماية المعلومة وقابليتها للتدقيق واستعادتها، ومتطلبات الأمن ومستوى الخدمة المرغوب فيها.
الفصل 13 – تحدد السلطة الوطنية القواعد والدليل المرجعي التقني المنظم لشروط الأمن المتعلقة بالإسناد الخارجي لنظم المعلومات.
الفرع الثاني – أحكام خاصة بالبنية التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة
الفصل 14 – تسري أحكام الفرع الأول من هذا الباب على البنى التحتية ذات الأهمية الحيوية.
الفصل 15 – تضبط بأمر قائمة قطاعات الأنشطة ذات الأهمية الحيوية والسلطات الحكومية والمؤسسات العمومية وباقي الأشخاص المعنويين الخاضعين للقانون العام المشرفين على تنسيق هذه القطاعات.
الفصل 16 – يتم تحديد البنى التحتية ذات الأهمية الحيوية لكل قطاع أنشطة ذات أهمية حيوية، بعد أخذ رأي السلطة الوطنية، من طرف السلطة المعنية أو المؤسسة العمومية أو الشخص المعنوي الخاضع للقانون المشرف على تنسيق هذا القطاع.
تظل قائمة هذه البني التحتية سرية، ويتم تحيينها على فترات منتظمة لا تتعدى سنتين.
الفصل 17 – يقوم المسؤول عن البنية التحتية ذات الأهمية الحيوية، بناء على نتائج تحليل المخاطر، بإعداد قائمة نظم المعلومات الحساسة، وإرسالها في صيغتها المحينه إلى السلطة الوطنية.
الفصل 18 – يمكن للسلطة الوطنية توجيه ملاحظات إلى المسؤول عن البنية التحتية ذات الأهمية الحيوية بخصوص لائحة نظم المعلومات الحساسة التي تمت موافاتها بها. وفي هذه الحالة يتعين على المسؤول عن البنية ذات الأهمية الحيوية تعديل القائمة وفقا لهذه الملاحظات وإرسال القائمة المعدلة إلى السلطة الوطنية في أجل شهرين من تاريخ التوصل بالملاحظات.
تظل قائمة نظم المعلومات الحساسة سرية.
الفصل 19 – يخضع أمن نظام معلومات حساس للمصادقة قبل الشروع في استغلاله وتحدد السلطة الوطنية دليل المصادقة على نظم المعلومات الحساسة.
الفصل 20 – على المسؤولين عن البنية التحتية ذات الأهمية الحيوية، بناء على طلب من السلطة الوطنية، إخضاع نظم المعلومات الحساسة الخاصة بها إلى تدقيق تقوم به السلطة أو متعهدي التدقيق المؤهلين من قبلها.
تضبط بأمر معايير تأهيل متعهدي التدقيق وطرق إجراء التدقيق.
الفصل 21 – على السؤولين عن البنى التحتية ذات الأهمية الحيوية مد السلطة الوطنية أو متعهد التدقيق المؤهل بالمعلومات والعناصر اللازمة لإجراء التدقيق، بما في ذلك الوثائق المتعلقة بسياستها الأمنية، وعند الاقتضاء، نتائج التدقيق الأمني السابقة، والسماح لهم بالولوج إلى الشبكات ونظم المعلومات موضوع المراقبة قصد إجراء التحليلات واستخراج بيانات المعلومات التقنية.
يجب أن يلتزم متعهدو التدقيق المؤهلون ومستخدموهم تحت طائلة العقوبات المنصوص عليها في المجلة الجزائية باحترام السر المهني طيلة مدة مهمة التدقيق وبعد الانتهاء منها، بشأن المعلومات والوثائق التي تم تجميعها أو اطلعوا عليها أثناء القيام بهذه المهمة.
الفصل 22 – في حالة إجراء التدقيق من طرف متعهد تدقيق مؤهل يقوم المسؤول عن البنية التحتية ذات الأهمية الحيوية بإرسال تقرير التدقيق إلى السلطة الوطنية.
يجب على متعهد التدقيق المؤهل أن يسهر على ضمان سرية تقرير التدقيق.
الفصل 23 – عند إجراء عمليات التدقيق من طرف متعهدي التدقيق المؤهلين، يتحمل المسؤول عن البنية التحتية ذات الأهمية الحيوية المعنية مصاريف هذه العمليات.
الفصل 24 – على كل مسؤول عن بنية ذات أهمية حيوية تم تدقيقها وضع برنامج عمل لتنفيذ التوصيات الواردة في تقارير التدقيق وإرساله إلى السلطة الوطنية قصد متابعة تنفيذه.
الفصل 25 – يتعين أن يلجأ المسؤولون عن البنى التحتية ذات الأهمية الحيوية إلى الخدمات أو المنتوجات أو الحلول التي تسمح بتعزيز الوظائف الأمنية، والتي تحددها السلطة الوطنية.
في حالة إسناد خدمات الأمن السيبراني لجهة خارجية، يتعين على المسؤولين عن البنية التحتية ذات الأهمية الحيوية اللجوء إلى مسدي خدمات مؤهلين من طرف السلطة الوطنية.
تضبط بأمر معايير تأهيل مسدي خدمات الأمن السيبراني.
الفرع الثالث – أحكام خاصة بالمتعهدين
الفصل 26 – على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري منصات الإنترنات التقيد بتوجيهات السلطة الوطنية، لا سيما تلك المتعلقة بالمحافظة على المعطيات التقنية اللازمة لتحديد أي حادث أمن سيبراني.
تتضمن هذه المعطيات التقنية على الخصوص، بيانات الربط والنشرات المعلوماتية وآثار أحداث الأمن الحاصلة عليها بواسطة نظم الاستغلال والتطبيقات ومنتوجات الأمن.
تحدد مدة الاحتفاظ بالمعطيات التقنية اللازمة لتحديد وتحليل الحادث في سنة واحدة، ويمكن تغيير المدة بمقتضى أمر.
الفصل 27 – يخطر مستغلو الشبكات العامة للمواصلات ومزود و خدمات الإنترنت خدمات الأمن السيبراني ومقدمو الخدمات الرقمية وناشرو منصات ومقدمين الإنترنت حرفائهم بهشاشة نظم معلوماتهم أو الاختراق الذي قد تتعرض له.
الفصل 28 – لضمان أمن نظم المعلومات الخاصة بالهيئات والبيات التحتية ذات الأهمية الحيوية، يسمح لأعوان السلطة الوطنية المعتمدين حصريا بهدف الوقاية وتحديد خصائص التهديد السيبراني، بتجميع وتحليل المعطيات التقنية، دون أي استغلال آخر، لدى مستغلي الشبكات العامة للمواصلات ومزودي خدمات الإنترنت ومسدي خدمات الأمن السيبراني ومسدي الخدمات الرقمية وناشري منصات الإنترنت. تؤهل السلطة الوطنية لوضع أجهزة تقنية على الشبكات العامة للمواصلات وشبكات مزودي خدمات الإنترنت حصريا بهدف رصد الأحداث التي قد تؤثر على أمن نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية.
توضع هذه الأجهزة حصريا خلال المدة وفي الحدود التي يتطلبها تحديد خصائص التهديد.
الفصل 29 – على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية وناشري الإنترنت في إطار توجيهات السلطة الوطنية، اتخاذ التدابير الحمائية اللازمة للوقاية وإبطال مفعول التهديدات أو الإخترقات التي تمس نظم معلومات حرفائهم.
الفصل 30 – يتعين على مستغلي الشبكات العمومية للمواصلات ومزودو خدمات الإنترنت ومقدمو خدمات الأمن السيبراني ومقدمو الخدمات الرقمية وناشرو منصات الإنترنت حال رصد أحداث قد تؤثر على أمن نظم معلومات حرفائهم إخبار السلطة الوطنية فورا بذلك.
الفصل 31 – على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت أن يستعملوا، في شبكات الاتصالات الإلكترونية التي يستغلونها ، أجهزة للرصد تشتغل بعلامات تقنية توفرها السلطة الوطنية، وذلك فقط بهدف رصد الأحداث التي قد تؤثر على أمن نظم معلومات مشتركيها.
الفصل 32 – على مسدي الخدمات الرقمية تحديد المخاطر التي تهدد نظم معلوماتهم، واتخاذ التدابير التقنية والتنظيمية اللازمة لإدارة هذه المخاطر، وذلك لمنع وقوع الحوادث التي قد تؤثر سلبا على هذه الشبكات ونظم المعلومات، والتقليل إلى أدني حد ممكن من أثر هذه المخاطر ضمانا لاستمرارية هذه الخدمات.
الفصل 33 – على مسدي الخدمات الرقمية فور علمهم بأي حوادث تؤثر على الشبكات ونظم المعلومات اللازمة لتوفير خدماتهم، أن يقوموا بإبلاغ السلطة الوطنية بها، وذلك حينما يتبين من المعلومات المتوفرة لديهم أن لهذه الحوادث وقع بالغ يؤثر على تقديم هذه الخدمات.
الفصل 34 – إذا تم، بأي وسيلة كانت إخبار السلطة الوطنية بأن أحد مسدي الخدمات الرقمية لا يفي بأحد الالتزامات المنصوص عليها في هذا القانون، يمكن لهذه السلطة أن تخضعه للمراقبة من أجل التحقق من تقيده بهذه الالتزامات و من مستوى أمن الشبكات ونظم المعلومات اللازمة لتقديم خدماته.
تتم المراقبة من قبل السلطة الوطنية أو من قبل متعهدي التدقيق المؤهلين من قبل هذه السلطة، وفي هذه الحالة الأخيرة، يتحمل مقدم الخدمات الرقمية مصاريف عمليات المراقبة.
إذا تبين أثناء إجراء المراقبة وجود إخلال بالالتزامات الملقاة على عاتق مقدم الخدمات بموجب هذا الفرع ، يمكن للسلطة الوطنية التنبيه على مسيري مقدم الخدمات المعني بالتقيد بهذه الالتزامات، وذلك في أجل تحدده هذه السلطة.
الباب الثالث – حوكمة الأمن السيبراني
الفرع الأول – اللجنة الاستراتيجية للأمن السيبراني
الفصل 35 – تحدث “لجنة استراتيجية للأمن السيبراني” ، يعهد إليها القيام بالمهام التالية:
وتضبط بأمر تركيبة وطرق سير اللجنة الاستراتيجية للأمن السيبراني.
الفصل 36 – تحدث لدى اللجنة الاستراتيجية للأمن السيبراني، لجنة لإدارة الأزمات والأحداث السيبرانية الجسيمة تكلف بضمان التدخل والتنسيق في مجال الوقاية وإدارة الأزمات على إثر وقوع حوادث أمن سيبراني.
ولهذا الغرض، يتعين على مستغلي الشبكات العمومية للمواصلات ومزودي خدمات الإنترنت ومقدمي خدمات الأمن السيبراني ومقدمي الخدمات الرقمية الامتثال للأوامر الصادرة عن لجنة إدارة الأزمات والأحداث السيبرانية والاستجابة لطلباتها المتعلقة بالدعم والمساعدة التقنية.
وتضبط بأمر تركيبة اللجنة وطرق سيرها ومجال تدخل كل عضو من أعضائها.
الفصل 37 – يمكن للجنة إدارة الأزمات والأحداث السيبرانية الجسيمة، من أجل التصدي الحوادث الأمن السيبراني الجسيمة ان تحدد التدابير التي يتوجب على مسؤولي الهيئات والبنى التحتية ذات الأهمية الحيوية تنفيذها وأن تقدم توصيات ونصائح إلى متعهدي القطاع الخاص والأفراد.
الفرع الثالث – السلطة الوطنية للأمن السيبراني
الفصل 38 – يعهد إلى السلطة الوطنية مهمة تنفيذ استراتيجية الدولة في مجال الأمن السيبراني.
ولهذا الغرض، تتولى السلطة الوطنية، علاوة على المهام الأخرى المسندة إليهما بمقتضى هذا القانون القيام بالمهام التالية:
الفصل 39 – يتعين على السلطة الوطنية ضمان سرية المعلومات الحساسة التي تجمعها في إطار القانون.
الفصل 40 – تحدد السلطة الوطنية قواعد الأمن اللازمة لحماية نظم معلومات الهيئات والبنى التحتية ذات الأهمية الحيوية والمتعهدين المشار إليهم في الفصل الأول من هذا القانون.
تحدد السلطة الوطنية قواعد أمن خاصة بقطاع أنشطة ذي أهمية حيوية معين.
وتقوم بتبليغ هذه القواعد وطرق وأجال تطبيقها إلى مسؤولي البنية التحتية ذات الأهمية الحيوية التابعين للقطاع المعني.
على المسؤولين سالفي الذكر تطبيق هذه القواعد على نفقتهم.
الفصل 41 – من أجل التصدي لأي هجوم إلكتروني يستهدف نظم المعلومات ويمس بالوظائف الحيوية للمجتمع أو الصحة أو السلامة أو الأمن أو الدفاع أو التقدم الاقتصادي والاجتماعي، يقوم أعوان السلطة الوطنية بالتحريات التقنية اللازمة لتحديد خصائص الهجوم ويسهرون على ضمان تنفيذ التدابير والتوصيات المتعلقة بها.
الفصل 42 – تتعاون السلطة الوطنية مع السلطات المختصة في الدولة من خلال تبادل أي معطيات أو معلومات قد تساعدها على معالجة الجرائم التي تخل بسير نظم المعالجة الآلية للمعطيات.
إذا تبين للسلطة الوطنية، أثناء ممارسة مهامها وجود فعل يشتبه في مخالفته،
يتعين عليها إحالة الأمر إلى السلطات المختصة.
يتعين على السلطات المختصة إعلام السلطة الوطنية بمآل الإحالة
الباب الرابع – التكوين والتحسيس والتعاون
الفصل 43 – تقوم السلطة الوطنية، بالتعاون مع المتدخلين والمهنيين في مجال الأمن السيبراني، بتنظيم دورات تكوينية وتمارين لفائدة مستخدمي الهيئات والبنى التحتية ذات الأهمية الحيوية من أجل تطوير وتعزيز القدرات الوطنية في هذا المجال.
وتحدث لهذا الغرض مدرسة عليا للأمن السيبراني.
الفصل 44 – تقوم السلطة الوطنية بضبط وتنفيذ برامج تحسيسية بشأن الأخلاقيات السيبرانية والتحديات المتعلقة بتهديدات ومخاطر الأمن السيبراني لفائدة مستخدمي الهيئات والبنى التحتية ذات الأهمية الحيوية والقطاع الخاص والأفراد.
تنشر بانتظام على الموقع الإلكتروني للسلطة الوطنية الإرشادات والتوصيات الوقائية المتعلقة بالأمن السيبراني لفائدة مستخدمي الهيئات والبنى التحتية ذات الأهمية الحيوية والقطاع الخاص والأفراد.
الفصل 45 – تسهم السلطة الوطنية في دعم البرامج التي تعدها الهيئات المختصة في الدولة من أجل تعزيز الثقة الرقمية وتطوير رقمنة الخدمات وحماية المعطيات الشخصية
الفصل 46 – تقوم السلطة الوطنية، بعد التشاور مع الوزارات المعنية، بتطوير علاقات التعاون مع المنظمات الوطنية والأجنبية في مجال الأمن السيبراني وتنسيقها.
الفصل 47 – تقوم السلطة الوطنية بربط علاقات التعاون على الصعيدين الوطني والدولي لمعالجة حوادث الأمن السيبراني وتطوير تبادل التجارب والخبرات في هذا المجال.
الباب الخامس – معاينة المخالفات والعقوبات
الفصل 48 – يؤهل للبحث عن المخالفات لأحكام هذا القانون والنصوص المتخذة لتطبيقه ومعاينتها بواسطة محاضر، علاوة على أعوان الضابطة العدلية، أعوان السلطة الوطنية المنتدبون لهذا الغرض والمحلفون وفق التشريع الجاري به العمل.
توجه محاضر معاينة المخالفات إلى النيابة العمومية المختصة.
الفصل 49 – مع مراعاة العقوبات الجزائية الأشد المنصوص عليها في التشريع الجاري به العمل، يعاقب بغرامة من 30 ألف دينار إلى 60 ألف دينار؛
الفصل 50 – مع مراعاة العقوبات الجزائية الأشد المنصوص عليها في التشريع الجاري به العمل، يعاقب بغرامة من 20 آلاف إلى 40 ألف دينار
ويعاقب بالغرامة نفسها كل شخص استخدم نظام معلوماته دون علمه لنشر البرمجيات الخبيثة أو للقيام بأعمال مخالفة للقانون، امتنع عن تنفيذ توجيهات السلطة الوطنية بعد إخباره بها.
الفصل 51 – يمكن للمحكمة أن تحكم بمصادرة المواد والوسائل التي أستعملت لإرتكاب أفعال مخالفة لأحكام هذا القانون.
الفصل 52 – في حالة العود، تضاعف العقوبات المنصوص عليها في هذا القانون. ويعتبر في حالة عود كل من سبق الحكم عليه بعقوبة من اجل ارتكاب إحدى المخالفات المنصوص عليها في هذا القانون بحكم قضائي بات ثم ارتكب نفس المخالفة قبل مضي أربع سنوات من تمام تنفيذ تلك العقوبة أو تقادمها.
الباب السادس – أحكام ختامية
الفصل 53 – يدخل هذا القانون حيز التنفيذ ابتداء من تاريخ نشر النصوص المتخذة لتطبيقه.
الفصل 54 – ينشر هذا القانون بالرائد الرسمي للجمهورية التونسية وينفذ كقانون من قوانين الدولة.
الأخبار الجيدة فقط ، لن تصل أي رسائل غير مرغوب فيها إلى صندوق البريد الخاص بك!
يسرنا أن نُعلن عن إطلاق تصميمنا الجديد لقواعد بياناتنا القانونية كجزء من التزامنا بخدمة مستخدمينا الكرام. يأتي هذا التحديث بتحسينات متعددة، تتضمن واجهة سلسة وسهلة الاستخدام وتحسينات في الوظائف لجعل الوصول إلى المعلومات أمراً سهلاً.
نحن مسرورون لنقدم هذا التحسين الجديد، ونؤكد التزامنا بتقديم أفضل خدمة لكم. نعبر عن شكرنا العميق لثقتكم المستمرة بنا.