قانون عدد 5 لسنة 2004 مؤرخ في 3 فيفري 2004 يتعلق بالسلامة المعلوماتية

 

باسم الشعب،

وبعد موافقة مجلس النواب،

يصدر رئيس الجمهورية القانون الآتي نصه:

الباب الأول في الوكالة الوطنية للسلامة المعلوماتية 

الفصل الأول – يهدف هذا القانون إلى تنظيم مجال السلامة المعلوماتية وضبط القواعد العامة لحماية النظم المعلوماتية والشبكات.

الفصل 2 – تحدث مؤسسة عمومية لا تكتسي صبغة إدارية تتمتع بالشخصية المعنوية وبالاستقلال المالي يطلق عليها اسم "الوكالة الوطنية للسلامة المعلوماتية" وتخضع في علاقاتها مع الغير إلى التشريع التجاري ويكون مقرها بتونس العاصمة.

وتخضع الوكالة لإشراف الوزارة المكلفة بتكنولوجيات الاتصال.

ويضبط التنظيم الإداري والمالي وطرق سير الوكالة بمقتضى أمر.

الفصل 3 – تضطلع الوكالة الوطنية للسلامة المعلوماتية بمراقبة عامة على النظم المعلوماتية والشبكات الراجعة بالنظر إلى مختلف الهياكل العمومية والخاصة وتكلف خصوصا بالمهام التالية:

-       السهر على تنفيذ التوجهات الوطنية والاستراتيجية العامة لسلامة النظم المعلوماتية والشبكات،

-       متابعة تنفيذ الخطط والبرامج المتعلقة بالسلامة المعلوماتية في القطاع العمومي باستثناء التطبيقات الخاصة بالدفاع والأمن الوطني والتنسيق بين المتدخلين في هذا المجال،

-       ضمان اليقظة التكنولوجية في مجال السلامة المعلوماتية،

-       وضع مقاييس خاصة بالسلامة المعلوماتية وإعداد أدلة فنية في الغرض والعمل على نشرها،

-       العمل على تشجيع تطوير حلول وطنية في مجال السلامة المعلوماتية وإبرازها وذلك وفق الأولويات والبرامج التي يتم ضبطها من قبل الوكالة،

-       المساهمة في دعم التكوين والرسكلة في مجال السلامة المعلوماتية،

-       السهر على تنفيذ التراتيب المتعلقة بإجبارية التدقيق الدوري لسلامة النظم المعلوماتية والشبكات.

ويمكن لسلطة الإشراف تكليفها بأي مهمة أخرى لها علاقة بميدان تدخلها.

الفصل 4 – في صورة حل الوكالة ترجع ممتلكاتها إلى الدولة التي تتولى تنفيذ التزاماتها وتعهداتها طبقا للتشريع الجاري به العمل.

الباب الثاني في التدقيق الإجباري 

الفصل 5 – تخضع النظم المعلوماتية والشبكات الراجعة بالنظر إلى مختلف الهياكل العمومية، باستثناء النظم المعلوماتية وشبكات وزارتي الدفاع الوطني والداخلية والتنمية المحلية لنظام تدقيق إجباري ودوري للسلامة المعلوماتية.

وتخضع كذلك النظم المعلوماتية وشبكات الهياكل التي يتم ضبطها بأمر لتدقيق إجباري ودوري للسلامة المعلوماتية.

وتضبط بمقتضى أمر المعايير المتعلقة بطبيعة التدقيق ودوريته وإجراءات متابعة تطبيق التوصيات الواردة في تقرير التدقيق.

الفصل 6 – في صورة عدم قيام الهياكل المشار إليها بالفصل 5 من هذا القانون بإجراء التدقيق الإجباري الدوري، تتولى الوكالة الوطنية للسلامة المعلوماتية إنذار الهيكل المعني الذي يتعين عليه القيام بهذا التدقيق في أجل لا يتجاوز شهرا ابتداء من تاريخ الإنذار.

وعند انقضاء هذا الأجل دون نتيجة، على الوكالة تعيين خبير يعهد إليه بالتدقيق المشار إليه أعلاه على نفقة الهيكل المخالف.

الفصل 7 – يتعين على الهياكل العمومية والخاصة، ومع مراعاة الاستثناءات الواردة بالفصلين 3 و5 من هذا القانون، تمكين الوكالة الوطنية للسلامة المعلوماتية والخبراء الذين يتم تكليفهم بعملية التدقيق من الاطلاع على جميع الوثائق والملفات الخاصة بالسلامة المعلوماتية قصد القيام بمهامهم.

الباب الثالث في المدققين 

الفصل 8 – يتولى القيام بعمليات التدقيق خبراء، أشخاص طبيعيون أو معنويون، مصادق عليهم مسبقا من قبل الوكالة الوطنية للسلامة المعلوماتية.

وتضبط شروط وإجراءات المصادقة على هؤلاء الخبراء بمقتضى أمر.

الفصل 9 – يحجر على أعوان الوكالة الوطنية للسلامة المعلوماتية وعلى الخبراء المكلفين بأعمال التدقيق، إفشاء أي معلومات أمكن لهم الاطلاع عليها بمناسبة قيامهم بالمهام الموكولة إليهم.

تسلط العقوبات المقررة بالفصل 254 من المجلة الجنائية على كل من يفشي هذه المعلومات أو يشارك في إفشائها أو يحث على ذلك.

الباب الرابع في الأحكام المختلفة 

الفصل 10 – يجب على كل مستغل، هيكلا عموميا كان أو خاصا، لنظام معلوماتي أو شبكة، إعلام الوكالة الوطنية للسلامة المعلوماتية فورا بالهجمات والاختراقات وغيرها من الاضطرابات التي من شأنها عرقلة استغلال نظام معلوماتي أو شبكة أخرى حتى يتسنى لها اتخاذ التدابير الكفيلة بالتصدي لها.

ويتحتم على المستغل الامتثال إلى التدابير المقررة من قبل الوكالة الوطنية للسلامة المعلوماتية، لوضع حد لهذه الاضطرابات.

الفصل 11 – يمكن للوكالة الوطنية للسلامة المعلوماتية، في الصور المنصوص عليها في الفصل السابق، ولغاية حماية النظم المعلوماتية والشبكات، اقتراح عزل النظام المعلوماتي أو الشبكة المعنية إلى أن تكف هذه الاضطرابات ويتم هذا العزل بمقتضى مقرر من الوزير المكلف بتكنولوجيات الاتصال.

ويتم بالنسبة إلى الاستثناءات الواردة بالفصل 3 من هذا القانون اتخاذ الإجراءات الملائمة بالتنسيق مع وزيري الدفاع الوطني والداخلية والتنمية المحلية.

ينشر هذا القانون بالرائد الرسمي للجمهورية التونسية وينفذ كقانون من قوانين الدولة.

تونس في 3 فيفري 2004.