La loi n° 05-20 relative à la cybersécurité dispose dans son article 19 que tout système d’information sensible (SIS) d’une infrastructure d’importance vitale (IIV) doit faire l’objet de l’homologation de sa sécurité avant sa mise en exploitation.

Cette homologation est destinée à faire connaître aux responsables des IIV les risques liés à l’exploitation de leurs systèmes d’information sensibles.
Il s’agit d’une démarche qui aboutit à une décision, prise par le responsable de l’IIV. Cette décision constitue un acte formel par lequel il :

•  atteste de sa connaissance du système d’information et des mesures de sécurité techniques, organisationnelles ou juridiques mises en œuvre ;
•  accepte les risques qui demeurent, qu’on appelle risques résiduels.

Le présent guide détaille la démarche à suivre pour homologuer un système d’information sensible d’une infrastructure d’importance vitale et établi la forme et le contenu de la décision d’homologation.