Selon le décret-loi 2023-17 du 11 mars 2023, l’Agence Nationale de la Cybersécurité classe les organismes selon le degré de confiance numérique en trois (03) niveaux comme suit :
- Premier niveau : organisme classifié premier degré.
- Deuxième niveau : organisme classifié deuxième degré.
- Troisième niveau : organisme non classifié.
Les niveaux de classifications sont déterminés en fonction des critères suivants :
- L’engagement de l’organisme de l’audit obligatoire de sécurité des systèmes d’information et le degré de son application des recommandations qui en découlent.
- L’utilisation de l’organisme d’équipements et solutions homologués selon la législation en vigueur.
- L’hébergement de l’organisme de ses systèmes auprès d’un fournisseur de service d’hébergement classé conformément aux dispositions de l’article 8 du présent décret-loi.
Les organismes concernés sont les organismes définis dans l’article 6 du présent décret-loi :
- Les opérateurs de réseaux publics de télécommunications et les fournisseurs des services de télécommunications et d'internet,
- Les entreprises dont les réseaux informatiques sont interconnectées à travers des réseaux de télécommunications,
- Les fournisseurs des services d’hébergement et d’informatique en nuages.
- Les entreprises qui procèdent au traitement automatisé des données personnelles de leurs usagers dans le cadre de la fourniture de leurs services à travers les réseaux de télécommunications.
- Les infrastructures numériques d’importance vitale.
En cas d’incident ou d’attaque cybernétique aux organismes mentionnés à l’article 6 du présent décret-loi, ayant entravé l’exploitation d’un système d’information ou d'un réseau de communication ou ayant constitué un danger pour la sécurité de l’espace cybernétique national, l’Agence met en garde l’organisme concerné pour lever les défaillances dans un délai ne dépassant pas trente (30) jours.