Statut français
OIV : Opérateur d'Importance Vitale
Un Opérateur d'Importance Vitale (OIV) est une organisation, publique ou privée, désignée par l'État français comme exerçant des activités indispensables à la survie de la Nation. La France compte environ 300 OIV répartis dans 12 secteurs d'activité d'importance vitale : énergie, transports, communications électroniques, santé, eau, alimentation, finance, gestion de l'eau, industrie, espace, recherche et activités militaires. Leur identité est protégée par le secret de la défense nationale.
Origine et obligations réglementaires
Le dispositif Secteur d'activité d'importance vitale (SAIV) est mis en place en 2006 pour protéger les infrastructures critiques contre les menaces physiques. En 2013, l'article 22 de la Loi de Programmation Militaire (LPM) complète ce dispositif en imposant aux OIV le renforcement de la sécurité de leurs systèmes d'information d'importance vitale (SIIV). Le cadre légal est codifié aux articles L.1332-1 et suivants du Code de la défense.
Les OIV doivent respecter 20 règles de sécurité informatique définies par l'ANSSI, couvrant gouvernance, protection, détection et réaction. Ils ont l'obligation d'établir un Plan de Sécurité Opérateur (PSO), de déclarer leurs SIIV à l'ANSSI, de désigner un délégué pour la défense et la sécurité (DDS) habilité secret défense, et de signaler tout incident de sécurité. L'ANSSI peut déclencher des contrôles de sécurité conduits par des prestataires qualifiés PASSI-LPM.
Lien avec NIS2
Les OIV, bien qu'ils relèvent principalement d'un cadre national (la LPM), sont encouragés à suivre des pratiques similaires en matière de cybersécurité, notamment en vertu des recommandations issues de NIS et NIS2. Le régime OIV français constitue un cadre plus strict que NIS2 : les deux dispositifs peuvent s'appliquer simultanément à une même entité.
La directive NIS2 introduit les catégories d'entités essentielles et d'entités importantes qui se superposent au périmètre OIV sans le remplacer. Le projet de loi Résilience, en cours de transposition, articule ces deux régimes. Les OIV déjà soumis aux 20 règles LPM devront potentiellement compléter leur dispositif pour couvrir les exigences NIS2, notamment sur la gouvernance des dirigeants (article 20 de la directive) et la gestion de la chaîne d'approvisionnement.
Pour les entités régulées NIS2 : voir /mesures/gestion-risques. Pour les audits de conformité OIV : /prestataires/passi-lpm.