TITRE II : DU CADRE INSTITUTIONNEL
———-

Article 274.

Le cadre institutionnel du secteur de la cybersécurité est l’Agence Nationale de Cybersécurité, « ANCY », en sigle.

L’Agence Nationale de Cybersécurité est l’autorité nationale en charge de la cybersécurité et de la sécurité des systèmes informatiques en République Démocratique du Congo.

CHAPITRE I : DE L’AGENCE NATIONALE DE CYBERSECURITE

Article 275.

L’Agence Nationale de Cybersecurité est un organisme public doté de la personnalité juridique. Elle relève de l’autorité du Président de la République.

Une Ordonnance du Président de la République délibérée en Conseil des Ministres fixe l’organisation et le fonctionnement de l’Agence Nationale de Cybersecurité.

Dans le cadre de ses missions, l’Agence Nationale de Cybersecurité collabore notamment avec les Ministères ayant dans leurs attributions les matières ci-après :

1. l’intérieur et la sécurité ;
2. la défense nationale ;
3. la justice ;
4. le numérique ;
5. les postes et télécommunications ;
6. les droits humains.

Article 276.

L’Agence est l’autorité nationale en charge de la Cybersecurité et de la sécurité des systèmes informatiques en République Démocratique du Congo.

Elle assure la régulation en matière de Cybersecurité, la conformité et l’audit des systèmes informatiques ainsi que des réseaux de communication électronique, l’homologation des prestataires de services et produits de cybersecurité.

L’exploitant d’un système informatique, public ou privé, informe l’Agence Nationale de Cybersecurité de toutes les attaques, intrusions et autres pénétrations susceptibles d’entraver le fonctionnement d’un autre système informatique ou réseau afin de lui permettre de prendre les mesures nécessaires pour y faire face, en ce compris l’isolement du système informatique concerné et cela jusqu’à ce que ces perturbations cessent.

L’exploitant est tenu de se conformer aux mesures édictées par l’Agence Nationale de Cybersecurité pour mettre fin à ces perturbations.

Article 277.

Elle oriente la stratégie nationale de Cybersecurité et propose la politique de sécurité des systèmes informatiques de l’État.

L’Agence Nationale de Cybersecurité apporte son expertise et son assistance technique aux administrations ainsi qu’aux entreprises tant publiques que privées, avec une mission renforcée au profit des infrastructures critiques et essentielles et des opérateurs d’importance vitale (OIV).

Article 278.

L’Agence Nationale de Cybersecurité est chargée notamment des missions suivantes :

• piloter, coordonner et suivre la mise en œuvre de la Stratégie Nationale de Cybersecurité ;
• mettre en place des mesures de prévention, de protection et de défense des données, des infrastructures critiques et essentielles ainsi que celles des réseaux de communications électroniques face aux risques de cybermenaces en République Démocratique du Congo ;
• piloter la gestion des risques au niveau national, les mesures de cyber-résilience, de gestion des cyber-incidents, de continuité d’activités, de gestion de crises cybers ;
• assurer la conformité des procédures de cybersecurité pour les organismes et institutions publiques ;
• s’assurer du mécanisme d’inclusion nationale des différentes parties prenantes à la mise en œuvre de la stratégie nationale de la Cybersecurité ;
• identifier, en collaboration avec les Ministères et les régulateurs sectoriels, les organismes à importance vitale et les services essentiels, et s’assurer de leur mise à jour ;
• suivre les indicateurs de performances en matière de Cybersecurité et sécurité des systèmes informatiques ;
• établir et maintenir des bases de données des cyber-vulnérabilités ;
• participer au développement de la confiance numérique ;
• assurer l’audit et la veille technologique des systèmes informatiques et des réseaux de communications électroniques en République Démocratique du Congo ;
• certifier et homologuer les produits et services de Cybersecurité et de cryptologie en République Démocratique du Congo ;
• accompagner et collaborer dans la lutte contre la Cybercriminalité avec d’autres organismes et institutions publiques ;
• collaborer et participer à la sensibilisation, à la formation ainsi qu’aux investigations en matière de cybersecurité ;
• assurer la gestion du Fonds souverain ;
• contribuer, en ce qui concerne ses missions, à l’application des accords, traités et conventions relatifs à la Cybersecurité et à la lutte contre la Cybercriminalité ratifiés par la République Démocratique du Congo ;
• veiller à l’exécution des dispositions légales et règlementaires relatives à la sécurité des systèmes informatiques et des réseaux de communication électronique ;
• centraliser les demandes d’assistance à la suite des incidents de sécurité sur les systèmes informatiques et les réseaux de communication électronique.

Article 279.

Il est créé un Fonds souverain de Cybersecurité et des systèmes informatiques, dénommé « Fonds souverain ».

Le Fonds souverain participe au financement de la Stratégie Nationale de Cybersecurité et appuie les activités de l’Agence Nationale de la Cybersecurité.

Un Décret du Premier Ministre délibéré en Conseil des ministres, sur proposition du Ministre ayant le numérique dans ses attributions, définit les modalités de fonctionnement du Fonds souverain ainsi que son financement.

Article 280.

Les systèmes informatiques relevant du secteur public sont soumis à un régime d’audit obligatoire et périodique de la sécurité informatique.

Les critères relatifs à la nature de l’audit, à sa périodicité et aux procédures de l’application des recommandations contenues dans le rapport d’audit, les conditions et procédures d’identification des experts sont fixés par arrêté du Ministre ayant le numérique dans ses attributions. Pour réaliser l’audit visé au présent article, l’Agence Nationale de Cybersecurité et/ou les Experts désignés par celle-ci pour opérer ledit audit, ont le droit de consulter toutes les bases de données, les documents, fichiers et dossiers relatifs à la sécurité informatique afin d’accomplir leurs missions.

Les agents assermentés de l’Agence Nationale de Cybersecurité chargés de l’enquête ont la qualité d’officier de police judiciaire à compétence restreinte. Ils prêtent serment selon les dispositions du droit commun applicables en la matière.

À ce titre, en dehors du rapport administratif adressé à l’Autorité hiérarchique, ils adressent le rapport judiciaire à l’Officier du Ministère public du ressort.