TRUST SERVICE PROVIDERS

 

PRESTATAIRES D’AUDIT DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION QUALIFIÉS

Conformément aux dispositions du décret n° 2-21-406 pour l’application de la loi n°05-20 relative à la cybersécurité, les entités et infrastructures d’importance vitale disposant de systèmes d’information sensibles doivent mener des audits périodiques de leurs systèmes par des prestataires d’audit qualifiés par la DGSSI. Cette qualification, qui constitue un gage de qualité et de confiance s’appuie sur la vérification des critères attestant, notamment :

  •  des références des prestataires dans le domaine
  •  de la qualification de leurs ressources humaines
  •  de l’efficacité et l’adéquation des méthodes et outils utilisés
  •  de l’organisation du travail et le respect des règles déontologiques et de sécurité.
  •  Liste des Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés
    PrestataireAudit Organisationnel et PhysiqueAudit d'ArchitectureAudit de configurationTests d’intrusionAudit du code sourceAudit des systèmes industrielsDate de fin de qualificationClasse des SIDécision de qualification
    LMPS CONSULTINGokokokokokok02/02/2027Classe BIcône PDF
    Deloitte Morocco Cyber Centerokokokokokok03/11/2026Classe BIcône PDF
    Techso Groupokokokokokok18/08/2026Classe BIcône PDF
    SEKERA SERVICESokokokokok 18/08/2026Classe A and Classe BIcône PDF
    NEAR SECUREokokokokokok18/08/2026Classe A and Classe BIcône PDF
    DATAPROTECTokokokokokok17/01/2026Classe A and Classe BIcône PDF
    PWC Advisoryok okok  12/01/2026Classe BIcône PDF
    Entreprise Services CDG (DXC Technology)okokokokok 10/03/2025Classe BIcône PDF
    Orange Business Marocokokokokokok10/03/2025Classe BIcône PDF
    Thales Holding Marocokokokokok 
    ok
    En cours
    ok
    Suspendue(*)
    ok
    Validée

    (*) En application des dispositions de l'article 26 du décret n° 2-21-406 pris pour l'application de la loi 05-20 relative à la cybersécurité
  •  Procédure de qualification
    - Conditions d'éligibilité
    •  Être constitué sous forme de société de droit marocain
    •  Avoir une expertise dans l’audit de la sécurité des systèmes d’information
    •  Avoir une structure organisationnelle dédiée exclusivement à l’audit de la sécurité des systèmes d’information
    •  Remplir les conditions figurant dans le référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information
    •  Être qualifié au minimum dans trois (03) domaines d’audit (audit organisationnel et physique, audit d’architecture, audit de configuration, tests d’intrusion, audit du code source, audit des systèmes industriels) et disposer d’un auditeur au minimum par domaine de qualification demandé.

    En outre, le prestataire d’audit doit, afin de fournir des prestations d’audit de la sécurité des systèmes d’information ayant la classification « CLASSE A », remplir les conditions suivantes :

    •  Le capital de la société doit être détenu majoritairement par des marocains ;
    •  Les auditeurs proposés doivent être de nationalité marocaine.
    - Constitution du dossier de la demande
    •  Formulaire de la demande de la qualification;
    •  Copie des statuts de la société
    •  Attestation d’inscription au registre de commerce
    •  Liste des noms des associés et leurs nationalités
    •  Copies des pièces d’identité des dirigeants de la société et ses organes d’administration ainsi que des auditeurs proposés
    •  Note indiquant les moyens humains et techniques de la société
    •  Copies des casiers judiciaires des auditeurs proposés
    •  Curriculums vitae des auditeurs proposés, selon le modèle suivant
    •  Copies des diplômes et certificats de formation des auditeurs proposés ;
    •  Copies des contrats de travail conclus avec les auditeurs proposés
    •  Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
    •  Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.
    - Etapes de la qualification

    La qualification se déroule en deux étapes avec l’obligation de valider une phase pour passer à la suivante, comme indiqué ci-après :

    Etape 1 - Pré-qualification :

    Cette étape consiste en l’analyse des éléments constituant le dossier de la demande de qualification. Après s’être assuré que le dossier de la demande comprend tous les documents et informations requis, l’autorité nationale soumet le prestataire d’audit de la sécurité des systèmes d’information, à ses frais, à une évaluation des prestations objet de la demande par l’un des organismes qu’elle désigne à cet effet. L'évaluation précitée s’effectue conformément au référentiel d’exigences relatif à la qualification des prestataires d’audit de la sécurité des systèmes d’information.

    Etape 2 – Qualification :

    Consiste en l’évaluation par l’organisme évaluateur désigné par la DGSSI :

    •  Des auditeurs et leur attribuer un niveau de qualification
    •  Des processus de l’entreprise (veille, formation et maintien des compétences, gestion des ressources, moyens de travail et outils etc.)
    •  De la sécurité des locaux et du système d’information du prestataire d’audit
    •  Des méthodologies de travail et des outils utilisés.

    Ces évaluation sont effectuées sous la supervision de la DGSSI.

     
    - Décision de qualification

    Au vu des résultats des évaluations précitées la DGSSI délivre la décision de qualification en indiquant notamment :

    •  La dénomination et l’adresse du siège social du prestataire d’audit
    •  Les domaines d’audit objet de la qualification, en indiquant que le prestataire peut auditer les systèmes d’information sensibles de CLASSE A ou de CLASSE B
    •  La durée de sa validité qui ne dépasse pas trois (03) ans
    •  La liste des auditeurs par domaines d’audit en indiquant leurs niveaux de qualification.
  •  Déclaration de modification

    Conformément à l’article 25 du décret n° 2-21-406 pour l’application de la loi 05.20 relative à la cybersécurité, tout prestataire d’audit de la sécurité des systèmes d’information (PASSI) informe, sans délai, l’autorité nationale (DGSSI) de toute modification intervenue dans l’un des éléments sur la base desquels la qualification a été délivrée. A cet effet, le formulaire de déclaration de modification doit être déposé par le PASSI auprès de la DGSSI, accompagné d’un dossier comportant les documents suivants, selon les cas :

    1. MODIFICATION DE LA RAISON SOCIALE
    •  Copie du nouveau statut
    •  Attestation d’inscription au registre du commerce.
    2. MODIFICATION DE L’ADRESSE DU SIÈGE SOCIALE
    •  Copie du nouveau statut
    •  Attestation d’inscription au registre du commerce.

    Il sied de préciser que, suite au changement d’adresse du siège sociale, l’évaluation de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par la DGSSI.

    3. MODIFICATION DES ASSOCIÉS ET/OU DES PARTS DU CAPITAL SOCIAL
    •  Copie du nouveau statut
    4. AJOUT D’UN NOUVEAU DOMAINE D’AUDIT
    •  Copies des attestations délivrées par les maîtres d’ouvrages au profit desquels ont été exécutées des prestations d’audit de la sécurité des systèmes d’information, et devant préciser notamment la nature de la prestation fournie et la date de sa réalisation
    •  Document décrivant la méthodologie appliquée pour conduire la prestation d’audit, objet de la demande de qualification.

    Il sied de préciser que, suite à l’ajout d’un nouveau domaine d’audit, l’évaluation des processus et de la sécurité physique des locaux de la société est requise afin de mettre à jour la décision de qualification. Cette évaluation se fera par un organisme évaluateur désigné par ladite direction. Par ailleurs, l’octroi de la qualification dans le(s) domaine(s) sollicitée(s) reste tributaire de la réussite des auditeurs candidats dans les examens d’évaluation dans ce(s) domaine(s).

    5. AJOUT D’UN AUDITEUR
    •  Copie de la pièce d'identité
    •  Copie du casier judiciaire
    •  Curriculums Vitae selon le modèle suivant
    •  Copie du contrat de travail
    •  Copies des diplômes et certificats de formation.

متعهدو افتحاص أمن نظم المعلومات المؤهلون

وفقا لأحكام المرسوم رقم 406-21-2 لتطبيق القانون رقم 20-05 المتعلق بالأمن السيبراني، يتعين على الهيئات والبنيات التحتية ذات الأهمية الحيوية المتوفرة على نظم معلومات حساسة أن تجري افتحاصات دورية لنظمها من طرف متعهدي افتحاص أمن نظم المعلومات المؤهلين من قبل المديرية العامة لأمن نظم المعلومات. ويستند هذا التأهيل، الذي يضمن الجودة والثقة، إلى التحقق من عدة معايير من بينها:

  •  المراجع المتعلقة بمقدمي الخدمات في الميدان.
  •  مؤهلات مواردها البشرية.
  •  فعالية و ملائمة الطرق والمعدات المستخدمة.
  •  تنظيم العمل والامتثال لأخلاقيات قواعد السلامة.
  •  قائمة متعهدي افتحاص أمن نظم المعلومات المؤهلين
    مقدمي الخدمةالمراجعة التنظيميةمراجعة البنىمراجعة التكويناتاختبارات الاختراقمراجعة الرموز المصدريةمراجعة النظم الصناعيةتاريخ انتهاء التأهيلفئة معلومات النظامقرار التأهيل
    LMPS CONSULTINGokokokokokok02/02/2027Classe BIcône PDF
    Deloitte Morocco Cyber Centerokokokokokok03/11/2026Classe BIcône PDF
    Techso Groupokokokokokok18/08/2026Classe BIcône PDF
    SEKERA SERVICESokokokokok 18/08/2026Classe A and Classe BIcône PDF
    NEAR SECUREokokokokokok18/08/2026Classe A and Classe BIcône PDF
    DATAPROTECTokokokokokok17/01/2026Classe A and Classe BIcône PDF
    PWC Advisoryok okok  12/01/2026Classe BIcône PDF
    Entreprise Services CDG (DXC Technology)okokokokok 10/03/2025Classe BIcône PDF
    Orange Business Marocokokokokokok10/03/2025Classe BIcône PDF
    Thales Holding Marocokokokokok 
    okقيد التنفيذ
    okموقوف (*)
    okمصادق عليه

    (*) تطبيقا لمقتضيات المادة 26 من المرسوم رقم 406-21-2 المتخذ لتطبيق القانون 20-05 المتعلق بالأمن السيبراني
  •   إجراءات التأهيل
    - شروط الأهلية
    •  التأسيس في شكل شركة خاضعة للقانون المغربي.
    •  التوفر على خبرة في ميدان افتحاص أمن نظم المعلومات.
    •  التوفر على بنية تنظيمية مخصصة حصريا لإفتحاص أمن نظم المعلومات.
    • استيفاء الشروط المنصوص عليها في   مرجع متطلبات متعهدي افتحاص أمن نظم المعلومات.
    •  التوفر على الأهلية على الأقل في مجالات الإفتحاص الثلاث (الإفتحاص التنظيمي والمادي، الإفتحاص الهندسي، إفتحاص الإعدادات، اختبارات الاختراق، افتحاص شفرة المصدر وافتحاص الأنظمة الصناعية) والتوفر على الأقل على مفتحص واحد في كل مجال من مجالات التأهيل المطلوبة.

    بالإضافة إلى ذلك، يجب على متعهدي الإفتحاص الراغبين في تقديم خدمات إفتحاص أمن نظم المعلومات ذات التصنيف "فئة أ"، استيفاء الشروط التالية:

    •   يجب أن يكون أغلبية رأس مال الشركة مملوكًا من لدن مغاربة.
    •  يجب أن يكون كل المفتحصون المقترحون من جنسية مغربية.
    - إعداد ملف الطلب
    •  استمارة طلب التأهيل.
    •  نسخة من النظام الأساسي للشركة.
    •  شهادة تقييد الشركة بالسجل التجاري.
    •  قائمة بأسماء الشركاء وجنسياتهم.
    •  نسخ من الوثائق المثبتة لهوية مسيري الشركة وأعضاء أجهزة إدارتها وكذا المفتحصين المقترحين.
    •  مذكرة توضح الموارد البشرية والتقنية للشركة.
    •  نسخة من السجل العدلي لكل فرد من المفتحصين المقترحين.
    •  السيرة الذاتية للمفتحصين المقترحين، وعند الاقتضاء نسخ من دبلوماتهم وشواهدهم.
    •  نسخ لعقود الشغل المبرمة مع المفتحصين المقترحين.
    •  نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها.
    •  وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
    - مراحل التأهيل

    يتم التأهيل على مرحلتين مع الالتزام بإنهاء المرحلة الأولى بنجاح قبل الانتقال إلى المرحلة الموالية، كما هو موضح أدناه:

    المرحلة 1 - التأهيل المسبق :

    تتمثل هذه المرحلة في تحليل عناصر ملف طلب التأهيل. بعد التأكد من أن ملف الطلب يتضمن جميع المستندات والمعلومات المطلوبة، تقوم السلطة الوطنية للأمن السيبراني وعلى نفقتها الخاصة، بإخضاع متعهد افتحاص أمن نظم المعلومات صاحب الطلب لتقييم الخدمات المتعلقة بطلبه من طرف إحدى المؤسسات التي تحددها لهذا الغرض. يتم إجراء التقييم المذكور أعلاه وفقا لمعيار شروط أهلية مقدمي خدمات افتحاص أمن نظم المعلومات.

    المرحلة 2 - التأهيل :

    تتمثل هذه المرحلة في تقييم ما يلي وذلك من طرف هيئة تقييم معيَّنة من قبل المديرية العامة لأمن نظم المعلومات :

    •  المفتحصين مع تنقيطهم حسب مؤهلاتهم.
    •  تسلسل عمليات المقاولة (الرصد والتدريب والحفاظ على المهارات وإدارة الموارد وأساليب العمل والأدوات إلخ.)
    •  أمن أماكن عمل متعهد افتحاص أمن نظم المعلومات.
    •  منهجيات العمل والأدوات المستخدمة.
    - قرار التأهيل

    في ضوء نتائج التقييمات المذكورة أعلاه، تصدر المديرية العامة لأمن نظم المعلومات قرار التأهيل بالإشارة الى :

    •  اسم وعنوان المقر الرئيسي لمتعهد افتحاص أمن نظم المعلومات.
    •  مجالات الإفتحاص موضوع التأهيل ،مع الاشارةإلى أن المتعهد يمكنه افتحاص نظم المعلومات الحساسة من « الفئة أ » أو « الفئة ب ».
    •  مدة الصلاحية التي لا تتجاوز ثلاث سنوات.
    •  قائمة المفتحصين أمن نظم المعلومات حسب مجالات الإفتحاص مع الاشارة إلى مستويات تأهيلهم.
  •  التصريح بالتعديل

    وفقا لمقتضيات المادة 25 من المرسوم رقم 406-21-2 لتطبيق القانون 20-05 المتعلق بالأمن السيبراني، يقوم متعهد افتحاص أمن نظم المعلومات بإخبار السلطة الوطنية، فورا، بكل تغيير يطرأ على أحد العناصر التي تم على أساسها منح التأهيل. تحقيقا لهذه الغاية، يجب على متعهد الإفتحاص تقديم استمارة الإبلاغ عن التعديل لدى المديرية العامة لأمن نظم المعلومات، مصحوبة بملف يحتوي على المستندات التالية، حسب الحالة :

    1. تعديل اسم الشركة
    •  نسخة من النظام الأساسي الجديد.
    •  شهادة تقييد الشركة في السجل التجاري.
    2. تغيير عنوان المقر الرئيسي:
    •  نسخة من النظام الأساسي الجديد للشركة.
    •  شهادة تقييد الشركة في السجل التجاري.

    توضيح: بعد تغيير عنوان المقر الرئيسي، يشترط تقييم الأمن المادي لمباني الشركة لتحديث قرار التأهيل. وذلك من طرف هيئة تقييم يتم تعيينها من قبل المديرية العامة لأمن نظم المعلومات .

    3. تعديل الشركاء و/أو جزء من رأس المال :
    •  نسخة من النظام الأساسي الجديد.
    4. إضافة مجال افتحاص جديد :
    •  نسخ من الشواهد المسلمة من أصحاب المشاريع الذين تم القيام لحسابهم بخدمات افتحاص أمن نظم المعلومات، والتي تشير على الخصوص إلى طبيعة الخدمة المقدمة وتاريخ إنجازها:
    •  وثيقة تبين المنهجية المتبعة للقيام بخدمات الإفتحاص موضوع طلب التأهيل.
    • توضيح: بعد إضافة مجال افتحاص جديد، يجب تقييم طرق المعالجة والأمن المادي لمباني الشركة من أجل تحديث قرار التأهيل. ويتم تنفيذ هذا التقييم من قبل هيئة التقييم المعينة من قبل المديرية العامة لأمن نظم المعلومات. علاوة على ذلك.

    يظل منح التأهيل في المجال (المجالات) المطلوب (ة) مرهون بنجاح المفتحصين المرشحين في امتحانات التقييم في هذا(ه) المجال (المجالات).

    5. إضافة مفتحص جديد :
 

Qualified Information Systems Security Audit Service Providers

In accordance with the provisions of Decree No. 2-21-406 for the implementation of Law No. 05-20 on cybersecurity, entities and critical infrastructure with sensitive information systems are required to undergo periodic audits of their systems by audit service providers qualified by the DGSSI. This qualification, which serves as a guarantee of quality and trust, is based on the verification of criteria attesting to, notably:

  •  The providers' references in the field
  •  Qualification of their human resources
  •  The effectiveness and adequacy of the methods and tools used
  •  Work organization and compliance with ethical and security rules.
  •  LIST OF QUALIFIED INFORMATION SYSTEMS SECURITY AUDIT SERVICE PROVIDERS
    Service ProviderOrganizational and Physical AuditArchitecture AuditConfiguration AuditIntrusion TestingSource Code AuditIndustrial Systems AuditEnd Date of QualificationInformation Systems ClassQualification Decision
    LMPS CONSULTINGokokokokokok02/02/2027Classe BIcône PDF
    Deloitte Morocco Cyber Centerokokokokokok03/11/2026Classe BIcône PDF
    Techso Groupokokokokokok18/08/2026Classe BIcône PDF
    SEKERA SERVICESokokokokok 18/08/2026Classe A and Classe BIcône PDF
    NEAR SECUREokokokokokok18/08/2026Classe A and Classe BIcône PDF
    DATAPROTECTokokokokokok17/01/2026Classe A and Classe BIcône PDF
    PWC Advisoryok okok  12/01/2026Classe BIcône PDF
    Entreprise Services CDG (DXC Technology)okokokokok 10/03/2025Classe BIcône PDF
    Orange Business Marocokokokokokok10/03/2025Classe BIcône PDF
    Thales Holding Marocokokokokok 
    ok
    Ongoing
    ok
    Suspended(*)
    ok
    Validated

    (*) In accordance with the provisions of Article 26 of Decree No. 2-21-406 issued for the implementation of Law No. 05-20 on cybersecurity
  •  Qualification Procedure
    - Eligibility criteria
    •  Being established as a Moroccan legal entity
    •  Having expertise in information systems security auditing
    •  Having a dedicated organizational structure exclusively for information systems security auditing
    •  Fulfill the requirements outlined in the reference framework for the qualification of information systems security audit service providers
    •  Be qualified in at least three (03) audit domains (organizational and physical audit, architecture audit, configuration audit, intrusion testing, source code audit, industrial systems audit) and have at least one auditor per requested qualification domain.

    Additionally, to provide information systems security audit services classified as "CLASS A," the audit service provider must meet the following conditions:

    •  The company's capital must be majority-owned by Moroccans.
    •  The proposed auditors must be of Moroccan nationality.
    - Preparation of the qualification application dossier:
    •  Qualification application form
    •  Copy of the company's articles of association
    •  Certificate of registration with the trade registry
    •  List of shareholders and their nationalities
    •  Copies of identification documents for the company's executives, administrative bodies, and proposed auditors
    •  Document outlining the company's human and technical resources
    •  Copies of the proposed auditors' criminal records
    •  Resumes of the proposed auditors, according to the following model
    •  Copies of diplomas and training certificates for the proposed auditors
    •  Copies of employment contracts with the proposed auditors
    •  Copies of certificates issued by clients for whom information systems security audit services have been provided, specifying the nature of the service provided and the date of completion
    •  Document describing the methodology used to conduct the audit service being requested for qualification.
    - Qualification process steps:

    The qualification process consists of two stages, with the obligation to validate one phase to proceed to the next, as indicated below:

    tage 1 - Pre-qualification :

    This stage involves analyzing the elements comprising the qualification application dossier. After ensuring that the application dossier includes all required documents and information, the national authority submits the information security audit provider, at their expense, to an evaluation of the services specified in the application by one of the designated organizations. The aforementioned evaluation is conducted in accordance with the requirements framework relating to the qualification of information security systems audit providers..

    Stage 2 - Qualification:

    This involves evaluation by the evaluator designated by the DGSSI:

    •  Auditors and assigning them a level of qualification.
    •  The company's processes (monitoring, training and skills maintenance, resource management, work tools, etc.).
    •  The security of the premises and the information system of the audit provider.
    •  Work methodologies and tools used.

    These evaluations are conducted under the supervision of the DGSSI.

     
    - Qualification Decision

    Based on the results of the aforementioned evaluations, the DGSSI issues the qualification decision, indicating:

    •  The name and address of the audit provider's headquarters.
    •  The audit domains subject to qualification, specifying that the provider can audit sensitive information systems of CLASS A or CLASS B
    •  The validity period, which does not exceed three (03) years.
    •  The list of auditors by audit domains, indicating their qualification levels.
  •  MODIFICATION DECLARATION

    According to Article 25 of Decree No. 2-21-406 implementing Law 05.20 on cybersecurity, any provider of information systems security audit services (PASSI) shall promptly inform the national authority (DGSSI) of any changes that have occurred in any of the elements upon which the qualification was granted. To this end, the modification declaration form must be submitted by the PASSI to the DGSSI, accompanied by a dossier containing the following documents, as applicable:

    1. CHANGE IN LEGAL ENTITY NAME
    •     Copy of the new articles of association (Statut)
    •   Certificate of registration with the Chamber of Commerce
    2. CHANGE IN REGISTERED OFFICE ADDRESS
    •   Copy of the new articles of association (Statut)
    •   Certificate of registration with the Chamber of Commerce.

    It should be noted that, following the change in the registered office address, an assessment of the physical security of the company's premises is required to update the qualification decision. This assessment will be conducted by an evaluator appointed by the DGSSI.

    3. CHANGE IN SHAREHOLDERS AND/OR SHARE CAPITAL
    •   Copy of the new articles of association (Statut)
    4. ADDITION OF A NEW AUDIT DOMAIN
    •   Copies of certificates issued by project owners for whom information system security audit services have been provided, specifying the nature of the service rendered and the date of completion.
    •   Document describing the methodology used to conduct the audit service requested for qualification.

    It should be noted that, following the addition of a new audit domain, the evaluation of the company's processes and physical security of its premises is required to update the qualification decision. This evaluation will be carried out by an evaluating body designated by the DGSSI. Furthermore, the granting of qualification in the requested domain(s) is contingent upon the success of the candidate auditors in the evaluation exams in this domain(s).

    5. ADDITION OF AN AUDITOR
    •   Copy of the identity document
    •   Copy of the criminal record
    •   Curriculum vitae according to the following template
    •   Copy of the employment contract
    •   Copies of diplomas and training certificates.

QUALIFIED ELECTRONIC SIGNATURE AND/OR SEAL CREATION DEVICES

According to Articles 8 and 17 of Law 43-20, the DGSSI is responsible for issuing certificates of conformity for qualified devices intended for the creation of electronic signatures or electronic seals. These certificates attest to the compliance of such devices with the requirements listed in the aforementioned articles of Law 43-20.

  •  QUALIFIED DEVICES FOR ELECTRONIC SIGNATURE OR ELECTRONIC SEAL CREATION

  •  Electronic Signature Creation Devices Attested by a Certificate of Conformity under Law 53-05 

CONTROL OF CRYPTOGRAPHY MEANS AND SERVICES

According to Article 46 of Law 43-20 on trust services for electronic transactions, the import, export, and provision of cryptographic means, as well as the provision of cryptographic services, are subject, as appropriate, to prior declaration or authorization from the national authority.

Some cryptographic means and services are exempt from the aforementioned formalities. The list of these means and services is defined in Annex 6 of Decree No. 2-22-687 issued for the implementation of Law No. 43-20.

Transitional measure

According to Article 34 of Decree No. 2-22-687 implementing Law No. 43-20, prior authorizations for the import, export, provision, operation, or use of cryptographic means or services issued in accordance with the provisions of Decree No. 2-08-518 implementing Law No. 53-05 remain valid until their expiration

To report any criminal digital content, including threats to the security of individuals and groups, praise or incitement of terrorism, and violations of the rights and freedoms of children, please use the following platform : www.e-blagh.ma

DGSSI2024 All rights reserved