Le Conseil fédéral met en consultation le projet d’ordonnance sur la cybersécurité

Berne, 22.05.2024 - Lors de sa séance du 22 mai 2024, le Conseil fédéral a ouvert la procédure de consultation concernant le projet d’ordonnance sur la cybersécurité. Cette ordonnance indique comment répondre à l’obligation de signaler les cyberattaques contre les infrastructures critiques, règle l’organisation permettant la mise en œuvre de la Cyberstratégie nationale et définit les tâches de l’Office fédéral de la cybersécurité nouvellement créé. Elle précise aussi quelles sont les autorités et les entreprises qui sont exemptées de l’obligation de signaler. La consultation prendra fin le 13 septembre prochain.

Le 29 septembre 2023, le Parlement a adopté la modification de la loi sur la sécurité de l’information afin d’y introduire l’obligation de signaler les cyberattaques contre les infrastructures critiques. Cette loi désigne désormais les autorités et les organisations soumises à cette obligation. Elle précise aussi que l’Office fédéral de la cybersécurité (OFCS) est l’organe réceptionnant les signalements.

Par l’ordonnance sur la cybersécurité (OCyS), le Conseil fédéral montre comment il entend concrétiser cette obligation de signaler et désigne les organes qui en sont exemptés. Ainsi, l’OCyS fixe le champ d’application de l’obligation pour les autorités et les organisations, définit les cyberattaques à signaler et précise les contenus devant être signalés. Elle indique aussi les procédures permettant de remplir ladite obligation et fixe les délais et la conclusion des signalements.

Exceptions à l’obligation de signaler

L’élément essentiel de l’OCyS est constitué par les dispositions sur les exceptions à l’obligation de signaler. Sont ainsi exemptées de cette obligation les autorités et organisations pour lesquelles une cyberattaque n’a pas d’effets immédiats sur le fonctionnement de l’économie ou sur le bien-être de la population. Dans divers secteurs – tels ceux de l’approvisionnement en énergie, des transports et des autorités – des valeurs limites ont été fixées au-dessous desquelles ces exceptions sont définies. Ainsi, toute autorité ou organisation pour laquelle le seuil de ces valeurs n’est pas atteint est exemptée. De plus, une dispense générale est accordée aux entreprises employant moins de cinquante personnes et affichant un chiffre d’affaires ou un bilan annuels inférieur à dix millions de francs ainsi qu’aux autorités responsables d’une communauté de moins de 1000 personnes.

Renforcement de la cybersécurité en Suisse

Par ailleurs, l’OCyS règle la gestion stratégique de la cybersécurité en Suisse et détermine les tâches, le mandat et la composition du comité de pilotage de la Cyberstratégie nationale. L’ordonnance concrétise aussi les tâches de l’OFCS et règle l’échange d’informations entre les exploitants d’infrastructures critiques. En matérialisant l’obligation de signaler les cyberattaques, la Suisse renforce sa cybersécurité et s’arme mieux contre les cybermenaces.

La procédure de consultation prendra fin le 13 septembre prochain.

Adresse pour l'envoi de questions

Communication OFCS
+41 58 465 53 56
media@ncsc.admin.ch