Une nouvelle régulation pour 2025.
Source : Pexels
À partir de 2025, les exploitants d'infrastructures critiques devront annoncer les cyberattaques à la Confédération. Le Conseil fédéral a récemment mis en consultation les détails de cette nouvelle ordonnance, qui précise également la stratégie cybernétique nationale et les responsabilités de l’Office fédéral de la cybersécurité (OFCS).
Contexte
La nouvelle loi sur la sécurité de l'information, entrée en vigueur début 2024, n'incluait pas l'obligation de déclaration des cyberattaques pour les infrastructures critiques. Cette lacune sera comblée en 2025 avec l’introduction de l’ordonnance sur la cybersécurité (OCyS). Les exploitants devront alors se conformer à de nouvelles directives strictes pour signaler toute cyberattaque susceptible d'affecter l'économie ou le bien-être de la population.
Détails
L'ordonnance décrit comment l'obligation de notification doit être mise en œuvre, en précisant les exceptions. Par exemple, les autorités et organisations pour lesquelles une cyberattaque n'a pas d'impact direct sur l'économie ou la population seront exemptées. De plus, les seuils de déclaration sont clairement définis. Les entreprises du secteur de l'énergie ou des transports publics doivent se conformer à ces seuils.
Les fournisseurs de services cloud, moteurs de recherche, et centres de calcul situés en Suisse sont soumis à l'obligation de déclaration uniquement s'ils offrent leurs services à des tiers contre rémunération. Les centres de calcul qui servent uniquement leurs propres besoins sont exempts de cette obligation.
Exceptions
L'ordonnance prévoit des exceptions pour les petites entreprises et les petites communes. Les entreprises employant moins de cinquante personnes et ayant un chiffre d'affaires ou un bilan annuel inférieur à dix millions de francs, ainsi que les communes de moins de 1000 habitants, sont généralement exemptées. Toutefois, les fournisseurs de services et infrastructures essentiels à l'exercice des droits politiques doivent toujours déclarer les cyberattaques, même dans les petites communes.
Une étude récente révèle que de nombreuses entreprises ignorent si elles doivent déclarer les cyberattaques. Pour remédier à cette incertitude, l’OFCS offre aux autorités et organisations la possibilité de demander si elles sont soumises à l'obligation de déclaration. Elles doivent fournir les documents nécessaires pour évaluer leur situation. L'OFCS peut également fournir des informations actualisées, mais il incombe aux organisations de se conformer immédiatement aux nouvelles obligations en cas de changement significatif.
La consultation de l'ordonnance sur la cybersécurité (OCyS) se poursuivra jusqu'au 13 septembre 2024. Cette période de consultation permet aux parties prenantes de fournir des retours et de s'assurer que les dispositions répondent aux besoins et aux préoccupations des exploitants d'infrastructures critiques.
L’ordonnance sur la cybersécurité marque un pas important vers une meilleure gestion des cyberrisques pour les infrastructures critiques en Suisse. En réglementant l'obligation de déclaration des cyberattaques, la Confédération vise à renforcer la résilience du pays face aux menaces numériques et à protéger ses intérêts économiques et sociaux. Les parties prenantes sont encouragées à participer activement à la consultation pour assurer la mise en place d'un cadre efficace et adapté aux défis actuels.