L'obligation de notification des cyberattaques contre les infrastructures critiques s'appliquera à partir du 1er avril
Lors de sa séance du 7 mars 2025, le Conseil fédéral a mis en vigueur l'obligation de notification des cyberattaques contre les infrastructures critiques à partir du 1er avril. Les exploitants d'infrastructures critiques seront tenus de notifier les cyberattaques à l'Office fédéral de la cybersécurité (BACS) 24 heures après leur découverte. Ces notifications permettront à l'OFPC d'aider les personnes concernées à faire face aux cyberattaques et d'avertir à temps les exploitants d'infrastructures critiques.
En raison de la menace croissante des cyberincidents, une obligation de notification des cyberattaques sur les infrastructures critiques est introduite en Suisse. Les exploitants d'infrastructures critiques seront tenus de notifier les cyberattaques à l'Office fédéral de la cybersécurité (OCSE).
Le Conseil fédéral a mis en vigueur au 1er avril la modification de la loi fédérale sur la sécurité de l'information au sein de la Confédération (loi sur la sécurité de l'information, LSI) du 29 septembre 2023 nécessaire à cet effet. La LSI stipule que les autorités et organisations soumises à l'obligation de déclarer, comme par exemple l'approvisionnement en énergie ou en eau potable, les entreprises de transport et les administrations des cantons et des communes, doivent signaler les cyberattaques au BACS dans les 24 heures suivant leur découverte.
Une cyberattaque doit notamment être signalée si elle met en danger le fonctionnement de l'infrastructure critique concernée, si elle a entraîné une manipulation ou une fuite d'informations ou si elle est liée à un chantage, à des menaces ou à une contrainte. Si l'obligation de déclaration n'est pas respectée, la loi prévoit des amendes.
Afin de laisser aux personnes concernées suffisamment de temps pour s'adapter à la nouvelle obligation d'annonce, le Conseil fédéral a décidé de ne faire entrer en vigueur les bases légales pour les amendes qu'au 1er octobre 2025. L'obligation de déclarer s'appliquera donc pendant les 6 premiers mois, mais l'omission de déclarer ne sera pas encore sanctionnée.
Formulaire de notification de la BACS sur la plateforme existante
Afin de simplifier au maximum le processus de notification, l'OFPC met à disposition un formulaire de notification sur sa plateforme existante pour l'échange d'informations avec les exploitants d'infrastructures critiques. Les organisations qui n'ont pas accès à la plate-forme peuvent également transmettre les notifications par formulaire électronique, qui sera disponible sur le site web de l'OFPC. Si, lors de la première notification, toutes les informations ne peuvent pas être fournies dans les 24 heures, il existe un délai de 14 jours pour compléter la notification.
Le règlement sur la cybersécurité prévoit des exceptions
Par ailleurs, le Conseil fédéral a approuvé l'ordonnance sur la cybersécurité (OCS) et a également fixé son entrée en vigueur au 1er avril 2025. L'OCS contient les dispositions d'exécution relatives à l'obligation de déclarer et règle notamment les exceptions prévues à l'art. 74c de la LSI. En outre, l'ordonnance contient également des dispositions sur la stratégie cybernétique nationale, les tâches du BACS et l'échange d'informations du BACS avec les autorités et les organisations.
La consultation sur le CSV a été menée entre le 22 mai et le 13 septembre 2024 et a montré un large soutien au renforcement de la cybersécurité en Suisse. La principale préoccupation des parties concernées était que l'obligation de notification soit aussi simple que possible à remplir et qu'elle soit harmonisée avec d'autres obligations de notification (par exemple, les obligations de notification en matière de protection des données). Cette demande a pu être prise en compte. Le formulaire de déclaration du BACS permet de saisir rapidement les informations nécessaires et, sur demande, de les transmettre à d'autres autorités vis-à-vis desquelles il existe également une obligation de déclaration, par exemple à l'Autorité fédérale de surveillance des marchés financiers ou au Préposé fédéral à la protection des données et à la transparence.
Une autre ordonnance concerne le changement de nom lié à la transformation du Centre national de cybersécurité (NCSC) en un office fédéral au sein du DDPS. Afin de reproduire ce changement de nom dans les bases légales, le Conseil fédéral a édicté une ordonnance correspondante pour le 1er avril 2025.
Une étape importante pour la cybersécurité en Suisse
L'introduction de l'obligation de déclaration, première réglementation intersectorielle, est une étape importante pour la cybersécurité de la Suisse. Le renforcement de l'échange d'informations est essentiel pour faire face à l'évolution rapide des cybermenaces par des mesures appropriées. L'introduction de l'obligation de déclarer les cyberattaques en Suisse est conforme aux normes internationales. Depuis 2018, l'obligation de déclarer les cyberincidents est en vigueur dans tous les États membres de l'UE, conformément à la directive NIS.
