Loi sur la sécurité de l’information.
Modification (Inscription d’une obligation de signaler les cyberattaques contre les infrastructures critiques)
Au conseil national - le lundi 11 septembre 2023
Position des Banques Cantonales
Les Banques Cantonales saluent, sur le principe, la modification de la loi fédérale sur la sécurité de l’information au sein de la Confédération, tout en relevant deux aspects qui nécessitent des adaptations majeures :
- Les Banques Cantonales reprochent au projet le fait qu’il n’introduit pas seulement une obligation de signaler les cyberattaques, puisqu’il étend cette obligation au signalement des vulnérabilités. Du point de vue des Banques Cantonales, cette extension n’offre aucun avantage. La notion de « vulnérabilité » doit être supprimée de l’ensemble du projet, sauf à l’art. 73b, al. 3 P-LSI où cela paraît judicieux au vu du contexte (« prendre connaissance »).
- Les Banques Cantonales critiquent en outre le fait que le projet de réglementation englobe trop d’entreprises. Le nombre d’entreprises concernées et le nombre de cas qu’il serait raisonnable de soumettre à l’obligation de signaler pourraient être réduits si la réglementation visait uniquement les cyberattaques ayant des répercussions considérables sur le fonctionnement des infrastructures critiques. Cette proposition correspond à la position exprimée par la FINMA dans la Communication sur la surveillance 5/2020, selon laquelle la charge liée à l’obligation de signaler doit être définie en fonction des objectifs. L’art. 73d P-LSI doit être adapté en conséquence.
Explications relatives à l’objet
22.073: Objet du Conseil fédéral
Il s’agit d’inscrire dans la loi sur la sécurité de l’information une obligation de signaler les cyberattaques visant les infrastructures critiques. Les exploitants d’infrastructures critiques seraient tenus de signaler les cyberincidents au Centre national pour la cybersécurité (NCSC).
État d’avancement de l’objet
Le Conseil fédéral a publié son message en décembre 2022, suite à quoi la Commission de la politique de sécurité du Conseil national (CPS-N) a recommandé à son Conseil d’accepter l’obligation de signaler et de l’étendre aux vulnérabilités. Le Conseil national a suivi sa commission chargée de l’examen préalable et approuvé cette extension lors de la session de printemps 2023 ; le Conseil des États l'a rejetée. La majorité de la CPS-N propose désormais, à titre de compromis, de restreindre l’obligation de signalement en excluant les développements internes des entreprises concernées.