Le Centre national suisse de cybersécurité (NCSC) a annoncé une nouvelle obligation de déclaration pour les organisations d’infrastructures critiques du pays, les obligeant à signaler les cyberattaques à l’agence dans les 24 heures suivant leur découverte.
Selon l’annonce du NCSC, cette nouvelle exigence est introduite en réponse au nombre croissant d’incidents de cybersécurité et à leur impact sur le pays.
Voici des exemples de types de cyberattaques qui devront être signalés:
- Les cyberattaques qui compromettent le fonctionnement des infrastructures critiques
- Manipulation, cryptage ou exfiltration de données
- Extorsion, menaces et coercition
- Malware installé sur les systèmes
- Accès non autorisé aux systèmes
Le mandat est introduit par un amendement à la Loi sur la sécurité de l’information (ISA), qui entrera en vigueur le 1er avril 2025. La loi s’applique aux fournisseurs de services essentiels tels que les services publics, les administrations locales et les organisations de transport.
« Le Conseil fédéral a décidé que la modification de la Loi sur la sécurité de l’information (LSSI) du 29 septembre 2023 entrera en vigueur le 1er avril », peut-on lire dans l’annonce.
« L’ISA stipule que les autorités et organisations soumises à l’obligation de déclaration, telles que les fournisseurs d’énergie et d’eau potable, les entreprises de transport et les administrations cantonales et communales, doivent signaler les cyberattaques au NCSC dans les 24 heures suivant leur découverte. »
La liste complète de tous les types d’entités concernés par cette nouvelle exigence est publiée ici.
Une période de clémence sera accordée jusqu’au 1er octobre 2025, mais le non-respect après cette date entraînera des amendes pouvant aller jusqu’à 100 000 CHF (114 000$).
Les organisations touchées par un incident de cybersécurité devront le signaler via un formulaire en ligne sur le site du NCSC ou par e-mail, sans inscription requise.
Le premier rapport doit être soumis dans les 24 heures suivant la découverte des incidents, et un rapport de suivi avec des détails supplémentaires sera attendu dans les 14 prochains jours.
Il existe des dispositions pour des exceptions particulières en vertu de l’art. 74c du GSI, avec plus de détails disponibles ici.
La Suisse qualifie cette nouvelle exigence de jalon pour la cybersécurité dans le pays, notant qu’elle est conforme à la directive NIS, une législation sur la cybersécurité à l’échelle de l’UE qui s’applique aux opérateurs de services essentiels et aux fournisseurs de services numériques.