Bases légales de l'obligation de signaler

Service navigation

Recherche

Navigation

Bases légales de l'obligation de signaler

Le Conseil fédéral a décidé le 7 mars 2025 de promulguer au 1er avril 2025 l’obligation de signaler les cyberattaques contre des infrastructures critiques. Depuis cette date, les exploitants d’infrastructures critiques sont tenus d’annoncer les cyberattaques à l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant leur détection. L'obligation designaler est réglée dans la loi sur la sécurité de l'information (ISG) ainsi que dans l’ordonnance sur la cybersécurité (OCyS).

Loi sur la sécurité de l’information (LSI)

Un examen de la faisabilité d’introduire une obligation de signaler a déjà été exigé lors de l’établissement de la stratégie nationale de protection de la Suisse contre les cyberrisques pour les années 2018 à 2022. En 2021, le Conseil fédéral a décidé de créer les bases légales permettant d’introduire une telle obligation au moyen d’une adaptation de la loi sur la sécurité de l’information (LSI).

  • Il a mis en consultation la modification de cette dernière le 12 janvier 2022. La procédure a montré que les milieux économiques, le secteur de la recherche et les cantons seraient en principe favorables à la nouvelle exigence.

  • Le 2 décembre 2022, le Conseil fédéral a approuvé le message relatif à la modification de la LSI visant à mettre en place une obligation de signaler les cyberattaques contre les infrastructures critiques.

  • Le Parlement a adopté la modification de la LSI le 29 septembre 2023.

  • Le 7 mars 2025, lConseil fédéral a décidé de promulguer au 1er avril 2025 la modification de la loi fédérale sur la sécurité de l’information au sein de la Confédération.

La LSI précise que les autorités et les organisations assujetties, telles les entreprises œuvrant dans les domaines de l’approvisionnement énergétique et de l’approvisionnement en eau potable, les entreprises de transport et les autorités cantonales ou communales ont l’obligation de signaler les cyberattaques à l’OFCS dans les 24 heures suivant leur détection.

Ordonnance sur la cybersécurité (OCyS) 

Avec l’OCyS, le Conseil fédéral montre comment il entend concrétiser l’obligation de signaler et désigne les organes qui en seront exemptés. Ainsi, l’OCyS fixe les exceptions à la nouvelle obligation pour les autorités et les organisations, définit les cyberattaques à signaler et précise les contenus devant être annoncés. Elle indique aussi les procédures permettant de remplir cette obligation et règle les délais et la conclusion des signalements.

  • Le Conseil fédéral a mis l’OCyS en consultation le 22 mai 2024. La procédure a couru jusqu’au 13 septembre 2024.

  • Le 7 mars 2025, le Conseil fédéral a approuvé l’ordonnance sur la cybersécurité (OCyS) et fixé son entrée en vigueur au 1er avril 2025. L’OCyS contient les dispositions d’exécution relatives à l’obligation de signalement, réglementant notamment les exceptions.

Ordonnance sur la cybersécurité (OCyS) (PDF, 308 kB, 07.03.2025)

Informations complémentaires

Le Conseil fédéral met en consultation le projet d’ordonnance sur la cybersécurité

22.11.2023 - Secrétariat d’État à la politique de sécurité (SEPOS) et Office fédéral de la cybersécurité (OFCS) : le Conseil fédéral fixe des bases légales

02.12.2022 - Le Conseil fédéral soumet au Parlement le message concernant l'obligation de signaler les cyberattaques contre les infrastructures critiques

12.05.2022 - Large soutien des cantons et des milieux économiques à l'introduction d'une obligation de signaler les cyberattaques

Dernière modification 07.03.2025

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/meldepflicht/gesetzliche-grundlagen-mp.html