Le Conseil fédéral a décidé le 7 mars 2025 de promulguer au 1er avril 2025 l’obligation de signaler les cyberattaques contre des infrastructures critiques. Depuis cette date, les exploitants d’infrastructures critiques sont tenus d’annoncer les cyberattaques à l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant leur détection. Si toutes les informations requises ne peuvent pas être fournies dans les 24 heures, le délai pour compléter le signalement est de 14 jours.
Autorités et organisations assujetties à l’obligation de signaler
Le Conseil fédéral a décidé de promulguer au 1er avril 2025 la modification de la loi fédérale du 18 décembre 2020 sur la sécurité de l’information au sein de la Confédération (loi sur la sécurité de l’information, LSI) telle qu’adoptée par le Parlement le 29 septembre 2023. La LSI précise que les autorités et les organisations assujetties, telles les entreprises œuvrant dans les domaines de l’approvisionnement énergétique et de l’approvisionnement en eau potable, les entreprises de transport et les autorités cantonales ou communales ont l’obligation de signaler les cyberattaques à l’OFCS dans les 24 heures suivant leur détection.
Par ailleurs, le Conseil fédéral a approuvé l’ordonnance sur la cybersécurité (OCyS) et fixé son entrée en vigueur au 1er avril 2025. L’OCyS contient les dispositions d’exécution relatives à l’obligation de signalement, réglementant notamment les exceptions prévues à l’art. 74c de la LSI.
Cyberattaques à signaler
Une cyberattaque doit être signalée, notamment lorsqu’elle met en péril le fonctionnement de l’infrastructure critique concernée, a entraîné une manipulation ou une fuite d’informations, ou s’accompagne d’actes de chantage, de menaces ou de contrainte. La loi prévoit des amendes si l’obligation de signalement n’est pas respectée.
Mais le Conseil fédéral a décidé que les bases légales relatives aux amendes n’entreront en vigueur qu’au 1er octobre 2025 pour laisser le temps aux autorités et aux organisations concernées de s’adapter au nouveau système. L’obligation de signalement s’applique pendant les six premiers mois, mais sans sanction en l’absence de déclaration pendant cette période.
Procédure de signaler simple
Pour simplifier autant que possible le processus, l’OFCS a prévu un formulaire ad hoc sur la plateforme qu’elle a mise en place pour l’échange d’informations avec les exploitants d’infrastructures critiques.
Obligation de signaler les cyberattaques ciblant les infrastructures critiques : présentations en ligne
Présentations en ligne pour les communes
| Date | Horaire | Langue | Lien pour s’inscrire |
|---|---|---|---|
| 13.03.2025 | 12 h 00 – 13 h 00 | Allemand | Inscription |
| 27.03.2025 | 12 h 00 – 13 h 00 | Français | Inscription |
Présentation en ligne pour les entreprises
| Date | Horiare | Langue | Lien pour s'inscrire |
|---|---|---|---|
| 20.03.2025 | 12 h 00 – 13 h 00 | Allemand | Inscription |
Dernière modification 13.03.2025
