- ISG et quatre ordonnances d’exécution sont entrées en vigueur le 1er janvier 2024.
- Les dispositions de modification avec obligation de notification des cyberattaques contre les infrastructures critiques sont encore en suspens.
- Le Parlement a adopté les modifications le 29 septembre 2023 ; le délai référendaire expire le 18 janvier.
- Le DDPS prévoit une consultation au cours du 1er semestre 2024 ; l’obligation d’annoncer devrait entrer en vigueur le 1er janvier 2025.
La loi sur la sécurité de l’information et ses quatre ordonnances d’application sont récemment entrées en vigueur au 1er janvier 2024 (voir ici). Ce paquet législatif ne comprend pas les dispositions de modification de la LSI, qui ont été mises en place pendant la procédure législative et qui prévoient notamment une obligation de notification des cyberattaques dans les infrastructures critiques. En vertu de ces dispositions, les exploitants d’infrastructures critiques sont tenus de notifier les cyberattaques au Centre national de cybersécurité dans un délai de 24 heures (pour plus de détails, cf. ici). Le Parlement a adopté Dispositions de modification de l’ISG adopté le 29 septembre 2023, le délai référendaire expire le 18 janvier.
Les dispositions d’ordonnance correspondantes sont actuellement élaborées par le Département de la défense, de la protection de la population et des sports (DDPS). Le DDPS a communiquée le 13 novembre 2023Le Conseil fédéral devrait lancer une consultation au cours du premier semestre 2024. On peut donc s’attendre à ce que les informations relatives à la procédure de consultation soient bientôt disponibles sur Fedlex (cf. consultations prévues, resp. consultations en cours).
Selon les indications du DDPS, les planifications sont actuellement axées sur l’entrée en vigueur des dispositions relatives à l’obligation de notification le 1er janvier 2025. Les exploitants d’infrastructures critiques auront donc vraisemblablement encore un peu plus d’un an pour se préparer aux nouvelles obligations.