- Le Conseil national approuve l’obligation de déclarer les cyberattaques à fort potentiel de dommages au NCSC dans les 24 heures.
- L’obligation de notification concerne de nombreuses infrastructures critiques telles que les autorités, les banques, le secteur de la santé, la SSR, la Poste et les fournisseurs de centres de données.
- Controverse sur le délai de 24 heures et les amendes en cas de non-respect malgré la décision du NCSC ; le Conseil national suit le projet du Conseil fédéral.
- Le projet est transmis au Conseil des Etats pour traitement lors de la session d’été.
Le Conseil national se prononce en faveur de l’obligation pour les exploitants d’infrastructures critiques d’annoncer à l’avenir les cyberattaques présentant un potentiel de dommages important au NCSC dans les 24 heures (Communiqué de presse).
En modifiant la loi sur la sécurité de l’information, les exploitants d’infrastructures critiques devront à l’avenir annoncer les cyberattaques au Centre national de cybersécurité (NCSC). Seraient par exemple soumis à cette obligation le Conseil fédéral et le Parlement, le Ministère public de la Confédération, l’armée, les hautes écoles, les banques, les assurances privées et les infrastructures des marchés financiers, les établissements de santé, les laboratoires médicaux, les assurances sociales, la SSR, les prestataires de services postaux, les fournisseurs de centres de calcul, etc. Nous avons parlé a rapporté le message et le projet correspondants.
Le délai de 24 heures entre l’incident et la déclaration ainsi que l’amende en cas de violation de l’obligation de déclaration malgré la décision du NCSC ont été controversés au Conseil national. Dans les deux cas, la majorité du Conseil national s’en tient au projet du Conseil fédéral.
Le projet passe maintenant au Conseil des Etats, qui se penchera sur le projet lors de la session d’été.