{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20220073,Language='FR')/Transcripts"}},"ID":20220073,"Language":"FR","BusinessShortNumber":"22.073","BusinessType":1,"BusinessTypeName":"Objet du Conseil f\u00e9d\u00e9ral","BusinessTypeAbbreviation":"OCF","Title":"Loi sur la s\u00e9curit\u00e9 de l'information. Modification (Inscription d'une obligation de signaler les cyberattaques contre les infrastructures critiques)","Description":"Message du 2 d\u00e9cembre 2022 relatif \u00e0 la modification de la loi f\u00e9d\u00e9rale sur la s\u00e9curit\u00e9 de l\u2019information au sein de la Conf\u00e9d\u00e9ration (Inscription d\u2019une obligation de signaler les cyberattaques contre les infrastructures critiques)","InitialSituation":"<h2 class=\"Titel_d\"><strong>Communiqu\u00e9 de presse du Conseil f\u00e9d\u00e9ral du 02.12.2022</strong></h2><p class=\"Standard_d\"><strong>Le Conseil f\u00e9d\u00e9ral soumet au Parlement le message concernant l'obligation de signaler les cyberattaques contre les infrastructures critiques</strong></p><p class=\"Standard_d\"><strong>Le Conseil f\u00e9d\u00e9ral souhaite mettre en place une obligation de signaler les cyberattaques contre les infrastructures critiques. \u00c0 sa s\u00e9ance du 2 d\u00e9cembre 2022, il a adopt\u00e9 \u00e0 cette fin et soumis au Parlement le message relatif \u00e0 la modification de la loi sur la s\u00e9curit\u00e9 de l'information au sein de la Conf\u00e9d\u00e9ration. Le projet cr\u00e9e les bases l\u00e9gales n\u00e9cessaires \u00e0 l'obligation de signaler pour les exploitants d'infrastructures critiques et d\u00e9finit les t\u00e2ches du Centre national pour la cybers\u00e9curit\u00e9 (NCSC), qu'il institue comme guichet unique de signalement des cyberattaques.</strong></p><p class=\"Standard_d\">Les cyberattaques peuvent avoir de lourdes cons\u00e9quences sur la disponibilit\u00e9 et la s\u00e9curit\u00e9 de l'\u00e9conomie suisse. Chaque jour, la population, les autorit\u00e9s et les entreprises sont expos\u00e9es \u00e0 un risque de cyberattaque. \u00c0 l'heure actuelle, iI manque une vue d'ensemble des attaques qui se sont produites \u00e0 tel ou tel autre endroit, car les signalements au NCSC se font sur une base volontaire. Une obligation de signaler permettra au NCSC d'avoir un meilleur aper\u00e7u des cyberattaques survenues en Suisse et des modes op\u00e9ratoires des cyberpirates. Le NCSC sera en mesure de mieux appr\u00e9cier la situation et pourra avertir \u00e0 temps les exploitants d'infrastructures critiques. En mettant en place une telle obligation, le Conseil f\u00e9d\u00e9ral entend s'assurer que tous les exploitants d'infrastructures critiques participent \u00e0 l'\u00e9change d'informations et contribuent ainsi \u00e0 l'alerte pr\u00e9coce.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Les participants \u00e0 la consultation largement favorables \u00e0 une obligation de signaler</p><p class=\"Standard_d\">Le Conseil f\u00e9d\u00e9ral a pris connaissance des r\u00e9sultats de la consultation sur le projet de modification de la loi \u00e0 sa s\u00e9ance du 2 d\u00e9cembre 2022. Au total, 99 avis ont \u00e9t\u00e9 \u00e9mis par les cantons, les exploitants d'infrastructures critiques et les repr\u00e9sentants des milieux scientifiques et \u00e9conomiques. A une large majorit\u00e9, les participants \u00e0 la consultation se sont montr\u00e9s favorables au projet. La mise en place d'une obligation de signaler et l'institutionnalisation du NCSC en tant que guichet national de signalement sont consid\u00e9r\u00e9es comme des \u00e9tapes importantes pour am\u00e9liorer la cybers\u00e9curit\u00e9 en Suisse. L'une des principales pr\u00e9occupations formul\u00e9es est que cette obligation soit mise en oeuvre avec le moins de formalit\u00e9s possible et qu'elle n'entra\u00eene pas de charge administrative suppl\u00e9mentaire importante.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Soutien de la part du NCSC en cas de cyberattaques</p><p class=\"Standard_d\">Afin que les signalements soient aussi simples que possible \u00e0 effectuer, le NCSC mettra \u00e0 disposition un formulaire \u00e9lectronique qui pourra \u00eatre rempli facilement et, au besoin, \u00eatre transmis directement \u00e0 d'autres services. En outre, le projet de modification de la loi n'oblige pas seulement les entreprises \u00e0 participer \u00e0 la protection contre les cyberattaques, mais contraint \u00e9galement le NCSC \u00e0 offrir aux auteurs de signalements, \u00e0 titre subsidiaire, un soutien pour faire face aux cyberattaques. Par ailleurs, la loi d\u00e9finit la mani\u00e8re dont le NCSC aide les entreprises et la population \u00e0 se prot\u00e9ger contre les cybermenaces. Elle r\u00e8gle notamment la fonction du NCSC en tant que guichet pour les questions relatives aux cybermenaces et pour le signalement des cyberattaques.</p>","Proceedings":"<h4 class=\"SDA_Meldung_d\">D\u00e9p\u00eache ATS</h4><h3 class=\"Debatte_sda_linksb\u00fcndig_d\"><strong>D\u00e9lib\u00e9rations au Conseil national, 16.03.2023</strong></h3><p class=\"Standard_d\"><strong>Oui \u00e0 l'obligation de signaler les cyberattaques</strong></p><p class=\"Standard_d\"><strong>La Suisse doit renforcer sa capacit\u00e9 de r\u00e9sistance aux cyberattaques. Le National a adopt\u00e9 jeudi par 132 voix contre 55 l'obligation de signaler des incidents contre les infrastructures critiques. Il a \u00e9tendu le projet aux vuln\u00e9rabilit\u00e9s des syst\u00e8mes informatiques.</strong></p><p class=\"Standard_d\">Les cyberattaques sont devenues l'une des principales menaces pour la s\u00e9curit\u00e9 et l'\u00e9conomie de la Suisse. Entre 2020 et 2022, leur nombre a tripl\u00e9, passant de pr\u00e8s de 11'000 \u00e0 plus de 34'000. Elles touchent indiff\u00e9remment des entreprises comme des administrations publiques.</p><p class=\"Standard_d\">Actuellement, iI manque une vue d'ensemble, car les signalements au Centre national pour la cybers\u00e9curit\u00e9 (NCSC) se font sur une base volontaire. Une obligation de signaler permettra d'avoir un meilleur aper\u00e7u des cyberattaques survenues en Suisse et leur mode op\u00e9ratoire, a d\u00e9clar\u00e9 Gerhard Andrey (Vert-e-s/FR) au nom de la commission.</p><p class=\"Standard_d\">\u00c9nergie, transports, eau, sant\u00e9 constituent des infrastructures essentielles. La s\u00e9curit\u00e9 de ces infrastructures est devenue d'autant plus importante depuis la guerre en Ukraine, selon Edith Graf-Litscher (PS/TG). Le grand d\u00e9fi est de faire face \u00e0 des assaillants qui changent sans cesse de m\u00e9thode, a ajout\u00e9 la cheffe du D\u00e9partement f\u00e9d\u00e9ral de la D\u00e9fense Viola Amherd.</p><p class=\"Standard_d\">Le signalement sera obligatoire si une cyberattaque grave met en p\u00e9ril le fonctionnement de l'infrastructure critique touch\u00e9e. Le National veut \u00e9galement \u00e9tendre l'obligation d'annonce aux vuln\u00e9rabilit\u00e9s des \u00e9quipements informatiques.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Le NCSC guichet unique</p><p class=\"Standard_d\">Le Centre national pour la cybers\u00e9curit\u00e9 (NCSC), cr\u00e9\u00e9 en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra \u00e0 disposition un formulaire \u00e9lectronique qui pourra \u00eatre rempli facilement.</p><p class=\"Standard_d\">En outre, le NCSC devra offrir une \u00e9valuation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un \"premier secours\", a indiqu\u00e9 la conseill\u00e8re f\u00e9d\u00e9rale. Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum.</p><p class=\"Standard_d\">L'UDC aurait voulu biffer la sanction. \"Le risque d'amende risque de d\u00e9motiver certains en mati\u00e8re de cybers\u00e9curit\u00e9\", a relev\u00e9 David Zuberb\u00fcller (UDC/UR). Il faut au contraire cr\u00e9er une incitation maximum \u00e0 la transparence.</p><p class=\"Standard_d\">\"L'objectif n'est pas de punir\", a r\u00e9pondu la ministre de la D\u00e9fense. Cette disposition est pr\u00e9vue seulement si une entreprise refuse activement de signaler un probl\u00e8me grave. Elle a \u00e9t\u00e9 largement suivie.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">D\u00e9lai de 24 heures</p><p class=\"Standard_d\">Pour garantir une alerte pr\u00e9coce, le signalement devra \u00eatre fait dans les 24 heures suivant la d\u00e9tection de la cyberattaque ou de la vuln\u00e9rabilit\u00e9 num\u00e9rique. \"Les premi\u00e8res heures sont cruciales\", a pr\u00e9cis\u00e9 Fabien Fivaz (Vert-e-s/NE).</p><p class=\"Standard_d\">David Zuberb\u00fcller (UDC/UR) a mis en doute cette r\u00e8gle. En cas d'attaque de masse, un tel d\u00e9lai est trop court et devrait \u00eatre prolong\u00e9 \u00e0 72 heures. Il faut laisser la possibilit\u00e9 aux entreprises d'\u00e9valuer elles-m\u00eames l'ampleur de l'attaque avant de la signaler.</p><p class=\"Standard_d\">Viola Amherd a pr\u00e9cis\u00e9 que si une entreprise n'a pas toutes les informations en mains dans le d\u00e9lai requis, elle peut compl\u00e9ter ult\u00e9rieurement son signalement. Elle a \u00e0 nouveau convaincu la majorit\u00e9.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Centrales nucl\u00e9aires, transports, h\u00f4pitaux</p><p class=\"Standard_d\">Les domaines d'activit\u00e9 soumis \u00e0 l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorit\u00e9s, les h\u00f4pitaux, les entreprises actives dans l'\u00e9nergie, les hautes \u00e9coles, les organisations ayant des t\u00e2ches publiques (sauvetage, traitement des eaux), les banques et les assurances.</p><p class=\"Standard_d\">Il y a aussi les services informatiques et de t\u00e9l\u00e9communications, la SSR et les agences de presse, les fournisseurs de m\u00e9dicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services num\u00e9riques et fabricants informatiques.</p><p class=\"Standard_d\">Lors de la consultation, les milieux int\u00e9ress\u00e9s se sont montr\u00e9s largement favorables \u00e0 cette r\u00e9vision de la loi sur la s\u00e9curit\u00e9 de l'information.</p><p>&nbsp;</p><h4 class=\"SDA_Meldung_d\">D\u00e9p\u00eache ATS</h4><h3 class=\"Debatte_sda_linksb\u00fcndig_d\"><strong>D\u00e9lib\u00e9rations au Conseil des \u00c9tats, 01.06.2023</strong></h3><p class=\"Standard_d\"><strong>Le Parlement favorable \u00e0 l'obligation de signaler les cyberattaques</strong></p><p class=\"Standard_d\"><strong>La Suisse doit renforcer sa capacit\u00e9 de r\u00e9sistance aux cyberattaques. Apr\u00e8s le National, le Conseil des \u00c9tats a approuv\u00e9 jeudi \u00e0 l'unanimit\u00e9 l'obligation de signaler des incidents contre les infrastructures critiques. Le projet ne doit toutefois pas \u00eatre \u00e9tendu aux vuln\u00e9rabilit\u00e9s des syst\u00e8mes informatiques.</strong></p><p class=\"Standard_d\">Les cyberattaques sont devenues l'une des principales menaces pour la s\u00e9curit\u00e9 et l'\u00e9conomie de la Suisse. Entre 2020 et 2022, leur nombre a tripl\u00e9, passant de pr\u00e8s de 11'000 \u00e0 plus de 34'000. Elles touchent indiff\u00e9remment des entreprises comme des administrations publiques.</p><p class=\"Standard_d\">Actuellement, iI manque une vue d'ensemble, car les signalements au Centre national pour la cybers\u00e9curit\u00e9 (NCSC) se font sur une base volontaire. Une obligation de signaler permettra de conna\u00eetre rapidement les nouveaux modes op\u00e9ratoires, a indiqu\u00e9 la ministre de la d\u00e9fense Viola Amherd. \"Il s'agit de renforcer l'\u00e9change d'informations.\"</p><p class=\"Standard_d\">Le signalement sera obligatoire si une cyberattaque grave met en p\u00e9ril le fonctionnement de l'infrastructure critique touch\u00e9e. Le National a \u00e9tendu cette obligation d'annonce aux vuln\u00e9rabilit\u00e9s des \u00e9quipements informatiques.</p><p class=\"Standard_d\">Le Conseil des \u00c9tats n'a pas suivi, par 31 voix contre 13. Cette disposition n'est pas assez pr\u00e9cise et am\u00e8nerait davantage de charge administrative, a estim\u00e9 Hans Wicki (PLR/NW). Seulement la gauche et quelques centristes ne l'ont pas entendu.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Le NCSC guichet unique</p><p class=\"Standard_d\">Le NCSC, cr\u00e9\u00e9 en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra \u00e0 disposition un formulaire \u00e9lectronique qui pourra \u00eatre rempli facilement.</p><p class=\"Standard_d\">En outre, le NCSC devra offrir une \u00e9valuation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un \"premier secours\". Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum. Cette disposition est pr\u00e9vue seulement si une entreprise refuse activement de signaler un probl\u00e8me grave.</p><p class=\"Standard_d\">Pour garantir une alerte pr\u00e9coce, le signalement devra \u00eatre fait dans les 24 heures suivant la d\u00e9tection de la cyberattaque ou de la vuln\u00e9rabilit\u00e9 num\u00e9rique, a pr\u00e9cis\u00e9 Andrea Gm\u00fcr-Sch\u00f6nenberger (Centre/LU).</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Centrales nucl\u00e9aires, transports, h\u00f4pitaux</p><p class=\"Standard_d\">Les domaines d'activit\u00e9 soumis \u00e0 l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorit\u00e9s, les h\u00f4pitaux, les entreprises actives dans l'\u00e9nergie, les hautes \u00e9coles, les organisations ayant des t\u00e2ches publiques (sauvetage, traitement des eaux), les banques et les assurances.</p><p class=\"Standard_d\">Il y a aussi les services informatiques et de t\u00e9l\u00e9communications, la SSR et les agences de presse, les fournisseurs de m\u00e9dicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services num\u00e9riques et fabricants informatiques.</p><p>&nbsp;</p><h4 class=\"SDA_Meldung_d\">D\u00e9p\u00eache ATS</h4><h3 class=\"Debatte_sda_linksb\u00fcndig_d\"><strong>D\u00e9lib\u00e9rations au Conseil national, 11.09.2023</strong></h3><p class=\"Standard_d\"><strong>Le National tient \u00e0 l'obligation de signaler les vuln\u00e9rabilit\u00e9s</strong></p><p class=\"Standard_d\"><strong>Non seulement les cyberattaques mais aussi les vuln\u00e9rabilit\u00e9s des syst\u00e8mes informatiques doivent \u00eatre obligatoirement signal\u00e9es. Le National a maintenu lundi, par 102 voix contre 80, cette divergence dans ce projet gouvernemental visant \u00e0 mieux signaler les incidents contre les infrastructures critiques.</strong></p><p>Les deux Chambres s'accordent pour que la Suisse renforce sa capacit\u00e9 de r\u00e9sistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en p\u00e9ril le fonctionnement de l'infrastructure critique touch\u00e9e.</p><p>La Chambre du peuple voulait \u00e9galement \u00e9tendre l'obligation d'annonce aux vuln\u00e9rabilit\u00e9s des \u00e9quipements informatiques, mais celle des cantons n'en a pas voulu. Le National propose d\u00e9sormais, \u00e0 titre de compromis, de restreindre cette obligation de signalement en excluant les vuln\u00e9rabilit\u00e9s r\u00e9sultant de d\u00e9veloppements internes de l'entreprise concern\u00e9e.</p><p>La s\u00e9curit\u00e9 informatique est l'affaire de toutes et tous, a avanc\u00e9 Fabien Fivaz (Vert-e-s/NE). Cet effort suppl\u00e9mentaire est justifi\u00e9 pour une meilleure s\u00e9curit\u00e9, a abond\u00e9 Ida Glanzmann-Hunkeler (Centre/LU). Il ne repr\u00e9sente pas une augmentation inconsid\u00e9r\u00e9e des co\u00fbts, a relev\u00e9 Fran\u00e7ois Pointet (PVL/VD) pour la commission.</p><p>Les mesures pr\u00e9vues sont suffisantes, a oppos\u00e9 Doris Fiala (PLR/ZH). David Zuberb\u00fchler (UDC/AR) a rejet\u00e9 une trop grande charge administrative pour les entreprises et l'Etat. La disposition n'est pas clairement d\u00e9finie et n'apporte pas assez de plus-value, selon la cheffe du D\u00e9partement f\u00e9d\u00e9ral de la d\u00e9fense Viola Amherd. Sans succ\u00e8s.</p><p>&nbsp;</p><h4 class=\"SDA_Meldung_d\">D\u00e9p\u00eache ATS</h4><h3 class=\"Debatte_sda_linksb\u00fcndig_d\"><strong>D\u00e9lib\u00e9rations au Conseil des Etats, 19.09.2023</strong></h3><p class=\"Standard_d\"><strong>Pas d'obligation de signaler les vuln\u00e9rabilit\u00e9s</strong><br><strong>La Suisse doit renforcer sa capacit\u00e9 de r\u00e9sistance aux cyberattaques. Le Parlement s'est accord\u00e9 sur ce point. Mais, contrairement au National, le Conseil des Etats ne veut pas \u00e9tendre l'obligation de signalement aux vuln\u00e9rabilit\u00e9s des syst\u00e8mes informatiques. Il a maintenu mardi sa position.</strong></p><p class=\"Standard_d\">Les deux Chambres s'accordent pour que la Suisse renforce sa capacit\u00e9 de r\u00e9sistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en p\u00e9ril le fonctionnement de l'infrastructure critique touch\u00e9e.</p><p class=\"Standard_d\">La Chambre du peuple voulait \u00e9galement \u00e9tendre l'obligation d'annonce aux vuln\u00e9rabilit\u00e9s des \u00e9quipements informatiques, mais celle des cantons n'en a pas voulu. Le National a ensuite propos\u00e9, \u00e0 titre de compromis, de restreindre cette obligation de signalement en excluant les vuln\u00e9rabilit\u00e9s r\u00e9sultant de d\u00e9veloppements internes de l'entreprise concern\u00e9e.</p><p>&nbsp;</p><p class=\"Standard_d\">\"Les cyberattaques de demain\"</p><p class=\"Standard_d\">Mathias Zopfi (Vert-e-s/GL) voulait suivre ce compromis tout en allant plus loin. Il proposait d'exclure aussi les vuln\u00e9rabilit\u00e9s r\u00e9sultant de d\u00e9veloppements r\u00e9alis\u00e9s par des tiers pour le compte de l'entreprise concern\u00e9e. Il voulait aussi pr\u00e9ciser qu'une vuln\u00e9rabilit\u00e9 doit \u00eatre signal\u00e9e quand elle pr\u00e9sente un degr\u00e9 de gravit\u00e9 critique.</p><p class=\"Standard_d\">Alors que le Parlement est d'avis que le signalement d'une cyberattaque doit avoir lieu dans les 24 heures suivant la d\u00e9tection, le d\u00e9lai pour l'annonce d'une vuln\u00e9rabilit\u00e9 doit se monter \u00e0 sept jours, a encore ajout\u00e9 M. Zopfi. Cette annonce peut \u00eatre anonyme. Les infrastructures critiques ne devraient pas chercher les vuln\u00e9rabilit\u00e9s mais seulement les signaler quand elles ont \u00e9t\u00e9 d\u00e9tect\u00e9es, a-t-il pr\u00e9cis\u00e9.</p><p class=\"Standard_d\">\"Les vuln\u00e9rabilit\u00e9s d'aujourd'hui sont les cyberattaques de demain\", a appuy\u00e9 Charles Juillard (Centre/JU), parlant de \"pr\u00e9vention\" et d'\"anticipation\". Les s\u00e9nateurs n'ont rien voulu savoir, par 32 voix contre 12, au grand dam de la gauche et du centriste jurassien.</p><p>&nbsp;</p><p class=\"Standard_d\">Trop grande charge administrative</p><p class=\"Standard_d\">Les vuln\u00e9rabilit\u00e9s ne sont pas comparables entre les diff\u00e9rentes infrastructures informatiques, a avanc\u00e9 Andrea Gm\u00fcr-Sch\u00f6nenberger (Centre/LU) pour la commission. Et de craindre une trop grande charge administrative et un syst\u00e8me qui se verrait affaibli plut\u00f4t que renforc\u00e9.</p><p class=\"Standard_d\">C'est disproportionn\u00e9, a soutenu Hans Wicki (PLR/NW). La ministre de la d\u00e9fense Viola Amherd a plaid\u00e9 pour une annonce de vuln\u00e9rabilit\u00e9 sur une base volontaire avant d'inscrire une obligation dans la loi.</p><p>&nbsp;</p><h4 class=\"SDA_Meldung_d\">D\u00e9p\u00eache ATS</h4><h3 class=\"Debatte_sda_linksb\u00fcndig_d\"><span style=\"color:#221E1F;\"><strong>D\u00e9lib\u00e9rations au Conseil national, 21.09.2023</strong></span></h3><p class=\"Standard_d\"><strong>Les cyberattaques devront \u00eatre obligatoirement signal\u00e9es</strong><br><strong>La Suisse doit renforcer sa capacit\u00e9 de r\u00e9sistance aux cyberattaques. Celles-ci devront obligatoirement \u00eatre signal\u00e9es, mais pas les vuln\u00e9rabilit\u00e9s. Le National a rejoint jeudi par 98 voix contre 59 le Conseil des Etats sur ce dernier point, au grand dam de la gauche et de quelques \u00e9lus PVL.</strong></p><p class=\"Standard_d\">Les deux Chambres s'\u00e9taient d\u00e9j\u00e0 accord\u00e9es pour que la Suisse renforce sa capacit\u00e9 de r\u00e9sistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en p\u00e9ril le fonctionnement de l'infrastructure critique touch\u00e9e.</p><p class=\"Standard_d\">La Chambre du peuple voulait \u00e9galement \u00e9tendre l'obligation d'annonce aux vuln\u00e9rabilit\u00e9s des \u00e9quipements informatiques sous conditions, mais celle des cantons n'en a pas voulu.</p><p class=\"Standard_d\">Le National a finalement pli\u00e9. Il est trop t\u00f4t pour passer \u00e0 une telle obligation, une p\u00e9riode d'observation est n\u00e9cessaire, a conc\u00e9d\u00e9 Fran\u00e7ois Pointet (PVL/VD) pour la commission. Cela va trop loin alors que les infrastructures concern\u00e9es n'ont pas pu se prononcer sur ce point, a compl\u00e9t\u00e9 David Zuberb\u00fchler (UDC/AR).</p><p class=\"Standard_d\">Il faut travailler ensemble avec le monde de l'\u00e9conomie, a abond\u00e9 la ministre de la d\u00e9fense Viola Amherd. Une telle obligation affaiblirait cette collaboration bas\u00e9e sur la confiance. Et de plaider pour des annonces sur une base volontaire en premier lieu.</p><p class=\"Standard_d\">Les vuln\u00e9rabilit\u00e9s sont au coeur du probl\u00e8me, si elles ne sont pas corrig\u00e9es, c'est une porte ouverte aux cyberattaques, a contr\u00e9 Fabien Fivaz (Vert-e-s/NE). \"C'est un compromis du compromis, seules les vuln\u00e9rabilit\u00e9s critiques doivent \u00eatre signal\u00e9es lorsqu'elles concernent des \u00e9l\u00e9ments essentiels\", a-t-il d\u00e9clar\u00e9. En vain.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Le NCSC guichet unique</p><p class=\"Standard_d\">Le NCSC, cr\u00e9\u00e9 en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra \u00e0 disposition un formulaire \u00e9lectronique qui pourra \u00eatre rempli facilement.</p><p class=\"Standard_d\">En outre, le NCSC devra offrir une \u00e9valuation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un \"premier secours\". Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum. Cette disposition est pr\u00e9vue seulement si une entreprise refuse activement de signaler un probl\u00e8me grave.</p><p class=\"Standard_d\">Pour garantir une alerte pr\u00e9coce, le signalement devra \u00eatre fait dans les 24 heures suivant la d\u00e9tection de la cyberattaque ou de la vuln\u00e9rabilit\u00e9 num\u00e9rique.</p><p class=\"Standard_d\">&nbsp;</p><p class=\"Standard_d\">Centrales nucl\u00e9aires, transports, h\u00f4pitaux</p><p class=\"Standard_d\">Les domaines d'activit\u00e9 soumis \u00e0 l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorit\u00e9s, les h\u00f4pitaux, les entreprises actives dans l'\u00e9nergie, les hautes \u00e9coles, les organisations ayant des t\u00e2ches publiques (sauvetage, traitement des eaux), les banques et les assurances.</p><p class=\"Standard_d\">Il y a aussi les services informatiques et de t\u00e9l\u00e9communications, la SSR et les agences de presse, les fournisseurs de m\u00e9dicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services num\u00e9riques et fabricants informatiques.</p>","DraftText":null,"SubmittedText":null,"ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":null,"FederalCouncilProposal":null,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":null,"SubmittedBy":null,"BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1695985186000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"9|15|34|1216","Category":"IIIb/IV","Modified":"\/Date(1770754574740)\/","SubmissionDate":"\/Date(1669939200000)\/","SubmissionCouncil":null,"SubmissionCouncilName":null,"SubmissionCouncilAbbreviation":null,"SubmissionSession":5117,"SubmissionLegislativePeriod":51,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique de s\u00e9curit\u00e9|\u00c9conomie|M\u00e9dias et communication|Droit p\u00e9nal"}}