{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20253149,Language='FR')/Transcripts"}},"ID":20253149,"Language":"FR","BusinessShortNumber":"25.3149","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Pour une norme informatique contraignante minimale visant \u00e0 am\u00e9liorer la r\u00e9silience en cas de cybermenaces en Suisse","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<ul style=\"list-style-type:disc;\"><li>Pourquoi n\u2019existe-t-il pas encore en Suisse de norme informatique minimale pour les infrastructures critiques, alors que d\u2019autres pays en mettent en place (p.&nbsp;ex., NIS2 / DORA dans l\u2019UE)&nbsp;? Que pense le Conseil f\u00e9d\u00e9ral des risques qui d\u00e9coulent de ce vide normatif&nbsp;?</li><li>Quelles possibilit\u00e9s r\u00e9glementaires envisage-t-il pour fixer des exigences minimales uniformes en mati\u00e8re de cybers\u00e9curit\u00e9 dans les infrastructures critiques&nbsp;?&nbsp;</li><li>Depuis le mois de mars 2024, l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS) est responsable des normes informatiques minimales, mais ses comp\u00e9tences actuelles se limitent \u00e0 \u00e9mettre des recommandations. Les associations sectorielles sont libres de d\u00e9clarer obligatoires ces normes ou leurs propres normes. Le Conseil f\u00e9d\u00e9ral estime-t-il que cette approche d\u00e9centralis\u00e9e qui ne fixe aucune obligation g\u00e9n\u00e9rale est ad\u00e9quate et adapt\u00e9e \u00e0 notre \u00e9poque&nbsp;?</li><li>Comment \u00e9value-t-il la r\u00e9silience actuelle des infrastructures critiques par rapport aux cyberattaques&nbsp;? Sur quelle base repose son \u00e9valuation et \u00e0 quelle fr\u00e9quence \u00e9value-t-il la situation&nbsp;?</li><li>Les cyberrisques sont-ils syst\u00e9matiquement recens\u00e9s dans les diff\u00e9rents secteurs des infrastructures critiques&nbsp;? Comment le recensement des cyberincidents (obligation d\u2019annoncer) contribuera-t-il \u00e0 d\u00e9finir des mesures concr\u00e8tes ou des exigences minimales&nbsp;?</li><li>Comment le Conseil f\u00e9d\u00e9ral s\u2019assure-t-il que la Suisse ne devienne pas le \u00ab&nbsp;maillon faible&nbsp;\u00bb des r\u00e9seaux num\u00e9riques internationaux&nbsp;?</li><li>Quelles sont les mesures pr\u00e9vues pour harmoniser la cyberstrat\u00e9gie suisse avec les normes internationales (p. ex.&nbsp;UE NIS2, ISO 27001, NIST Cybersecurity Framework)&nbsp;?</li><li>Le Conseil f\u00e9d\u00e9ral est-il d\u2019avis que le guichet national pour la cybers\u00e9curit\u00e9 (OFCS, NCSC) dispose de suffisamment de ressources humaines et financi\u00e8res pour faire face efficacement aux cybermenaces&nbsp;?</li><li>Pense-t-il que ce guichet national ou le Secr\u00e9tariat d\u2019\u00c9tat \u00e0 la politique de s\u00e9curit\u00e9 (SEPOS) et la FINMA ont les comp\u00e9tences et les pouvoirs n\u00e9cessaires pour faire face efficacement aux cybermenaces ou pour exiger et v\u00e9rifier les mesures n\u00e9cessaires&nbsp;?</li></ul>","ReasonText":"<p>Les infrastructures critiques, comme l\u2019approvisionnement \u00e9nerg\u00e9tique, le domaine de la sant\u00e9, le syst\u00e8me financier ou les transports, sont des cibles de choix pour les cyberattaques. Une norme informatique minimale actuelle pourrait garantir que les exploitants mettent en place les mesures de protection de base afin de r\u00e9duire les risques au maximum.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<span><p><span>S\u2019agissant de la standardisation, la Suisse adopte une approche d\u00e9centralis\u00e9e, qui fixe en fonction du secteur les normes en mati\u00e8re de cybers\u00e9curit\u00e9 et la fa\u00e7on de les appliquer. Il serait toutefois faux de dire que ces normes ne sont pas contraignantes pour les diff\u00e9rentes branches. Par exemple, en vertu de l\u2019ordonnance sur l\u2019approvisionnement en \u00e9lectricit\u00e9 (OApEl</span><span>&nbsp;</span><span>;</span><span>&nbsp;</span><span>RS 734.71), la norme minimale TIC est contraignante depuis le 1</span><sup><span>er</span></sup><span> juillet 2024 pour beaucoup d\u2019entreprises qui assurent l\u2019approvisionnement en \u00e9lectricit\u00e9. D\u00e8s juillet 2025, ce sera aussi le cas pour les soci\u00e9t\u00e9s d\u2019approvisionnement en gaz. Dans d\u2019autres secteurs, les organes de surveillance se fondent \u00e9galement sur des normes pour \u00e9valuer la mise en \u0153uvre des dispositions g\u00e9n\u00e9rales relatives \u00e0 la s\u00e9curit\u00e9 et \u00e0 la gouvernance dans les lois correspondantes. L\u2019Autorit\u00e9 f\u00e9d\u00e9rale de surveillance des march\u00e9s financiers (FINMA) a notamment, dans plusieurs circulaires et communications, fait part de ses attentes concernant le respect des normes en mati\u00e8re de cybers\u00e9curit\u00e9. Quant \u00e0 l\u2019Office f\u00e9d\u00e9ral des transports (OFT), il se base pour ses t\u00e2ches de surveillance sur des normes existantes. Enfin, l\u2019ordonnance sur la s\u00e9curit\u00e9 de l\u2019information (OSI</span><span>&nbsp;</span><span>;</span><span>&nbsp;</span><span>RS</span><span>&nbsp;</span><span>128.1) fixe de mani\u00e8re contraignante les \u00e9l\u00e9ments centraux des normes pertinentes pour les unit\u00e9s administratives de l\u2019administration f\u00e9d\u00e9rale et l\u2019arm\u00e9e.</span></p><p><span>L\u2019avantage de cette approche d\u00e9centralis\u00e9e est qu\u2019il est possible de prendre en compte les sp\u00e9cificit\u00e9s de chaque secteur et de recourir aux processus de surveillance existants. Les organes comp\u00e9tents peuvent int\u00e9grer les contr\u00f4les relatifs \u00e0 la cybers\u00e9curit\u00e9 dans leurs pratiques. Sur le plan technique, ces organes b\u00e9n\u00e9ficient du soutien de l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS), qui veille, via la norme minimale pour am\u00e9liorer la r\u00e9silience informatique, \u00e0 ce que la standardisation soit coordonn\u00e9e entre les diff\u00e9rents secteurs et \u00e0 ce que les normes soient d\u00e9velopp\u00e9es de concert avec les parties concern\u00e9es. L\u2019OFCS garantit \u00e9galement la conformit\u00e9 des prescriptions avec les normes internationales. Dans ce contexte, il n\u2019a pas besoin d\u2019\u00eatre dot\u00e9 d\u2019un pouvoir d\u2019instruction vu que cela reste de la comp\u00e9tence des autorit\u00e9s de surveillance. </span></p><p><span>Le Secr\u00e9tariat d\u2019\u00c9tat \u00e0 la politique de s\u00e9curit\u00e9 (SEPOS) et la FINMA ont en revanche un pouvoir d\u2019instruction direct par rapport aux unit\u00e9s administratives et \u00e0 l\u2019arm\u00e9e (secteur financier).</span><span>&nbsp; </span></p><p><span>Vu l\u2019\u00e9volution dynamique de la situation en mati\u00e8re de cybermenaces, la r\u00e9silience des infrastructures critiques doit \u00eatre r\u00e9\u00e9valu\u00e9e en permanence dans les secteurs concern\u00e9s. Les indicateurs permettant une telle \u00e9valuation sont les suivants</span><span>&nbsp;</span><span>: mise en \u0153uvre de mesures de protection, temps de r\u00e9action pour rem\u00e9dier aux vuln\u00e9rabilit\u00e9s et nombre de cyberattaques r\u00e9ussies ainsi que leurs impacts. L\u2019obligation de signaler les cyberattaques port\u00e9es aux infrastructures critiques, entr\u00e9e en vigueur au 1</span><sup><span>er</span></sup><span> avril 2025, permettra \u00e0 l\u2019OFCS d\u2019avoir une meilleure vue d\u2019ensemble des cyberattaques r\u00e9ussies (dernier indicateur susmentionn\u00e9). </span></p><p><span>Les d\u00e9fis pos\u00e9s par les cybermenaces restent de taille pour tous les acteurs impliqu\u00e9s. Il n\u2019y a toutefois aucun signe indiquant que les entreprises suisses seraient, en comparaison internationale, moins bien prot\u00e9g\u00e9es. Dans le cadre de ses comp\u00e9tences, le Conseil f\u00e9d\u00e9ral continuera \u00e0 encourager l\u2019application de normes en mati\u00e8re de cybers\u00e9curit\u00e9. Il \u00e9value donc en continu la n\u00e9cessit\u00e9 d\u2019\u00e9dicter des prescriptions l\u00e9gales suppl\u00e9mentaires et d\u2019allouer davantage de moyens financiers aux services comp\u00e9tents de l\u2019OFCS. Dans le cadre de la mise en \u0153uvre de mesures de protection contre les cybermenaces, une collaboration \u00e9troite et empreinte de confiance entre les autorit\u00e9s et les entreprises est tout aussi importante que l\u2019introduction de normes et le contr\u00f4le de leur respect. </span></p></span>","FederalCouncilProposal":null,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1747180800000)\/","SubmittedBy":"Blunschy Dominik","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1758880935000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1763089941087)\/","SubmissionDate":"\/Date(1742342400000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5207,"SubmissionLegislativePeriod":52,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique d'Etat|Politique de s\u00e9curit\u00e9|M\u00e9dias et communication"}}