Lexipedia

17.3496 · Motion · 2017-06-15

Département de l'environnement, des transports, de l'énergie et de la communication

Liquidé

Wortlaut

Le Conseil fédéral est chargé de préciser les bases légales de façon à ce que les exploitants d'infrastructures d'électricité critiques soient tenus d'assurer une protection de base propre au secteur contre les cyberattaques et d'autres risques importants tels que les dangers naturels. Le niveau de protection requis sera défini en fonction des risques, et l'importance de l'exploitant pour la sécurité de l'approvisionnement en électricité sera prise en compte.

Begründung

Il est essentiel pour le bien-être de la population et la prospérité de l'économie de garantir l'approvisionnement en électricité. Une panne d'électricité grave causée par une cyberattaque ou une catastrophe naturelle, par exemple, affecterait considérablement la population, et les entreprises subiraient des dommages de plusieurs milliards de francs. L'approvisionnement en eau serait interrompu, les transports publics cesseraient de fonctionner et la grande distribution alimentaire serait paralysée.

Les bases légales actuelles, de même que la Stratégie nationale pour la protection des infrastructures critiques (stratégie PIC) et la Stratégie nationale de protection contre les cyberrisques (SNPC), n'imposent aux exploitants d'infrastructures critiques aucun objectif transsectoriel obligatoire en termes de niveau de sécurité. Ce sont les lois spécialisées (par ex. la loi sur l'énergie et la loi sur l'approvisionnement en électricité, pour les gestionnaires de réseau électrique) qui sont déterminantes pour les exploitants. Dans le domaine de l'approvisionnement en électricité, cependant, il n'est pas suffisamment précisé quelle protection de base spécifique au secteur l'exploitant doit assurer. Cette protection de base doit être définie en fonction des risques, et l'importance de l'exploitant pour la sécurité de l'approvisionnement de la Suisse en électricité doit être prise en compte. Les exploitants qui gèrent des infrastructures clés pour l'approvisionnement devront assurer un niveau de protection plus élevé car une panne aurait dans ce cas de graves conséquences ; pour les gestionnaires de petits réseaux, par contre, un niveau de protection plus bas sera fixé.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

Le Conseil fédéral a adopté dès 2012 des stratégies nationales pour la protection des infrastructures critiques (PIC) et pour la protection de la Suisse contre les cyberrisques (SNPC). Il convient de respecter le principe selon lequel la mise en oeuvre des stratégies s'effectue principalement dans le cadre des processus établis et à l'intérieur des structures et des responsabilités existantes. Le "guide PIC" (2015) élaboré dans la Stratégie nationale PIC doit aider les exploitants d'infrastructures critiques à renforcer la résilience et à garantir un niveau de protection approprié. L'adéquation de ce guide a été démontrée dans un projet pilote avec la société nationale suisse pour l'exploitation du réseau Swissgrid. S'appuyant sur la SNPC, l'Association des entreprises électriques suisses (AES) a formé un groupe de travail qui élabore actuellement les normes minimales de sécurité pour les technologies de l'information et de la communication de la branche suisse de l'électricité. Ces travaux complètent une recommandation de la branche "ICT Continuity" (2011) de l'AES et s'alignent sur les normes de sécurité établies au niveau international pour les technologies de l'information et de la communication (TIC).

La version révisée de la loi sur l'énergie, qui entrera vraisemblablement en vigueur début 2018 (FF 2016 7683), mentionne explicitement la protection des infrastructures critiques y compris celle des TIC qui y sont liées (art. 7 al. 1 Principes directeurs) pour un approvisionnement énergétique sûr.

De plus, par la révision de la loi sur l'énergie, on règle pour la première fois certains domaines de la sécurité des données. Les exploitants des réseaux électriques seront tenus de satisfaire aux exigences de sécurité pour le traitement et la transmission des données. Ces exigences visent une certaine protection de base des gestionnaires de réseau contre les cyberrisques ainsi qu'un fonctionnement sûr des systèmes de mesure, de commande et de réglage.

La Confédération édicte également des prescriptions de sécurité et des dispositions de protection explicites qui concernent essentiellement les infrastructures électriques directement soumises à sa surveillance, par exemple les barrages et les installations nucléaires. S'agissant de l'infrastructure de réseau, il incombe avant tout aux gestionnaires de réseau, conformément à l'art. 8, al. 1, de la loi du 23 mars 2007 sur l'approvisionnement en électricité (LApEl ; RS 734.7), de mettre à disposition un réseau performant et efficace, mais surtout un réseau sûr à tout égard. Selon la LApEl, ils sont donc aussi tenus d'élaborer les exigences techniques et opérationnelles minimales pour l'exploitation du réseau. Les coûts induits par un niveau de sécurité suffisamment élevé relèvent ainsi des coûts de réseau imputables visés par l'art. 15, al. 1, LApEl.

Le Conseil fédéral soutient en principe l'orientation générale de la motion exigeant un niveau de protection adéquat pour les infrastructures critiques. Il désire cependant attendre l'évolution des travaux en cours (notamment en lien avec les stratégies nationales PIC et SNPC).

Le Conseil fédéral propose de rejeter la motion.