Lexipedia

AS 2024 282

Ordonnance sur l’approvisionnement en électricité (OApEl)

Préambule

Le Conseil fédéral suisse

arrête:

I

L’ordonnance du 14 mars 2008 sur l’approvisionnement en électricité1 est modifiée comme suit:

Art. 1, al. 22 Les dispositions de la LApEl créant les conditions d’un approvisionnement en électricité sûr s’appliquent aussi au réseau de transport d’électricité des chemins de fer suisses exploité à la fréquence de 16,7 Hz et à la tension de 132 kV. Les art. 4, al. 1, let. a et b, 8, 9 et 11 LApEl s’appliquent en particulier, mais pas l’art. 8a LApEl.

Art. 5a Protection contre les cybermenaces1 Afin d’assurer une protection adéquate des installations contre les cybermenaces, notamment en protégeant les technologies de l’information et de la communication (TIC), les recommandations de la norme minimale pour améliorer la résilience informatique de mai 20232 (norme minimale TIC) sont contraignantes conformément au niveau de protection applicable selon l’annexe 1a pour:a. les gestionnaires de réseau;b. les producteurs, à l’exception des exploitants de centrales nucléaires, et les exploitants de stockage s’ils exploitent des installations d’une puissance totale d’au moins 100 MW et qu’ils peuvent les piloter via un seul système;c. les prestataires qui peuvent durablement piloter:1. des installations de gestionnaires de réseau, ou2. des installations de producteurs, à l’exception des exploitants de centrales nucléaires, ou d’exploitants de stockage s’ils ont de ce fait accès via un seul système à une puissance d’au moins 100 MW.2 Les standards reconnus internationalement cités dans la norme minimale TIC ne sont pas contraignants.3 La preuve que le niveau de protection requis est atteint doit être fournie à l’ElCom à sa demande.

Art. 5abisEx-art. 5a

II

1 L’annexe 1 est modifiée conformément au texte ci-joint.

2 La présente ordonnance est complétée par l’annexe 1a ci-jointe.

III

La présente ordonnance entre en vigueur le 1er juillet 2024.

31 mai 2024

Au nom du Conseil fédéral suisse:

La présidente de la Confédération, Viola Amherd
Le chancelier de la Confédération, Viktor Rossi

(art. 13, al. 3bis)

Détermination du coût moyen pondéré du capital

Renvoi entre parenthèses sous l’indication «Annexe 1»(art. 4d, al. 3, 13, al. 3bis, et 18a, al. 3)

(art. 5a, al. 1)

Niveau de protection à atteindre contre les cybermenaces

1 Répartition en catégories

Les gestionnaires de réseau, les producteurs, les exploitants de stockage et les prestataires visés à l’art. 5a sont répartis dans les catégories suivantes en fonction de la quantité d’électricité transportée ou de la puissance:

Catégorie A

Catégorie B

Catégorie C

  • 1.1 Gestionnaires de réseau dont le volume d’électricité transportée au sein de leur zone de desserte est de:

≥ 450 GWh/an

≥ 112 GWh/an
et
< 450 GWh/an

< 112 GWh/an

  • 1.2 Prestataires qui peuvent durablement piloter des installations de gestionnaires de réseau, s’ils ont de ce fait accès via un seul système à un volume d’électricité transportée de:

  • 1.3 Producteurs, à l’exception des exploitants de centrales nucléaires, et exploitants de stockage s’ils exploitent et peuvent piloter via un seul système des installations d’une puissance totale de:

≥ 800 MW

≥ 100 MW
et
< 800 MW

  • 1.4 Prestataires qui peuvent durablement piloter des installations de producteurs, à l’exception des exploitants de centrales nucléaires, ou d’exploitants de stockage, s’ils ont de ce fait accès via un seul système à une puissance de:

2 Valeurs minimales

Pour les tâches ci-après, dans la mesure où elles sont applicables, il convient d’atteindre au minimum les valeurs suivantes de la catégorie correspondante conformément au ch. 3.1.1 de la norme minimale TIC3 et, sur demande de l’ElCom, de prouver que ces valeurs sont atteintes (cf. art. 5a, al. 3):

Niveau de protection
pour la catégorie A

Niveau de protection
pour la catégorie B

Niveau de protection
pour la catégorie C

  • 2.1 Identifier (ID = Identify)

  • 2.1.1 Inventaire et organisation (AM = Asset Management)

ID.AM-1

4

3

3

ID.AM-2

4

3

2

ID.AM-3

3

3

2

ID.AM-4

3

3

ID.AM-5

3

3

ID.AM-6

4

4

3

  • 2.1.2 Environnement de l’entreprise (BE = Business Environment)

ID.BE-1

3

2

ID.BE-2

3

2

ID.BE-3

3

3

ID.BE-4

3

3

ID.BE-5

3

2

  • 2.1.3 Règles (GV = Governance)

ID.GV-1

4

4

3

ID.GV-2

4

3

3

ID.GV-3

4

4

3

ID.GV-4

3

3

  • 2.1.4 Analyse de risque (RA = Risk Assessment)

ID.RA-1

3

2

ID.RA-2

4

3

ID.RA-3

4

3

ID.RA-4

4

3

ID.RA-5

3

2

ID.RA-6

3

2

  • 2.1.5 Stratégie pour gérer les risques (RM = Risk Management Strategy)

ID.RM-1

4

2

ID.RM-2

3

3

ID.RM-3

3

3

  • 2.1.6 Gestion des risques liés à la chaîne d’approvisionnement

    (SC = Supply Chain Riskmanagement)

ID.SC-1

3

3

ID.SC-2

3

3

ID.SC-3

3

3

3

ID.SC-4

3

2

ID.SC-5

3

2

  • 2.2 Protéger (PR = Protect)

  • 2.2.1 Gestion des accès (AC = Access Management)

PR.AC-1

4

3

2

PR.AC-2

3

3

2

PR.AC-3

4

4

3

PR.AC-4

3

3

2

PR.AC-5

4

3

2

PR.AC-6

4

3

2

PR.AC-7

3

3

2

  • 2.2.2 Sensibilisation et formation (AT = Awareness and Training)

PR.AT-1

4

3

3

PR.AT-2

4

3

3

PR.AT-3

3

3

PR.AT-4

4

3

3

PR.AT-5

3

3

  • 2.2.3 Sécurité des données (DS = Data Security)

PR.DS-1

3

2

PR.DS-2

4

4

2

PR.DS-3

3

3

PR.DS-4

3

2

PR.DS-5

3

2

PR.DS-6

3

2

PR.DS-7

3

2

PR.DS-8

3

2

  • 2.2.4 Protection des données (IP = Information Protection Processes and Procedures)

PR.IP-1

3

2

2

PR.IP-2

4

3

PR.IP-3

3

3

PR.IP-4

4

4

3

PR.IP-5

4

4

3

PR.IP-6

3

3

PR.IP-7

3

2

PR.IP-8

3

2

PR.IP-9

4

2

2

PR.IP-10

4

2

PR.IP-11

3

2

PR.IP-12

3

2

  • 2.2.5 Maintenance (MA = Maintenance)

PR.MA-1

3

3

PR.MA-2

4

3

2

  • 2.2.6 Technologie de protection (PT = Protective Technology)

PR.PT-1

3

2

PR.PT-2

4

4

3

PR.PT-3

4

3

PR.PT-4

4

3

3

PR.PT-5

3

2

  • 2.3 Détecter (DE = Detect)

  • 2.3.1 Anomalies et incidents (AE = Anomalies and Events)

DE.AE-1

3

2

DE.AE-2

3

2

DE.AE-3

3

2

DE.AE-4

3

2

DE.AE-5

3

2

  • 2.3.2 Surveillance (CM = Security Continous Monitoring)

DE.CM-1

3

3

2

DE.CM-2

3

3

2

DE.CM-3

3

2

DE.CM-4

3

3

2

DE.CM-5

3

3

2

DE.CM-6

3

2

DE.CM-7

3

2

2

DE.CM-8

3

2

  • 2.3.3 Processus de détection (DP = Detection Processes)

DE.DP-1

4

4

2

DE.DP-2

3

2

DE.DP-3

3

3

DE.DP-4

3

2

DE.DP-5

3

2

  • 2.4 Réagir (RS = Respond)

  • 2.4.1 Plan d’intervention (RP = Response Planning)

RS.RP-1

3

3

2

  • 2.4.2 Communication (CO = Communications)

RS.CO-1

3

3

2

RS.CO-2

4

4

2

RS.CO-3

3

2

RS.CO-4

3

2

RS.CO-5

3

2

  • 2.4.3 Analyses (AN = Analysis)

RS.AN-1

3

3

RS.AN-2

3

3

RS.AN-3

2

2

RS.AN-4

2

2

RS.AN-5

2

2

  • 2.4.4 Circonscrire les dommages (MI = Mitigation)

RS.MI-1

3

3

2

RS.MI-2

3

2

2

RS.MI-3

3

2

2

  • 2.4.5 Améliorations (IM = Improvements)

RS.IM-1

3

3

RS.IM-2

3

3

  • 2.5 Récupérer (RC = Recover)

  • 2.5.1 Plan de restauration (RP = Recovery Planning)

RC.RP-1

3

3

2

  • 2.5.2 Améliorations (IM = Improvements)

RC.IM-1

3

2

RC.IM-2

3

2

  • 2.5.3 Communication (CO = Communications)

RC.CO-1

2

1

RC.CO-2

2

1

RC.CO-3

2

1