Lexipedia

17.3905 · Interpellation · 2017-09-29

Département des finances

Liquidé

Wortlaut

Comme le montrent les incidents, parfois graves, qui surviennent quotidiennement, la menace dans le domaine des cyberrisques est déjà très importante et ne cesse de croître. Le Conseil fédéral a raison de vouloir élaborer une nouvelle stratégie nationale de protection contre les cyberrisques. Toutefois, une stratégie définit des objectifs et des mesures, mais ne permet pas de mettre en place une réglementation contraignante : notamment une obligation d'annoncer les incidents ou de respecter des dispositions minimales. L'Allemagne, par exemple, dispose d'une loi en la matière (IT-Sicherheitsgesetz).

Le Conseil fédéral est prié de répondre aux questions suivantes :

1. Est-il aussi d'avis que la nouvelle stratégie nationale de protection contre les cyberrisques doit prendre la forme d'une loi fédérale sur la sécurité informatique ou contre les cyberrisques, qui contiendrait des dispositions contraignantes ?

2. A-t-il déjà l'intention d'élaborer une telle loi et de la soumettre au Parlement ?

3. Si oui, quel est le calendrier prévu ?

4. De quelle manière la protection des citoyens et des entreprises serait-elle prise en compte ?

Stellungnahme des Bundesrates

Les expériences tirées de la mise en oeuvre de la première Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) montrent que de nombreux résultats peuvent être obtenus sur la base de la législation en vigueur. Notamment dans le domaine des infrastructures d'importance vitale, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) permet à l'administration fédérale de collaborer de manière fructueuse avec les entreprises du secteur privé et les hautes écoles. Cette collaboration constituera également la base de la deuxième SNPC, pour les années 2018 à 2022. Dans le cadre de l'élaboration de la nouvelle stratégie et des échanges avec les spécialistes des milieux économiques et académiques, on a constaté qu'il était toutefois nécessaire de renforcer ou de compléter les mesures de certains domaines par une réglementation contraignante. Celle-ci concerne par exemple une obligation de respecter des dispositions minimales ou d'annoncer les incidents, comme cela a été cité par l'auteure de l'interpellation.

Cependant, on ne saura quelles modifications ou compléments devront être apportés à quelles lois que lorsque les mesures de la nouvelle stratégie seront mises en oeuvre. Il conviendra par exemple d'examiner s'il faut introduire une obligation d'annoncer des incidents, pour qui et dans quels cas. La nouvelle SNPC et son plan de mise en oeuvre n'ayant pas encore été adoptés, il est trop tôt pour dire quand et sous quelle forme le Conseil fédéral soumettra des projets de loi au Parlement.

Le Conseil fédéral entend élaborer les projets de loi nécessaires pour maîtriser les cyberrisques et les présenter au Parlement, à l'instar de la loi sur la sécurité de l'information, qu'il a déjà soumise à ce dernier. Cette loi définit des dispositions contraignantes pour les autorités fédérales dans le domaine de la protection de l'information et contribue ainsi à la mise en oeuvre de la SNPC, tel que le demande l'auteure de l'interpellation.

Réponse du Conseil fédéral.