L’OFCS veille à ce que les vulnérabilités du matériel et des logiciels soient annoncées de manière coordonnée en tenant compte des normes internationalement reconnues.
Il fixe au fabricant du matériel informatique ou du logiciel concerné un délai de 90 jours pour éliminer les vulnérabilités.
Il peut raccourcir ce délai si la vulnérabilité:
a. met en péril le fonctionnement d’infrastructures critiques;
b. concerne des systèmes très répandus, ou
c. est exploitée pour une cyberattaque ou peut être très facilement utilisée à cette fin.
Il peut prolonger le délai lorsque l’élimination de la vulnérabilité s’avère particulièrement compliquée.
Il peut informer les exploitants d’infrastructures critiques de la présence de vulnérabilités avant même l’annonce ou l’élimination de celles-ci.
Il informe immédiatement l’Office fédéral de la communication (OFCOM) des vulnérabilités relatives aux installations de télécommunication au sens de l’art. 3, let. d, de la loi du 30 avril 1997 sur les télécommunications.
Les al. 1 à 4 ne s’appliquent pas aux vulnérabilités que l’OFCOM découvre et annonce à l’OFCS dans le cadre de ses contrôles de surveillance (art. 36 ss de l’ordonnance du 25 novembre 2015 sur les installations de télécommunication).