AS 2021 132
Ordonnance sur la protection contre les cyberrisques dans l’administration fédérale
RO 2021 www.droitfederal.admin.ch La version électronique signée fait foi
Ordonnance sur la protection contre les cyberrisques dans l’administration fédérale (Ordonnance sur les cyberrisques, OPCy)
Modification du 24 février 2021
Le Conseil fédéral suisse arrête:
I
L’ordonnance du 27 mai 2020 sur les cyberrisques1 est modifiée comme suit:
Art. 3, let. h Dans la présente ordonnance, on entend par: h. objets informatiques à protéger: les applications, services, systèmes, réseaux, fichiers de données, infrastructures et produits relevant de l’informatique; plu- sieurs objets identiques ou connexes peuvent être regroupés en un seul objet informatique à protéger.
Art. 13, al. 3, 4 et 5 3 Les départements et la Chancellerie fédérale désignent chacun un délégué à la sécu- rité informatique (DSID), qui agit sur mandat direct de la direction du département.
4 Les DSID assument notamment les tâches suivantes:
a. coordonner les aspects de la sécurité informatique au sein du département ou de la Chancellerie fédérale ainsi qu’avec les services compétents en matière de coordination et de collaboration au niveau interdépartemental; b. élaborer les bases nécessaires à la mise en œuvre des directives en matière de sécurité informatique et à l’organisation au niveau du département ou de la Chancellerie fédérale.
1 RS 120.73
2021-0586 RO 2021 132
Ordonnance sur les cyberrisques RO 2021 132
5 Les départements et la Chancellerie fédérale règlent les relations entre le DSID et les délégués à la sécurité informatique des unités administratives (DSIO), notamment la conduite technique en matière de sécurité.
Art. 14 Unités administratives et fournisseurs de prestations 1 Les unités administratives désignent chacune un DSIO, qui agit sur mandat direct de la direction de l’unité administrative. Le secteur Transformation numérique et gou- vernance de l’informatique de la Chancellerie fédérale (secteur TNI de la ChF) dé- signe en outre un délégué à la sécurité informatique des services standard. 2 Les DSIO et le délégué à la sécurité informatique des services informatiques stan- dard assument les tâches suivantes: a. veiller à la mise en œuvre rapide des directives en matière de sécurité infor- matique et à l’application des procédures de sécurité dans les unités adminis- tratives (chap. 3a); b. veiller à ce que les collaborateurs soient sensibilisés et formés aux enjeux de la sécurité informatique à leur entrée en fonction puis à intervalles réguliers, et à ce qu’ils connaissent, au niveau qui les concerne et selon leur fonction, les compétences et les procédures applicables en matière de sécurité informa- tique dans leur environnement de travail; c. informer le responsable de leur unité administrative au moins tous les six mois de l’état de la sécurité informatique dans l’unité administrative. 3 Les unités administratives sont responsables de la sécurité de leurs objets informa- tiques à protéger. Elles assument les fonctions suivantes: a. faire l’inventaire de leurs objets informatiques à protéger et prendre les me- sures de sécurité nécessaires; veiller notamment à ce que ces mesures soient consignées sous une forme actualisée pour chaque objet informatique à proté- ger; b. s’assurer du respect et de la mise en œuvre des directives en matière de sécu- rité informatique, des procédures de sécurité et des décisions du Conseil fédé- ral, du NCSC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétence respectifs; c. sous réserve de l’art. 12, al. 5, gérer tout cyberincident touchant leurs objets informatiques à protéger; d. s’assurer qu’en cas d’acquisition de prestations auprès d’un fournisseur ex- terne, les directives en matière de sécurité informatique font partie intégrante du contrat; e. vérifier de manière appropriée que les directives en matière de sécurité infor- matique sont respectées par les fournisseurs externes; f. veiller à ce que les responsabilités en matière de sécurité informatique soient
définies au niveau opérationnel dans les accords de projets et les conventions de prestations conclus entre les fournisseurs et les bénéficiaires de prestations;
Ordonnance sur les cyberrisques RO 2021 132
g. veiller à ce que les personnes non soumises à la présente ordonnance ne puis- sent accéder à l’infrastructure informatique de la Confédération que si elles s’engagent à respecter les directives en matière de sécurité informatique.
4 Les fournisseurs de prestations assument les fonctions suivantes:
a. transmettre aux bénéficiaires de prestations, à la demande de ceux-ci et sous une forme appropriée, toutes les informations nécessaires à la protection de leurs objets informatiques à protéger; b. veiller à disposer des capacités nécessaires à l’analyse technique et à la gestion des cyberincidents qui les concernent ou qui concernent leurs bénéficiaires de prestations; c. informer sans délai leurs bénéficiaires de prestations des failles et des inci- dents de sécurité détectés qui concernent leurs objets informatiques à proté- ger; d. définir, en collaboration avec les bénéficiaires de prestations, un processus de gestion des cyberincidents; celui-ci règle en particulier les compétences déci- sionnelles dont relèvent les mesures d’urgence. 5 Si un cyberincident ne peut être géré dans le cadre du processus défini, les personnes concernées informent le NCSC afin de définir la marche à suivre. 6 Les unités administratives consultent le NCSC pour ce qui concerne les directives et projets informatiques ayant une incidence sur la sécurité. 7 Elles sont responsables du développement, de la mise en œuvre et de l’évaluation de normes et de réglementations en matière de cybersécurité dans leurs domaines respec- tifs. Le NCSC met à leur disposition, dans la mesure des possibilités, des experts du pool visé à l’art. 12, al. 1, let. g.
Insérer après l’art. 14
Art. 14a Collaborateurs Les collaborateurs de l’administration fédérale qui utilisent des moyens informatiques sont responsables de leur utilisation conforme aux prescriptions.
Titre suivant l’art. 14a Chapitre 3a Procédures de sécurité
Art. 14b Analyse des besoins de protection 1 Les unités administratives s’assurent qu’une analyse actuelle des besoins de protec- tion est disponible pour tous les objets informatiques à protéger. Les projets informa- tiques doivent faire l’objet d’une telle analyse avant d’être validés. 2 Lors de l’analyse des besoins de protection, les unités administratives évaluent les aspects de la confidentialité, de la disponibilité, de l’intégrité, de la traçabilité et du risque d’espionnage par des services de renseignement.
Ordonnance sur les cyberrisques RO 2021 132
Art. 14c Protection de base Les unités administratives mettent en œuvre les règles de protection de base pour tous les objets informatiques à protéger et documentent cette mise en œuvre.
Art. 14d Protection accrue 1 Si l’analyse révèle des besoins de protection accrus, les unités administratives défi- nissent, en plus de la mise en œuvre des directives en matière de sécurité relevant de la protection de base, d’autres mesures de sécurité sur la base d’une analyse des risques, documentent ces mesures et les mettent en œuvre. 2 Les unités administratives mettent en évidence les risques qui ne peuvent être réduits ou qui ne peuvent l’être que de manière insuffisante (risques résiduels) et documentent ces risques. Le mandant du projet, le responsable du processus d’affaires et le respon- sable de l’unité administrative prennent connaissance des risques résiduels et confir- ment par écrit qu’ils l’ont fait. 3 La décision d’assumer ou non les risques résiduels connus appartient au responsable de l’unité administrative compétente.
Art. 14e Périodicité
1 Les procédures de sécurité doivent être exécutées au moins tous les cinq ans.
2 Elles doivent être exécutées sans délai si l’objet informatique à protéger ou la situa- tion en matière de menace subissent des modifications ayant une incidence sur la sé- curité.
Titre précédant l’art. 14f Chapitre 3b Coûts décentralisés
1 Les coûts décentralisés de la sécurité informatique font partie des coûts de projet et d’exploitation.
2 Ils doivent être suffisamment pris en compte lors de la planification.
II La modification d’autres actes est réglée en annexe.
Ordonnance sur les cyberrisques RO 2021 132
III La présente ordonnance entre en vigueur le 1er avril 2021.
24 février 2021 Au nom du Conseil fédéral suisse: Le président de la Confédération, Guy Parmelin Le chancelier de la Confédération, Walter Thurnherr
Ordonnance sur les cyberrisques RO 2021 132
Annexe (ch. II) Modification d’autres actes Les actes mentionnés ci-après sont modifiés comme suit:
1. Ordonnance du 4 décembre 2009 sur les mesures de police administrative
de l’Office fédéral de la police et sur le système d’information HOOGAN 2
Art. 13, al. 1, let. b
1 Pour garantir la sécurité des données, sont applicables:
b. l’ordonnance du 27 mai 2020 sur les cyberrisques3.
2. Ordonnance du 16 août 2017 sur les systèmes d’information et les systèmes
de stockage de données du Service de renseignement de la Confédération 4
Art. 13, al. 1, let. b et d
1 Pour assurer la sécurité des données s’appliquent:
b. l’ordonnance du 27 mai 2020 sur les cyberrisques5; d. abrogée
3. Ordonnance 3 du 11 août 1999 sur l’asile 6
Art. 12, let. b et c La sécurité des données est régie par: b. l’ordonnance du 27 mai 2020 sur les cyberrisques7; c. abrogée
2 RS 120.52 3 RS 120.73 4 RS 121.2 5 RS 120.73 6 RS 142.314 7 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
4. Ordonnance VIS du 18 décembre 20138
Art. 34, let. c Abrogée
5. Ordonnance SYMIC du 12 avril 20069
Art. 17, al. 1
1 La sécurité des données est régie par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données10; b. l’ordonnance du 27 mai 2020 sur les cyberrisques11.
6. Ordonnance du 5 décembre 2008 concernant la gestion de l’immobilier
et la logistique de la Confédération12
Art. 41, al. 2 2 L’OFCL édicte des instructions pour le domaine de la logistique. Sont réservées:
a. l’ordonnance du 25 novembre 2020 sur la transformation numérique et l’in- formatique13; b. l’ordonnance du 27 mai 2020 sur les cyberrisques14.
7. Ordonnance SIVIP du 18 novembre 201515
Art. 11, al. 1
1 La sécurité des données et la sécurité informatique sont régies par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données16; b. l’ordonnance du 27 mai 2020 sur les cyberrisques17.
8 RS 142.512 9 RS 142.513 10 RS 235.11 11 RS 120.73 12 RS 172.010.21 13 RS 172.010.58 14 RS 120.73 15 RS 172.211.21 16 RS 235.11 17 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
8. Ordonnance Web-DFAE du 5 novembre 201418
Art. 12, al. 1
1 La sécurité des données et la sécurité informatique sont régies par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données19; b. l’ordonnance du 27 mai 2020 sur les cyberrisques20.
9. Ordonnance du 28 avril 2004 sur l’état civil21
Art. 83, al. 2 2 L’OFEC peut se faire conseiller par le Préposé fédéral à la protection des données et à la transparence et par le Centre national pour la cybersécurité.
10. Ordonnance du 30 juin 1993 concernant l’organisation de la statistique
fédérale22
Art. 10 Protection et sécurité des données 1 La protection des données est assurée par les dispositions spécifiques de la loi et de l’ordonnance du 30 juin 1993 concernant l’exécution des relevés statistiques fédé- raux23, ainsi que par celles de la loi fédérale du 19 juin 1992 sur la protection des données24 et de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données25. 2 La sécurité des données est assurée par les dispositions spécifiques de la loi, ainsi que par celles de l’ordonnance du 27 mai 2020 sur les cyberrisques26 et de l’ordon- nance du 14 juin 1993 relative à la loi fédérale sur la protection des données.
18 RS 172.220.111.42 19 RS 235.11 20 RS 120.73 21 RS 211.112.2 22 RS 431.011 23 RS 431.012.1 24 RS 235.1 25 RS 235.11 26 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
11. Ordonnance du 2 juillet 2008 sur les armes 27
1 La sécurité des données est garantie conformément à:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données28; b. l’ordonnance du 27 mai 2020 sur les cyberrisques29.
12. Ordonnance E-VERA du 17 août 201630
Art. 14, al. 1, let. b et c
1 La sécurité informatique est régie par:
b. l’ordonnance du 27 mai 2020 sur les cyberrisques31; c. abrogée
13. Ordonnance du 9 décembre 2011 sur le système d’information EDAssist+ 32
Art. 16, al. 1
1 La sécurité des données et la sécurité informatique sont régies par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données33; b. l’ordonnance du 27 mai 2020 sur les cyberrisques34.
27 RS 514.541 28 RS 235.11 29 RS 120.73 30 RS 235.22 31 RS 120.73 32 RS 235.24 33 RS 235.11 34 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
14. Ordonnance du 7 novembre 2012 sur la protection extraprocédurale
des témoins35
Art. 15, al. 1, let. b et c
1 La sécurité des données est garantie par:
b. l’ordonnance du 27 mai 2020 sur les cyberrisques36; c. abrogée
15. Ordonnance VOSTRA du 29 septembre 200637
Art. 27, al. 1, let. a
1 En matière de sécurité des données, sont applicables:
a. l’ordonnance du 27 mai 2020 sur les cyberrisques38;
16. Ordonnance GPDA du 23 septembre 201639
Art. 14, al. 1, let. b et c
1 La sécurité des données est régie par les dispositions suivantes:
b. ordonnance du 27 mai 2020 sur les cyberrisques40; c. abrogée
17. Ordonnance JANUS du 15 octobre 200841
Art. 26 Sécurité des données La sécurité des données est garantie par: a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données42; b. l’ordonnance du 27 mai 2020 sur les cyberrisques43.
35 RS 312.21 36 RS 120.73 37 RS 331 38 RS 120.73 39 RS 351.12 40 RS 120.73 41 RS 360.2 42 RS 235.11 43 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
1 La garantie de la sécurité des données est régie par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données44; b. l’ordonnance du 27 mai 2020 sur les cyberrisques45.
1 La garantie de la sécurité des données est régie par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données46; b. l’ordonnance du 27 mai 2020 sur les cyberrisques47.
18. Ordonnance RIPOL du 26 octobre 201648
Art. 14, al. 2
2 La sécurité des données est régie par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données49; b. l’ordonnance du 27 mai 2020 sur les cyberrisques50.
19. Ordonnance IPAS du 15 octobre 200851
Art. 12 Sécurité des données La sécurité des données est garantie par: a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données52; b. l’ordonnance du 27 mai 2020 sur les cyberrisques53.
44 RS 235.11 45 RS 120.73 46 RS 235.11 47 RS 120.73 48 RS 361.0 49 RS 235.11 50 RS 120.73 51 RS 361.2 52 RS 235.11 53 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
20. Ordonnance du 6 décembre 2013 sur le traitement des données
signalétiques biométriques54
Art. 14, let. b La sécurité des données est garantie par: b. l’ordonnance du 27 mai 2020 sur les cyberrisques55.
21. Ordonnance du 15 octobre 2008 sur l’index national de police 56
Art. 12, al. 1
1 La sécurité des données est garantie par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données57; b. l’ordonnance du 27 mai 2020 sur les cyberrisques58.
22. Ordonnance N-SIS du 8 mars 201359
Art. 53, al. 1, let. c Abrogée
23. Ordonnance du 3 décembre 2004 sur les profils d’ADN 60
Art. 19, al. 1
1 La sécurité des données est régie par:
a. les art. 20 à 23 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données61; b. l’ordonnance du 27 mai 2020 sur les cyberrisques62.
54 RS 361.3 55 RS 120.73 56 RS 361.4 57 RS 235.11 58 RS 120.73 59 RS 362.0 60 RS 363.1 61 RS 235.11 62 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
24. Ordonnance du 15 septembre 2017 sur les systèmes d’information
dans le domaine de la formation professionnelle et des hautes écoles 63
Art. 21, al. 1
1 La sécurité des données et la sécurité informatique sont régies par:
a. la loi fédérale du 19 juin 1992 sur la protection des données 64 et ses disposi- tions d’exécution; b. l’ordonnance du 27 mai 2020 sur les cyberrisques65.
25. Ordonnance du 9 juin 2017sur le Registre fédéral des bâtiments
et des logements66
Art. 18 La sécurité des données est régie par: a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données67; b. l’ordonnance du 27 mai 2020 sur les cyberrisques68.
26. Ordonnance du 30 juin 1993 sur le Registre des entreprises
et des établissements69
Art. 15 Sécurité des données La sécurité des données est régie par: a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données70; b. l’ordonnance du 27 mai 2020 sur les cyberrisques71.
63 RS 412.108.1 64 RS 235.1 65 RS 120.73 66 RS 431.841 67 RS 235.11 68 RS 120.73 69 RS 431.903 70 RS 235.11 71 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
27. Ordonnance du 20 avril 2016 sur le contrôle de l’origine licite des produits
de la pêche maritime importés72
Art. 24 Sécurité informatique Les mesures pour garantir la sécurité informatique sont régies par l’ordonnance du 27 mai 2020 sur les cyberrisques73.
28. Ordonnance du 1er septembre 2010 sur le système informatique de gestion
des expériences sur animaux74
Art. 20, al. 1 1 Les mesures pour garantir la sécurité informatique sont régies par l’ordonnance du 27 mai 2020 sur les cyberrisques75.
29. Ordonnance du 12 août 2015 sur le bureau de notification
pour les médicaments vitaux à usage humain76
Art. 8, al. 2
2 Sont en outre applicables:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données77; b. l’ordonnance du 27 mai 2020 sur les cyberrisques78.
30. Ordonnance du 16 mars 2007 sur l’attribution d’organes 79
1 La sécurité des données est régie par:
a. les art. 20 et 21 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données80; b. l’ordonnance du 27 mai 2020 sur les cyberrisques81.
72 RS 453.2 73 RS 120.73 74 RS 455.61 75 RS 120.73 76 RS 531.215.32 77 RS 235.11 78 RS 120.73 79 RS 810.212.4 80 RS 235.11 81 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
31. Ordonnance du 20 août 2014 sur le système d’information du service civil 82
Art. 11, al. 1, let. b et c
1 La sécurité des données est régie par les dispositions suivantes:
b. l’ordonnance du 27 mai 2020 sur les cyberrisques83; c. abrogée
32. Ordonnance du 31 octobre 2007 sur les allocations familiales 84
Abrogée
33. Ordonnance SAS-DFAE du 5 novembre 201485
Art. 12, al. 1, let. b et c
1 La sécurité informatique est régie:
b. par l’ordonnance du 27 mai 2020 sur les cyberrisques 86; c. abrogée
34. Ordonnance du 6 juin 2014 concernant les systèmes d’information
du service vétérinaire public87
Art. 28, al. 1 1 Les mesures pour garantir la sécurité informatique sont régies par l’ordonnance du 27 mai 2020 sur les cyberrisques88.
82 RS 824.095 83 RS 120.73 84 RS 836.21 85 RS 852.12 86 RS 120.73 87 RS 916.408 88 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
35. Ordonnance du 18 novembre 2015 réglant les échanges d’importation, de
transit et d’exportation d’animaux et de produits animaux avec les pays tiers 89
Art. 102g Sécurité informatique Les mesures pour garantir la sécurité informatique sont régies par l’ordonnance du 27 mai 2020 sur les cyberrisques90.
36. Ordonnance du 12 août 2015 sur le système de traitement des données
relatives aux prestations de sécurité privées91
Art. 9, al. 1
1 La sécurité des données et la sécurité informatique sont régies par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données92; b. l’ordonnance du 27 mai 2020 sur les cyberrisques93.
37. Ordonnance du 27 novembre 2000 sur les explosifs94
1 La sécurité des données est garantie conformément à:
a. l’art. 7 de la loi fédérale du 19 juin 1992 sur la protection des données95; b. l’ordonnance du 27 mai 2020 sur les cyberrisques96.
89 RS 916.443.10 90 RS 120.73 91 RS 935.412 92 RS 235.11 93 RS 120.73 94 RS 941.411 95 RS 235.1 96 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132
38. Ordonnance du 25 août 2004 sur le Bureau de communication en matière
de blanchiment d’argent97
Art. 19, al. 1
1 La sécurité des données est régie par:
a. l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données98; b. l’ordonnance du 27 mai 2020 sur les cyberrisques99.
97 RS 955.23 98 RS 235.11 99 RS 120.73
Ordonnance sur les cyberrisques RO 2021 132