Cyberattaques, obligation de déclaration à partir du 1er avril 2025

Posté le: 10.03.2025

The Conseil fédéral a officialisé l’entrée en vigueur de l’obligation de reporting of cyberattacks pour les opérateurs d’infrastructures critiques à partir du 1er avril 2025. L’objectif de cette mesure est de renforcer la cybersécurité en Suisse et d’améliorer la réponse coordonnée aux cyberattaques.

Cyberattaques | Obligation de déclaration et délais

Selon la nouvelle réglementation, les exploitants d’infrastructures critiques sont tenus de signaler toute cyberattaque à l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant sa détection. Cette obligation s’applique à des secteurs clés tels que l’approvisionnement en énergie et en eau, les transports et les administrations cantonales et communales.

un reporting précoce permettra à l’OFACS de soutenir les organisations touchées et d’alerter d’autres exploitants d’infrastructures critiques. Une cyberattaque doit être signalée si :

• Menace le fonctionnement de l’infrastructure critique concernée ;
• A entraîné une fuite ou une manipulation de données ;
• Il est lié aux crimes d’extorsion, de menace ou de coercition.

En cas de défaut de signalement, la loi prévoit des fines, qui entreront en vigueur à partir du 1er octobre 2025. Au cours des six premiers mois, bien qu’il soit obligatoire de signaler les attaques, il n’y a pas de sanctions en cas d’omissions.

Cyberattaques | Formulaire et procédures de déclaration simplifiés

Pour faciliter la tâche des organisations, l’OFAC a mis en place un formulaire de déclaration en ligne sur sa plateforme existante. Alternativement, les rapports peuvent également être soumis par e-mail via un formulaire qui peut être téléchargé sur le site officiel de l’OFCS.

Si, dans les premières 24 heures il n’est pas possible de fournir toutes les informations nécessaires, le rapport peut être complété dans les 14 jours.

The Cybersecurity Ordinance and Exceptions

Dans le même temps, le Conseil fédéral a approuvé et mis en vigueur, également à partir du 1er avril 2025, l’ordonnance l’ordonnance sur la cybersécurité (OCS), qui réglemente les aspects répressifs de l’obligation de déclaration, y compris les exceptions prévues à l’article 74c de la loi sur la sécurité de l’information .

L’ordonnance fixe également les procédures pour coordination avec d’autres obligations de déclaration, par exemple dans le domaine de la protection des données , permettant aux organisations de transmettre des informations aux autorités compétentes dans le cadre d’une procédure unique.

Une étape importante pour la cybersécurité en Suisse

L’introduction de l’obligation de déclaration pour les cyberattaques est un pas vers cruciale pour la sécurité numérique de la Suisse, en s’alignant sur les normes internationales. Dès 2018, les États membres de l’UE ont adopté une obligation similaire pour les cyberincidents conformément à la directive NIS.

Le renforcement de l’échange d’informations entre les infrastructures critiques sera essentiel pour faire face aux cybermenaces croissantes et améliorer la résilience du système numérique suisse.