Obligation de déclaration selon la LSI 

Avr 1, 2025

Das Bild zeigt eine beeindruckende Darstellung moderner Hochspannungsleitungen unter einem sternenklaren Nachthimmel. Im Zentrum stehen mehrere Stahlgittermasten, die sich symmetrisch in die Tiefe des Bildes erstrecken und den Fokus auf die Energieinfrastruktur lenken. Leuchtende, farbige Lichtlinien – in Blau, Orange und Weiß – symbolisieren den digitalen Datenfluss und den Transfer von elektrischer Energie. Diese visuelle Metapher vermittelt den Übergang von klassischer Stromversorgung hin zu intelligenten, digitalisierten Stromnetzen, sogenannten Smart Grids. Die Lichter wirken dynamisch und unterstreichen die Geschwindigkeit sowie die Vernetzung moderner Energielösungen. Der Nachthimmel mit sichtbaren Sternen steht im Kontrast zur technischen Struktur im Vordergrund und verleiht dem Bild eine futuristische Anmutung. Diese Bildkomposition eignet sich ideal für Themen wie Energiewende, Digitalisierung in der Energiebranche, Smart Grid Technologien, nachhaltige Stromversorgung und Infrastruktur der Zukunft. Durch die Kombination aus Ästhetik und technischer Symbolik spricht das Bild sowohl Fachpublikum als auch interessierte Laien an. Keywords: Strommast, Hochspannungsleitung, Energienetz, Digitalisierung, Smart Grid, Energiezukunft, nachhaltige Energie, Datenfluss, Stromtransport, Infrastruktur, Energieversorgung.

Le 1er janvier 2024, la loi fédérale sur la sécurité de l’information au sein de l’État fédéral (Loi sur la sécurité de l’information, LSI) est entrée en vigueur avec trois nouveaux décrets et un décret révisé. La LSI rassemble les principales bases juridiques relatives à la sécurité des informations et des moyens informatiques de l’État fédéral en une seule loi (voir le communiqué de presse). L’objectif de la LSI est de garantir le traitement sécurisé des informations et l’utilisation sécurisée des moyens informatiques de l’État fédéral (art. 1, al. 1, LSI). 

Lors de sa séance du 7 mars 2025, le Conseil fédéral a décidé de mettre en vigueur l’obligation de signaler les cyberattaques contre les infrastructures critiques à partir du 1er avril 2025. 

À partir du 1er avril 2025, les exploitants d’infrastructures critiques seront tenus d’informer l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant la découverte d’une attaque. Ces notifications permettront à l’OFCS de fournir une assistance ciblée aux personnes concernées et d’avertir les autres exploitants à un stade précoce. Les organismes publics (fédéraux, cantonaux, communaux), les universités, les banques, les compagnies d’assurance, les hôpitaux, les prestataires de services informatiques, les fournisseurs d’énergie et les entreprises de transport sont notamment soumis à l’obligation de signalement. 

L’ordonnance fixe des seuils spécifiques pour l’obligation de signalement dans différents secteurs tels que l’approvisionnement en énergie. Les autorités ou organisations qui n’atteignent pas ces seuils ne sont pas soumises à l’obligation de signalement. 

Pour les entreprises d’approvisionnement en énergie, les valeurs seuils sont basées sur l’article 5a, paragraphe 1 et l’annexe 1a de l’Ordonnance sur l’approvisionnement en électricité (OApEl). 

Sont donc exemptés de l’obligation de déclaration les gestionnaires de réseau, les producteurs d’électricité, les gestionnaires de stockage d’électricité ou les prestataires de services dans le secteur de l’électricité qui ne sont pas tenus de respecter le niveau de protection A ou B. 

Cela signifie que les gestionnaires de réseau qui transportent ≥ 450 GWh/an, les gestionnaires de réseau et les prestataires de services qui transportent ≥ 112 GWh/an et < 450 GWh/an, ainsi que les producteurs, à l’exception des exploitants de centrales nucléaires, et les exploitants de stockage, à condition qu’ils exploitent des installations d’une puissance totale d’au moins 100 MW et qu’ils puissent les contrôler via un système unique, sont exemptés de l’obligation de notification. 

Conditions de l’obligation de notification 

Une cyberattaque doit être signalée si : 

a) le fonctionnement de l’infrastructure critique est menacé,

b) il y a eu manipulation ou fuite de données,

c) l’attaque est restée non détectée pendant une longue période, en particulier s’il existe des indications d’autres attaques prévues, ou

d) l’attaque est associée à du chantage, des menaces ou de la coercition (art. 74d revLSI).

Processus de notification 

Si une entreprise est victime d’une cyberattaque soumise à déclaration, elle doit signaler l’attaque à l’OFCS dans les 24 heures suivant sa découverte. La déclaration doit contenir des informations sur l’entreprise, le type d’attaque, ses conséquences, les mesures prises et les étapes prévues. Les déclarations incomplètes peuvent être complétées ultérieurement. 

L’OFCS informe l’OFC dès que toutes les données nécessaires à l’accomplissement de l’obligation de notification sont disponibles. La notification ne doit contenir aucune information susceptible d’incriminer l’entreprise. 

L’OFCS met à disposition un système de transmission sécurisé pour la notification électronique. 

Sanctions en cas de violation de l’obligation de notification 

S’il existe des indices d’une violation de l’obligation de notification, l’OFCOM informe l’entreprise concernée et fixe un délai pour l’accomplissement de l’obligation. Si l’obligation n’est pas remplie dans ce délai, l’OFCS rend une décision fixant un nouveau délai et menace de sanctions. 

Quiconque enfreint intentionnellement une décision exécutoire de l’OFCS ou d’un organe de recours peut être condamné à une amende pouvant aller jusqu’à 100 000 CHF. 

Normes minimales pour les TIC 

La responsabilité fondamentale de l’autoprotection incombe aux entreprises et organisations concernées. Partout où le fonctionnement des infrastructures critiques est concerné, l’État a la responsabilité de les protéger (Loi sur l’approvisionnement du pays). Les normes minimales pour les TIC sont l’expression de la responsabilité de l’État en matière de protection des citoyens, des entreprises, des institutions et de l’administration publique. 

Il est recommandé à tous les exploitants d’infrastructures critiques de mettre en œuvre les normes minimales pour les TIC correspondantes. Ces normes minimales sont obligatoires pour le secteur de l’électricité depuis le 1er juillet 2024 et devraient l’être pour les fournisseurs de gaz à partir du 1er juillet 2025. Cependant, ces normes aident également toutes les autres entreprises et organisations à améliorer leur propre résilience en matière de TIC. 

L’Office fédéral pour l’approvisionnement économique du pays (OFAE) a développé des mesures préventives pour renforcer la résilience des infrastructures TIC critiques et a établi des normes minimales pour les TIC spécifiques à chaque secteur. 

Dans le cadre de la révision de la stratégie et de la création de l’Office fédéral de la cybersécurité (OFCS), les responsabilités ont été redistribuées. Depuis mars 2024, l’OFCS est désormais responsable des normes minimales pour les TIC. 

 

Votre contact

Portrait Dr. iur. Michèle Balthasar
Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistante

Edith Luginbühl est une assistante engagée et expérimentée avec plus de 50 ans d'expérience professionnelle. Sa carrière professionnelle a commencé par une formation commerciale dans une grande banque et l'a menée dans différents secteurs, dont la restauration, l'hôtellerie, la location de voitures, les agences de voyage et la rédaction de journaux. Parmi ses points forts, on peut citer son caractère aimable et professionnel, sa fiabilité ainsi que son sens aigu du détail.

Alex Wild

L'étudiant

Alexander Wild a commencé ses études de droit à l'Université de Zurich en 2019. Avant et pendant ses études, il a déjà pu acquérir une première expérience dans un département de compliance d'une banque, a travaillé en tant que support informatique ainsi que dans un département juridique d'une entreprise pharmaceutique active au niveau international. Ses activités comprenaient entre autres la vérification/le respect des instructions bancaires, des sanctions, des clients et du risque pays ; l'évaluation du risque client général pour la banque ; le support Wet Ink ainsi que le support dans l'optimisation des processus de signature de contrats. Depuis 2022, il travaille comme assistant juridique chez Balthasar Legal AG et LR | Rechtsanwälte. Il devrait terminer ses études de master en 2025.

Sangmo Agontsang

Paralegal

Sangmo Agontsang a obtenu son diplôme d'économiste à la Kaderschule de Zurich en 2012. Après l'obtention de son diplôme, elle a travaillé comme assistante du CEO, notamment pour Freitag lab ag et CBM Suisse. Elle a en outre acquis de l'expérience dans l'organisation de la Kaderschule Zürich et a travaillé pendant trois ans dans le département Intellectual Property de Freitag lab ag. Elle y a travaillé au niveau international avec une équipe d'avocats pour défendre les droits de l'entreprise. Depuis 2022, elle travaille comme parajuriste chez Balthasar Legal AG.

Markus Bruggmann

MLaw Conseiller principal

MLaw Markus Bruggmann a terminé ses études de droit à l'Université de Zurich en 2013. Depuis, il a travaillé entre autres pour une banque, un cabinet d'avocats d'affaires et une compagnie d'assurance, où il s'est spécialisé dans le conseil ainsi que dans la vérification et la rédaction de contrats dans les domaines du droit de la communication et de la technologie (protection des données), en tenant compte du droit de la responsabilité civile et de la propriété intellectuelle. Parmi ses points forts figurent ses capacités d'analyse et sa vaste expérience.