Droit interne 1 État - Peuple - Autorités 12 Sécurité de la Confédération
Diritto nazionale 1 Stato - Popolo - Autorità 12 Sicurezza della Confederazione

120.73 Ordonnance du 27 mai 2020 sur la protection contre les cyberrisques dans l'administration fédérale (Ordonnance sur les cyberrisques, OPCy)

120.73 Ordinanza del 27 maggio 2020 sulla protezione contro i ciber-rischi nell'Amministrazione federale (Ordinanza sui ciber-rischi, OCiber)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 12 Centre national pour la cybersécurité

1 Le NCSC est le centre de compétences de la Confédération en matière de cyberrisques et coordonne les travaux de la Confédération dans le domaine de la cybersécurité. Il assume les tâches suivantes:

a.
exploiter le guichet unique suisse en matière de cyberrisques, qui centralise les notifications émanant de l’administration fédérale, des milieux économiques, des cantons et de la population, les analyse et peut émettre des recommandations;
b.
fournir, en collaboration avec les partenaires compétents au sein de l’administration fédérale, un appui subsidiaire aux exploitants d’infrastructures critiques et encourager entre eux l’échange d’informations concernant les cyberrisques;
c.
diriger l’équipe d’intervention en cas d’urgence informatique (Computer Emergency Response Team, GovCERT), qui est le service spécialisé national pour la gestion technique des cyberincidents, l’analyse des questions techniques, l’évaluation technique des menaces et l’appui technique au guichet unique suisse;
d.
diriger le service spécialisé de sécurité informatique de la Confédération, qui élabore des directives en matière de sécurité informatique, conseille les unités administratives lors de leur application et vérifie le niveau de sécurité informatique au sein des départements et de la Chancellerie fédérale;
e.
désigner les délégués à la sécurité informatique de la Confédération (DSIC);
f.
coordonner la mise en œuvre de la SNPC, effectuer un contrôle de gestion stratégique de la SNPC et préparer les séances du Groupe Cyber et du CP SNPC;
g.
disposer d’un pool d’experts chargés d’assister les offices spécialisés dans la mise en œuvre de mesures de la SNPC ainsi que dans le développement, la mise en œuvre et l’évaluation de normes et de réglementations en matière de cybersécurité;
h.
contribuer à sensibiliser l’administration fédérale et le grand public aux cyberrisques au moyen d’informations ciblées, informer sur l’état de la situation et publier des instructions sur les mesures préventives ou réactives à prendre;
i.
exploiter une infrastructure d’analyse et de communication résiliente qui fonctionne indépendamment du reste de l’informatique de la Confédération;
j.
informer le Groupe Cyber des cyberincidents et, lorsque ceux-ci sont importants du point de vue de la politique extérieure et de la politique de sécurité, en informer également le Groupe Sécurité de la Confédération.

2 Il peut traiter les données relatives aux cyberincidents et aux flux de communication correspondants pour autant que ce traitement soit utile, directement ou indirectement, à la protection de l’administration fédérale contre les cyberrisques. Il peut communiquer ces données à des équipes de sécurité publiques ou privées si:

a.
le fournisseur des données y consent; et
b.
aucune obligation légale de garder le secret n’est enfreinte.

3 La communication de données personnelles à l’étranger n’est autorisée que si la législation fédérale sur la protection des données est respectée.

4 Les données sensibles ne peuvent être traitées que si une base légale autorise leur traitement par des moyens informatiques de la Confédération.

5 En concertation avec les services concernés de l’administration fédérale, le NCSC prend la haute main sur la gestion des cyberincidents présentant une menace pour le bon fonctionnement de l’administration fédérale. Le cas échéant, il assume les tâches et compétences suivantes:

a.
il peut obtenir des fournisseurs et des bénéficiaires de prestations concernés toutes les informations nécessaires;
b.
il peut ordonner des mesures d’urgence;
c.
il informe de son action la direction des unités administratives concernées

6 Si les mesures prises à la suite d’un cyberincident ont permis de réduire à un niveau acceptable la menace pour la confidentialité ou le fonctionnement de l’administration fédérale et que les travaux de suivi nécessaires et leur financement ont été arrêtés, le NCSC rend la responsabilité de la gestion aux services concernés.

Art. 12 Centro nazionale per la cibersicurezza

1 Il NCSC è il centro di competenza della Confederazione in materia di ciber-rischi che coordina i lavori della Confederazione nel settore della cibersicurezza. Esso ha i seguenti compiti:

a.
gestire il servizio nazionale di contatto per le questioni legate ai ciber-rischi; questo servizio riceve e analizza le segnalazioni dell’Amministrazione federale, del settore economico, dei Cantoni e della popolazione e, se necessario, formula raccomandazioni al riguardo;
b.
fornire, insieme ai partner competenti dell’Amministrazione federale, supporto sussidiario ai gestori di infrastrutture critiche e promuovere tra questi lo scambio di informazioni sui ciber-rischi;
c.
gestire il «Computer Emergency Response Team» (GovCERT); esso costituisce il servizio specializzato nazionale per la gestione tecnica degli incidenti, l’analisi di problematiche tecniche, la valutazione delle minacce dal profilo tecnico e il supporto tecnico del servizio nazionale di contatto;
d.
gestire il servizio specializzato per la sicurezza informatica della Confederazione; questo servizio elabora direttive in materia di sicurezza informatica, offre consulenza alle unità amministrative per la rispettiva attuazione e rileva lo stato della sicurezza informatica presso i dipartimenti e la Cancelleria federale;
e.
designare gli incaricati della sicurezza informatica della Confederazione (ISIC);
f.
coordinare l’attuazione della SNPC, eseguire il controlling strategico e preparare le sedute del Comitato ristretto Ciber e del CD SNPC;
g.
disporre di un pool di esperti incaricati di fornire supporto agli uffici specializzati nell’attuazione delle misure definite nella SNPC nonché nello sviluppo, nell’attuazione e nell’esame di standard e norme in materia di cibersicurezza;
h.
contribuire con informazioni mirate a sensibilizzare l’Amministrazione federale e il pubblico sui ciber-rischi, informare sulla situazione attuale ed emanare istruzioni per l’adozione di misure preventive e reattive;
i.
gestire un’infrastruttura di analisi e comunicazione resiliente in grado di funzionare indipendentemente dal resto dell’informatica della Confederazione;
j.
informare il Comitato ristretto Ciber sui ciberincidenti rilevanti e, se questi ultimi sono d’interesse per la politica estera e la politica di sicurezza, anche il Comitato ristretto Sicurezza della Confederazione.

2 Il NCSC può trattare i dati sui ciberincidenti e sui relativi flussi di comunicazione, qualora ciò serva a proteggere direttamente o indirettamente l’Amministrazione federale dai ciber-rischi. Può comunicare i dati a gruppi statali o privati incaricati della sicurezza, sempre che:

a.
il fornitore di dati abbia dato il suo consenso; e
b.
non sia violato alcuno obbligo legale di mantenere il segreto.

3 La comunicazione di dati personali all’estero è ammessa soltanto se sono rispettate le pertinenti prescrizioni della legislazione federale sulla protezione dei dati.

4 I dati personali degni di particolare protezione possono essere trattati solo se esiste la necessaria base legale che autorizza il loro trattamento mediante i mezzi informatici della Confederazione.

5 Nel caso di un ciberincidente che minaccia il corretto funzionamento dell’Amministrazione federale, dopo aver consultato i servizi interessati il NCSC assume in seno all’Amministrazione federale la responsabilità principale della sua gestione. A tal fine, gli sono assegnati i compiti e le competenze seguenti:

a.
obbligare, se necessario, i fornitori e i beneficiari di prestazioni interessati a fornirgli tutte le informazioni necessarie;
b.
ordinare, se necessario, misure urgenti;
c.
informare la direzione delle unità amministrative interessate sugli sviluppi della situazione.

6 Se, dopo un ciberincidente, le misure adottate hanno permesso di ridurre sufficientemente la minaccia per la confidenzialità o il funzionamento dell’Amministrazione federale e i necessari lavori successivi nonché il loro finanziamento sono stati definiti, il NCSC trasmette la responsabilità del seguito dei lavori ai servizi interessati.

 

Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.