Droit interne 1 État - Peuple - Autorités 12 Sécurité de la Confédération
Diritto nazionale 1 Stato - Popolo - Autorità 12 Sicurezza della Confederazione

120.73 Ordonnance du 27 mai 2020 sur la protection contre les cyberrisques dans l'administration fédérale (Ordonnance sur les cyberrisques, OPCy)

120.73 Ordinanza del 27 maggio 2020 sulla protezione contro i ciber-rischi nell'Amministrazione federale (Ordinanza sui ciber-rischi, OCiber)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 14 Unités administratives et fournisseurs de prestations

1 Les unités administratives désignent chacune un DSIO, qui agit sur mandat direct de la direction de l’unité administrative. Le secteur Transformation numérique et gouvernance de l’informatique de la Chancellerie fédérale (secteur TNI de la ChF) désigne en outre un délégué à la sécurité informatique des services standard.

2 Les DSIO et le délégué à la sécurité informatique des services informatiques standard assument les tâches suivantes:

a.
veiller à la mise en œuvre rapide des directives en matière de sécurité informatique et à l’application des procédures de sécurité dans les unités administratives (chap. 3a);
b.
veiller à ce que les collaborateurs soient sensibilisés et formés aux enjeux de la sécurité informatique à leur entrée en fonction puis à intervalles réguliers, et à ce qu’ils connaissent, au niveau qui les concerne et selon leur fonction, les compétences et les procédures applicables en matière de sécurité informatique dans leur environnement de travail;
c.
informer le responsable de leur unité administrative au moins tous les six mois de l’état de la sécurité informatique dans l’unité administrative.

3 Les unités administratives sont responsables de la sécurité de leurs objets informatiques à protéger. Elles assument les fonctions suivantes:

a.
faire l’inventaire de leurs objets informatiques à protéger et prendre les mesures de sécurité nécessaires; veiller notamment à ce que ces mesures soient consignées sous une forme actualisée pour chaque objet informatique à protéger;
b.
s’assurer du respect et de la mise en œuvre des directives en matière de sécurité informatique, des procédures de sécurité et des décisions du Conseil fédéral, du NCSC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétence respectifs;
c.
sous réserve de l’art. 12, al. 5, gérer tout cyberincident touchant leurs objets informatiques à protéger;
d.
s’assurer qu’en cas d’acquisition de prestations auprès d’un fournisseur externe, les directives en matière de sécurité informatique font partie intégrante du contrat;
e.
vérifier de manière appropriée que les directives en matière de sécurité informatique sont respectées par les fournisseurs externes;
f.
veiller à ce que les responsabilités en matière de sécurité informatique soient définies au niveau opérationnel dans les accords de projets et les conventions de prestations conclus entre les fournisseurs et les bénéficiaires de prestations;
g.
veiller à ce que les personnes non soumises à la présente ordonnance ne puissent accéder à l’infrastructure informatique de la Confédération que si elles s’engagent à respecter les directives en matière de sécurité informatique.

4 Les fournisseurs de prestations assument les fonctions suivantes:

a.
transmettre aux bénéficiaires de prestations, à la demande de ceux-ci et sous une forme appropriée, toutes les informations nécessaires à la protection de leurs objets informatiques à protéger;
b.
veiller à disposer des capacités nécessaires à l’analyse technique et à la gestion des cyberincidents qui les concernent ou qui concernent leurs bénéficiaires de prestations;
c.
informer sans délai leurs bénéficiaires de prestations des failles et des incidents de sécurité détectés qui concernent leurs objets informatiques à protéger;
d.
définir, en collaboration avec les bénéficiaires de prestations, un processus de gestion des cyberincidents; celui-ci règle en particulier les compétences décisionnelles dont relèvent les mesures d’urgence.

5 Si un cyberincident ne peut être géré dans le cadre du processus défini, les personnes concernées informent le NCSC afin de définir la marche à suivre.

6 Les unités administratives consultent le NCSC pour ce qui concerne les directives et projets informatiques ayant une incidence sur la sécurité.

7 Elles sont responsables du développement, de la mise en œuvre et de l’évaluation de normes et de réglementations en matière de cybersécurité dans leurs domaines respectifs. Le NCSC met à leur disposition, dans la mesure des possibilités, des experts du pool visé à l’art. 12, al. 1, let. g.

15 Nouvelle teneur selon le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1er avr. 2021 (RO 2021 132).

Art. 14 Unità amministrative e i loro fornitori di prestazioni

1 Ogni unità amministrativa designa il proprio ISIU, che opera su incarico diretto della direzione dell’unità amministrativa. Il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (settore TDT) designa inoltre un incaricato della sicurezza informatica per i servizi standard.

2 Gli ISIU e l’incaricato della sicurezza informatica per i servizi standard hanno i seguenti compiti:

a.
garantire una rapida attuazione delle direttive in materia di sicurezza informatica e l’applicazione delle procedure di sicurezza (cap. 3a.);
b.
provvedere affinché al momento dell’assunzione, e in seguito periodicamente, i collaboratori vengano sensibilizzati e istruiti sui temi legati alla sicurezza informatica e conoscano le competenze e i processi della sicurezza informatica nel loro ambito lavorativo, a seconda del livello gerarchico e della funzione;
c.
informare il responsabile dell’unità amministrativa almeno ogni sei mesi sullo stato della sicurezza informatica all’interno dell’unità amministrativa.

3 Le unità amministrative sono responsabili della sicurezza dei propri oggetti informatici da proteggere. Hanno le seguenti funzioni:

a.
tenere un inventario dei loro oggetti informatici da proteggere e adottare le necessarie misure di sicurezza; provvedere segnatamente affinché la documentazione di queste misure sia aggiornata per ogni oggetto informatico da proteggere;
b.
garantire il rispetto e l’attuazione delle direttive in materia di sicurezza informatica, delle procedure di sicurezza nonché delle decisioni del Consiglio federale, dell’NCSC e dei dipartimenti o della Cancelleria federale nel loro settore di competenza;
c.
fatto salvo l’articolo 12 capoverso 5, gestire i ciberincidenti che riguardano i loro oggetti informatici da proteggere;
d.
in caso di acquisizione di prestazioni presso un fornitore esterno, garantire che le direttive in materia di sicurezza informatica siano parte integrante del rapporto contrattuale con il fornitore;
e.
verificare in modo appropriato che i fornitori esterni rispettino le direttive in materia di sicurezza informatica;
f.
assicurare che le responsabilità per la sicurezza informatica a livello operativo siano definite negli accordi di progetto e di prestazione tra i fornitori di prestazioni e i beneficiari di prestazioni;
g.
provvedere affinché le persone a cui la presente ordinanza non è applicabile possano accedere all’infrastruttura informatica della Confederazione soltanto se si impegnano a rispettare le direttive in materia di sicurezza informatica.

4 I fornitori di prestazioni hanno le seguenti funzioni:

a.
su richiesta, mettere a disposizione dei beneficiari di prestazioni in forma adeguata tutte le informazioni necessarie alla protezione degli oggetti informatici da proteggere;
b.
garantire di disporre delle capacità necessarie alle analisi tecniche e alla gestione dei ciberincidenti che possono verificarsi ai loro danni o ai danni dei beneficiari di prestazioni;
c.
comunicare senza indugio ai beneficiari di prestazioni le vulnerabilità scoperte e gli incidenti legati alla sicurezza riguardanti i loro oggetti informatici da proteggere;
d.
definire in collaborazione con i beneficiari di prestazioni un processo di gestione dei ciberincidenti; questo processo disciplina segnatamente le competenze decisionali per l’adozione di misure urgenti.

5 Se un ciberincidente non può essere gestito nell’ambito del processo definito, gli interessati informano il NCSC al fine di determinare l’ulteriore modo di procedere.

6 Le unità amministrative consultano il NCSC in merito a direttive e progetti informatici rilevanti dal profilo della sicurezza.

7 Sono responsabili dello sviluppo, dell’attuazione e dell’esame di standard e norme in materia di cibersicurezza nei loro settori. Per quanto possibile, il NCSC mette a loro disposizione esperti del pool di cui all’articolo 12 capoverso 1 lettera g.

15 Nuovo testo giusta il n. I dell’O del 24 feb. 2021, in vigore dal 1° apr. 2021 (RU 2021 132).

 

Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.