digitalswitzerland considère l’introduction de l’obligation de signaler les cyberattaques pour les exploitants d’infrastructures critiques comme une étape importante et juste. Le projet du Conseil fédéral nécessite encore des précisions sur un certain nombre de points afin d’éviter toute ambiguïté. Le champ d’application de la loi offre une marge d’interprétation importante quant aux entreprises concernées par l’obligation de signalement. Il convient également d’éviter tout chevauchement avec les obligations de signalement déjà existantes, afin de limiter autant que possible la charge de travail pour les personnes concernées. Avec une base légale plus précise et différenciée, l’obligation de signalement pourra encore mieux déployer ses effets.
Dans sa forme actuelle, le projet de loi offre une marge d’interprétation importante concernant les entreprises qui doivent remplir l’obligation de signalement. Afin d’éviter que cette obligation n’incombe à des entreprises qui n’entrent pas en ligne de compte pour la cybersécurité des exploitants d’infrastructures critiques, une définition plus claire des entreprises soumises à l’obligation de signalement est nécessaire. digitalswitzerland propose une obligation de signalement échelonnée selon la criticité des entreprises, afin de réduire le cercle des organisations concernées. De plus, l’objet de la déclaration doit être décrit plus précisément afin d’écarter tout malentendu. Ainsi, le texte de loi parle au choix de cyberincidents, de cyberattaques ou de failles.
Le sens du service doit mettre la priorité sur l’utilité pour les entreprises concernées
Aujourd’hui déjà, les entreprises signalent les cyberincidents à certains services de l’État. C’est pourquoi digitalswitzerland propose la création d’un « guichet unique » pour les signalements dans le domaine du cyberespace. Cette mesure, orientée vers le service, augmenterait considérablement l’utilité du projet de loi pour les entreprises concernées. L’obligation de signalement doit permettre aux autorités de proposer une prestation reposant sur un partenariat avec l’économie. Dans ce but, il est nécessaire de bâtir une confiance réciproque. C’est pourquoi digitalswitzerland rejette totalement les dispositions pénales proposées, qui vont à l’encontre de l’esprit de coopération du projet et contribuent à renforcer la méfiance entre les parties concernées. Et ce, dans un domaine où les intérêts sont en réalité convergents.
Andreas W. Kaelin, Senior Advisor Cyber Security de digitalswitzerland, commente : « En ce qui concerne l’ensemble du projet de loi, il ne faut pas oublier que si l’obligation de signalement contribue effectivement de manière importante à la cybersécurité au niveau national, elle représente avant tout une charge administrative pour les entreprises concernées. Il faut donc des directives claires sur « qui » doit effectuer le signalement, et « pour qui », « à quel propos » et « dans quelles » conditions.
Contact pour les médias
Andreas W. Kaelin, digitalswitzerland, Secrétariat de Berne
Tél. +41 31 311 62 45 │ andreas@digitalswitzerland.com