Ordonnance sur la cybersécurité: la cyberrésilience passe par une collaboration entre l’Etat et les milieux économiques
L’Association suisse des banquiers (ASB) et le Swiss FS-CSC ont élaboré une prise de position détaillée en réponse à la consultation relative à la nouvelle ordonnance sur la cybersécurité. Cette ordonnance vise à concrétiser la loi révisée sur la sécurité de l’information (LSI), notamment en ce qui concerne l’obligation de signaler.
Social Bookmarks
Les deux organisations saluent les efforts destinés à renforcer la cyberrésilience de la place financière suisse. Seules des dispositions efficaces, viables et durables permettront d’atteindre cet objectif.
Propositions concernant la mise en œuvre
Echange d’informations: l’accès au système d’échange d’informations ne devrait pas être réservé aux entreprises dont le siège est en Suisse, il doit être autorisé aussi – comme c’est le cas jusqu’à présent – aux succursales d’établissements financiers étrangers opérant en Suisse.
Obligation de signaler: les deux organisations jugent indispensable qu’en cas de signalement d’une cyberattaque à plusieurs autorités, par exemple l’Office fédéral de la cybersécurité (OFCS), l’Autorité fédérale de surveillance des marchés financiers (FINMA) et le Préposé fédéral à la protection des données et à la transparence (PFPDT), chacune de ces autorités n’ait accès qu’aux informations la concernant. Une telle disposition est nécessaire pour assurer le respect des directives relatives à la protection des données et pour éviter la divulgation de données sensibles.
Exception: une disposition de minimis devrait exonérer les petits établissements financiers de l’obligation de signaler dès lors que les impacts de la cyberattaque concernée sont faibles. Cette exception permettrait de faire en sorte que l’ordonnance reste proportionnée et ne crée pas de contraintes bureaucratiques inutiles au sein des petits établissements.
Délai transitoire: afin de laisser le temps aux entreprises concernées d’adapter leurs processus internes puis de les remettre en route, il faut prévoir un délai transitoire suffisant à compter de la publication définitive du texte de l’ordonnance.
Objectifs et perspectives
Le message principal de la prise de position consiste à souligner que pour protéger la place financière suisse et renforcer la cybersécurité dans le pays, les dispositions de l’ordonnance doivent être axées sur la pratique et bien pensées. Il faudra également nourrir un dialogue régulier et trouver des solutions opérationnelles, afin que l’ordonnance puisse déployer pleinement ses effets. L’ASB et le Swiss FS-CSC réaffirment leur volonté de continuer à s’impliquer activement dans le processus.
Par Corinna Eschbach
Legal Counsel & Association Manager
Swiss FS-CSC