Modification de la loi fédérale sur la sécurité de l'information: vers un nouveau type de reporting obligatoire pour certains acteurs.
Le 12 janvier 2022, le Conseil fédéral a ouvert une procédure de consultation portant sur l'avant-projet de modification de la loi sur la sécurité de l'information. Cet avant-projet vise à introduire une obligation de signaler les cyberattaques contre certaines infrastructures jugées critiques. Le Centre national pour la cybersécurité (NCSC) assumera le rôle de centrale de signalement et verra ses compétences renforcées. Les signalements seront faits sur la base d'un formulaire électronique. La consultation durera jusqu'au 14 avril 2022.
Il n'existe actuellement pas de base légale spécifique (l'art. 29 al. 2 LFINMA étant une disposition générique et limitée aux assujettis Finma) prévoyant une obligation de notifier des cyberattaques (ayant ou non abouti). Les signalements au NCSC, dont les compétences reposent aujourd'hui essentiellement sur l'Ordonnance du Conseil fédéral sur les cyber-risques, en vigueur depuis le 1er juillet 2020, sont faites sur une base volontaire.
L'avant-projet contient une liste relativement détaillée d'exploitants d'infrastructures dites «critiques» qui seront soumis à l'obligation de signaler les cyberattaques au NCSC le plus rapidement possible après leur découverte. Entre autres secteurs d'activités, tels que les secteurs de l'énergie, de l'éducation ou encore de la santé sont visés certains acteurs du secteur financier, soit en particulier les établissements financiers soumis à la loi sur les banques (LB), les entreprises soumises à la loi sur la surveillance des assurances (LSA), ainsi que les infrastructures des marchés financiers soumises à la loi sur l’infrastructure des marchés financiers (LIMF).
L'avant-projet prévoit la possibilité pour le Conseil fédéral d'exempter certains acteurs, si les défaillances ou les dysfonctionnements provoqués par des cyberattaques contre leurs infrastructures sont peu probables, notamment en raison d’une faible dépendance à l’égard des moyens informatiques. Une exemption par le Conseil fédéral est en outre prévue si ces défaillances ou ces dysfonctionnements n'ont qu'un impact limité sur le fonctionnement de l'économie ou sur le bien-être de la population, en particulier (liste non exhaustive) parce qu'ils ne portent préjudice qu’à un petit nombre de personnes, sont suppléés par d’autres infrastructures critiques, ou ne présentent qu’un faible potentiel de dommages économique. Cette exemption pourrait, par exemple, s'avérer judicieuse pour certaines entreprises FinTech assujetties à la LB.
Le rapport explicatif précise que l'obligation de signaler les cyberattaques à la Finma en vertu de la Communication Finma 05/2020 du 7 mai 2020 concernant l'obligation de signaler les cyberattaques selon l'art. 29 al. 2 LFINMA coexistera en parallèle avec l'obligation de signalement au NCSC. Ce même rapport ajoute que la Finma et le NCSC se concerteront de manière à ce que la charge de travail pour les assujettis à l'obligation de signalement prévue par l'avant-projet soit la plus faible possible. En pratique, il reste à espérer que ce souhait des autorités puisse être concrétisé à moindre coût et complication opérationnelle. Par ailleurs, les établissements financiers non concernés par l'avant-projet, comme les gestionnaires de fortune ou les trustees resteront soumis aux exigences de la Finma résultant de la Communication Finma du 7 mai 2020.
L'avant-projet contient également une disposition pénale en cas d'infraction à l'obligation de signalement ou à l'obligation de renseigner. La sanction n'est cependant pas automatique. Le NCSC doit, dans un premier temps, rendre l'exploitant de l'infrastructure critique attentif à l'infraction commise. Cette première étape est une condition préalable à l'adoption d'une sanction, dans l'hypothèse où l'exploitant ne se conforme pas aux requêtes du NCSC. L'amende prévue est de 100'000 francs au plus. Si le montant prévisible de l'amende ne doit pas dépasser 20'000 francs et que l'enquête devait impliquer des mesures d'instruction disproportionnées par rapport à la peine encourue, l'autorité pourra renoncer à poursuivre les personnes impliquées et condamner l'entreprise en lieu et place.
Cet avant-projet est l'occasion de rappeler que les établissements financiers peuvent être soumis à de nombreuses exigences de signalement auprès de différentes autorités dont la portée et les délais peuvent varier, notamment en vertu de la Loi sur la protection des données révisée (LPD), du Règlement européen général sur la protection des données (RGPD), de la Circulaire Finma 2008/21 sur les risques opérationnels ou encore les communications au MROS en vertu de la LBA, ainsi que les reportings en vertu de la LIMF et d'autres normes étrangères (e.g. MiFIR). Cet avant-projet constitue une piqûre de rappel pour l'ensemble des acteurs et devrait aider à les rendre attentifs sur l'importance de mettre en place une organisation interne adéquate.