Le Conseil fédé­ral avait, par suite de son rapport publié en réponse au postu­lat « Infrastructures critiques. Instaurer une obli­ga­tion de signa­ler les inci­dents graves de sécu­rité », chargé le Département fédé­ral des finances (DFF) de prépa­rer un projet intro­dui­sant les bases légales pour intro­duire une telle obli­ga­tion. La consul­ta­tion y faisant suite répond à une volonté poli­tique qui s’est mani­fes­tée dans d’autres contextes égale­ment, à l’instar de la stra­té­gie pour la protec­tion des infra­struc­tures critiques ou de la stra­té­gie de protec­tion de la Suisse contre les cyber­risques.

Lors de sa séance du 12 janvier 2022, le Conseil fédé­ral a ouvert la procé­dure de consul­ta­tion en propo­sant une modi­fi­ca­tion de la loi fédé­rale du 18 décembre 2020 sur la sécu­rité de l’information au sein de la Confédération (loi sur la sécu­rité de l’information, LSI) pour y instau­rer cette obli­ga­tion de signa­ler les cybe­rat­taques. Est présenté un avant-projet, accom­pa­gné d’un rapport expli­ca­tif.

L’avant-projet défi­nit tout d’abord les notions de cybe­rin­ci­dent et de cybe­rat­taque et prévoit ensuite les bases légales néces­saires à l’activité du NCSC, qui sera compé­tent pour rece­voir les signa­le­ments. Les moda­li­tés prin­ci­pales de l’obligation de signa­ler les cybe­rat­taques contre des infra­struc­tures critiques consti­tuent natu­rel­le­ment l’essence du projet. Finalement, la section concer­nant le trai­te­ment de données person­nelles et l’échange d’information dans la LSI est égale­ment revue, afin de corres­pondre aux tâches légales du NCSC.