Avec la loi sur la sécurité informatique 2.0, le législateur n’a pas seulement imposé des exigences plus strictes en matière de sécurité informatique aux exploitants d’infrastructures critiques (CRITIS), mais a également édicté pour la première fois des règles pour les entreprises d’intérêt public particulier (UBI ou UNBÖFI). Pour ces derniers, l’Office fédéral de la sécurité de l’information (BSI) vient de publier une FAQ contenant des informations sur la manière de mettre en œuvre la nouvelle obligation légale.

Que sont les « entreprises d’intérêt public particulier » ?

Les entreprises d’intérêt public particulier sont définies à l’article 2 (14) de la loi sur le Bureau fédéral de la sécurité de l’information (BSIG). Comme les infrastructures critiques, elles sont d’une importance capitale pour le fonctionnement de notre société. Le législateur les a réparties en trois catégories, qui peuvent être schématiquement décrites comme les entreprises de l’industrie de la défense (n° 1), les entreprises d’importance économique nationale (n° 2) et les entreprises du secteur des substances dangereuses (n° 3).

Les entreprises présentant un intérêt public particulier sont soumises à une série de nouvelles obligations qui doivent être mises en œuvre à des moments différents selon la catégorie. Tout d’abord, ils sont tenus de s’enregistrer et de désigner un point de contact.

En outre, conformément à la section 8f (7) de la BSIG, il existe une obligation de signaler tout dysfonctionnement qui se produit à la BSI. Il y a dysfonctionnement lorsqu’une technologie utilisée ne peut plus remplir sa fonction correctement ou complètement, ou lorsqu’il y a (tentative d’) interférence avec celle-ci. Il s’agit, par exemple, des failles de sécurité, des logiciels malveillants ou des cyberattaques. La perturbation doit avoir un impact sur la disponibilité, l’intégrité, l’authenticité ou la confidentialité de l’activité et avoir au moins le potentiel d’altérer de manière significative la création de valeur. Les perturbations très mineures ne déclenchent donc pas d’obligation de déclaration. Le BSI utilise les rapports pour aider l’entreprise à surmonter la perturbation et pour avertir les autres entreprises des dangers.

Les entreprises présentant un intérêt public particulier sont parfois également obligées de soumettre une auto-déclaration au BSI. Elle doit notamment montrer quelles certifications dans le domaine de la sécurité informatique ont été effectuées au cours des deux dernières années et comment on s’assure que les systèmes, composants et processus informatiques particulièrement dignes de protection pour l’entreprise sont protégés de manière adéquate.

Un besoin urgent d’action pour la catégorie 3

Selon la catégorie de l’entreprise mentionnée ci-dessus, il est nécessaire d’agir dans un avenir proche. Par exemple, les entreprises de la première catégorie sont tenues de soumettre une autodéclaration et de s’enregistrer auprès du BSI avant le 1er mai 2023. Pour les entreprises de la deuxième catégorie, il n’y a initialement pas de besoin aigu d’agir. Les entreprises de la dernière catégorie sont déjà tenues de signaler les incidents à partir du 1er novembre 2021.

La loi sur la sécurité informatique 2.0 et les orientations actuelles de la BSI qui y sont associées montrent clairement que les exigences en matière de cybersécurité pour les entreprises sont de plus en plus importantes. Dans ce contexte, les entreprises sont confrontées à des obligations toujours nouvelles, tant au niveau national qu’au niveau européen (par exemple, à travers la loi sur la cybersécurité ou la directive NIS). Les FAQ de la BSI constituent un soutien bienvenu pour les entreprises qui risquent de lourdes amendes si elles enfreignent les nouvelles réglementations.