Art. 12 Nationales Zentrum für Cybersicherheit

¹ Das NCSC ist das Kompetenzzentrum des Bundes für Cyberrisiken und koordiniert die Arbeiten des Bundes im Bereich Cybersicherheit. Es hat folgende Aufgaben:

a.: Es betreibt die nationale Anlaufstelle für Cyberrisiken; diese nimmt Meldungen aus der Bundesverwaltung, der Wirtschaft, den Kantonen und der Bevölkerung entgegen, analysiert sie und kann Empfehlungen dazu abgeben.
b.: Es sorgt mit den zuständigen Kooperationspartnern in der Bundesverwaltung für die subsidiäre Unterstützung der Betreiber kritischer Infrastrukturen und fördert unter diesen den Informationsaustausch zu Cyberrisiken.
c.: Es betreibt das «Computer Emergency Response Team» (GovCERT); dieses ist die nationale Fachstelle für die technische Vorfallbewältigung, die Analyse technischer Fragestellungen, die Einschätzungen der Bedrohungslage aus technischer Sicht und die technische Unterstützung der nationalen Anlaufstelle.
d.: Es betreibt eine Fachstelle für die Informatiksicherheit des Bundes; diese erarbeitet Informatiksicherheitsvorgaben, berät die Verwaltungseinheiten bei deren Umsetzung und erhebt den Stand der Informatiksicherheit in den Departementen und der Bundeskanzlei.
e.: Es stellt die Informatiksicherheitsbeauftragten des Bundes (ISBB).
f.: Es koordiniert die Umsetzung der NCS, führt ein strategisches Controlling durch und bereitet die Sitzungen der KGCy und des StA NCS vor.
g.: Es verfügt über einen Expertenpool, aus dem Expertinnen und Experten zur Unterstützung der Fachämter bei der Umsetzung von NCS-Massnahmen sowie bei der Entwicklung, Umsetzung und Prüfung von Standards und Regulierungen in Bezug auf die Cybersicherheit zur Verfügung gestellt werden.
h.: Es trägt mit gezielten Informationen zur Sensibilisierung der Bundesverwaltung und der Öffentlichkeit in Bezug auf Cyberrisiken bei, informiert über die aktuelle Lage und gibt Anleitungen für präventive und reaktive Massnahmen heraus.
i.: Es betreibt eine resiliente Analyse- und Kommunikationsinfrastruktur, die unabhängig von der restlichen Bundesinformatik funktionieren muss.
j.: Es informiert die KGCy sowie bei aussen- und sicherheitspolitischer Bedeutung die KGSi über relevante Cybervorfälle.

² Es kann, sofern dies direkt oder indirekt dem Schutz der Bundesverwaltung vor Cyberrisiken dient, Daten zu Cybervorfällen und damit verbundenen Kommunikationsflüssen bearbeiten. Es kann sie staatlichen und privaten Sicherheitsteams bekanntgeben, sofern:

a.: der Datenlieferant einverstanden ist; und
b.: keine gesetzlichen Geheimhaltungspflichten verletzt werden.

³ Eine Bekanntgabe von Personendaten ins Ausland ist nur zulässig, sofern die diesbezüglichen Vorgaben der Bundesgesetzgebung über den Datenschutz eingehalten werden.

⁴ Besonders schützenswerte Personendaten dürfen nur bearbeitet werden, soweit für deren Bearbeitung mit Mitteln der Bundesinformatik die erforderliche gesetzliche Grundlage besteht.

⁵ Das NCSC übernimmt in der Bundesverwaltung nach Rücksprache mit den betroffenen Dienststellen die Federführung bei der Bewältigung eines Cybervorfalls, wenn dieser das ordnungsgemässe Funktionieren der Bundesverwaltung gefährdet. Dabei hat es folgende Aufgaben und Kompetenzen:

a.: Es kann die betroffenen Leistungserbringer und -bezüger verpflichten, ihm alle nötigen Informationen zur Verfügung zu stellen.
b.: Es kann Sofortmassnahmen anordnen.
c.: Es informiert die Leitung der betroffenen Verwaltungseinheiten über den Verlauf.

⁶ Wurde nach einem Cybervorfall die Gefährdung der Vertraulichkeit oder der Funktionsfähigkeit der Bundesverwaltung durch die getroffenen Massnahmen genügend reduziert und sind die nötigen Folgearbeiten sowie deren Finanzierung definiert, so übergibt das NCSC die Verantwortung für die Weiterbearbeitung wieder an die betroffenen Stellen.

Art. 12 Centre national pour la cybersécurité

¹ Le NCSC est le centre de compétences de la Confédération en matière de cyberrisques et coordonne les travaux de la Confédération dans le domaine de la cybersécurité. Il assume les tâches suivantes:

a.: exploiter le guichet unique suisse en matière de cyberrisques, qui centralise les notifications émanant de l’administration fédérale, des milieux économiques, des cantons et de la population, les analyse et peut émettre des recommandations;
b.: fournir, en collaboration avec les partenaires compétents au sein de l’administration fédérale, un appui subsidiaire aux exploitants d’infrastructures critiques et encourager entre eux l’échange d’informations concernant les cyberrisques;
c.: diriger l’équipe d’intervention en cas d’urgence informatique (Computer Emergency Response Team, GovCERT), qui est le service spécialisé national pour la gestion technique des cyberincidents, l’analyse des questions techniques, l’évaluation technique des menaces et l’appui technique au guichet unique suisse;
d.: diriger le service spécialisé de sécurité informatique de la Confédération, qui élabore des directives en matière de sécurité informatique, conseille les unités administratives lors de leur application et vérifie le niveau de sécurité informatique au sein des départements et de la Chancellerie fédérale;
e.: désigner les délégués à la sécurité informatique de la Confédération (DSIC);
f.: coordonner la mise en œuvre de la SNPC, effectuer un contrôle de gestion stratégique de la SNPC et préparer les séances du Groupe Cyber et du CP SNPC;
g.: disposer d’un pool d’experts chargés d’assister les offices spécialisés dans la mise en œuvre de mesures de la SNPC ainsi que dans le développement, la mise en œuvre et l’évaluation de normes et de réglementations en matière de cybersécurité;
h.: contribuer à sensibiliser l’administration fédérale et le grand public aux cyberrisques au moyen d’informations ciblées, informer sur l’état de la situation et publier des instructions sur les mesures préventives ou réactives à prendre;
i.: exploiter une infrastructure d’analyse et de communication résiliente qui fonctionne indépendamment du reste de l’informatique de la Confédération;
j.: informer le Groupe Cyber des cyberincidents et, lorsque ceux-ci sont importants du point de vue de la politique extérieure et de la politique de sécurité, en informer également le Groupe Sécurité de la Confédération.

² Il peut traiter les données relatives aux cyberincidents et aux flux de communication correspondants pour autant que ce traitement soit utile, directement ou indirectement, à la protection de l’administration fédérale contre les cyberrisques. Il peut communiquer ces données à des équipes de sécurité publiques ou privées si:

a.: le fournisseur des données y consent; et
b.: aucune obligation légale de garder le secret n’est enfreinte.

³ La communication de données personnelles à l’étranger n’est autorisée que si la législation fédérale sur la protection des données est respectée.

⁴ Les données sensibles ne peuvent être traitées que si une base légale autorise leur traitement par des moyens informatiques de la Confédération.

⁵ En concertation avec les services concernés de l’administration fédérale, le NCSC prend la haute main sur la gestion des cyberincidents présentant une menace pour le bon fonctionnement de l’administration fédérale. Le cas échéant, il assume les tâches et compétences suivantes:

a.: il peut obtenir des fournisseurs et des bénéficiaires de prestations concernés toutes les informations nécessaires;
b.: il peut ordonner des mesures d’urgence;
c.: il informe de son action la direction des unités administratives concernées

⁶ Si les mesures prises à la suite d’un cyberincident ont permis de réduire à un niveau acceptable la menace pour la confidentialité ou le fonctionnement de l’administration fédérale et que les travaux de suivi nécessaires et leur financement ont été arrêtés, le NCSC rend la responsabilité de la gestion aux services concernés.

Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.