120.73 Ordinance of 27 May 2020 on Protection against Cyber Risks in the Federal Administration (Cyber Risks Ordinance, CyRV)

120.73 Ordonnance du 27 mai 2020 sur la protection contre les cyberrisques dans l'administration fédérale (Ordonnance sur les cyberrisques, OPCy)

Art. 14 Administrative units and their service providers

1 The administrative units shall each appoint an IT security officer (ITSOO) who shall act on the direct instructions of the head of the administrative unit. The Digital Transformation and ICT Steering Sector at the Federal Chancellery (DTI Sector of the FCh) shall also appoint an IT security officer for standard services.

2 The ITSOOs and the IT security officer for standard services shall carry out the following tasks:

a.
They shall ensure the rapid implementation of the IT security directives and the use of the security procedures in the administrative units (Chapter 3a).
b.
They shall ensure that employees are made aware of and receive training on IT security issues on taking up employment and periodically thereafter and are familiar with the responsibilities and procedures for information technology security in their working environment relevant to their level and function.
c.
They shall report to the head of their administrative unit at least every six months on the current status of information technology security in their administrative unit.

3 The administrative units are responsible for the security of their protected IT systems. They shall carry out the following tasks:

a.
They shall conduct an inventory of their protected IT systems and take the required security measures; they shall in particular ensure that these measures are documented for the individual protected systems in the current manner.
b.
They are responsible for compliance with and the implementation of the IT security directives and the decisions of the Federal Council, the NCSC and the departments or the Federal Chancellery within the scope of their responsibilities.
c.
They are responsible, subject to Article 12 paragraph 5, for managing cyber incidents that affect their protected IT systems.
d.
When obtaining services from an external service provider, they shall ensure that the IT security directives form part of the contractual relationship with that provider.
e.
They shall verify in an appropriate manner whether external service providers are complying with the IT directives.
f.
They shall ensure that the responsibilities for information technology security at an operational level are set out in the project and performance agreements between service providers and service procurers.
g.
They shall ensure that persons to whom this Ordinance does not apply are only allowed access to federal IT infrastructure if they undertake to comply with the IT security directives.

4 The service providers shall perform the following functions:

a.
They shall provide their service procurers on request with all the information required to protect their protected IT systems in an appropriate form.
b.
They shall ensure that they have the capacities required to conduct a technical analysis and manage cyber incidents that affect them directly or affect their service procurers.
c.
They shall report to their service procurers without delay any weaknesses and security incidents that they detect that relate to their protected IT systems.
d.
They shall work with the service providers to define a process for managing cyber incidents. The process shall in particular regulate decision-making powers in relation to immediate measures.

5 If it is not possible to manage a cyber incident in accordance with the defined process, the parties concerned shall inform the NCSC so that it can decide on what further action to take.

6 The administrative units shall consult the NCSC in connection with security-relevant IT directives as well as projects.

7 They are responsible for developing, implementing and checking standards and regulations in relation to cyber security in their sectors. The NCSC shall wherever possible provide them with experts from the pool mentioned in Article 12 paragraph 1 letter g.

15 Amended by No I of the O of 24 Feb. 2021, in force since 1 April 2021 (AS 2021 132).

Art. 14 Unités administratives et fournisseurs de prestations

1 Les unités administratives désignent chacune un DSIO, qui agit sur mandat direct de la direction de l’unité administrative. Le secteur Transformation numérique et gouvernance de l’informatique de la Chancellerie fédérale (secteur TNI de la ChF) désigne en outre un délégué à la sécurité informatique des services standard.

2 Les DSIO et le délégué à la sécurité informatique des services informatiques standard assument les tâches suivantes:

a.
veiller à la mise en œuvre rapide des directives en matière de sécurité informatique et à l’application des procédures de sécurité dans les unités administratives (chap. 3a);
b.
veiller à ce que les collaborateurs soient sensibilisés et formés aux enjeux de la sécurité informatique à leur entrée en fonction puis à intervalles réguliers, et à ce qu’ils connaissent, au niveau qui les concerne et selon leur fonction, les compétences et les procédures applicables en matière de sécurité informatique dans leur environnement de travail;
c.
informer le responsable de leur unité administrative au moins tous les six mois de l’état de la sécurité informatique dans l’unité administrative.

3 Les unités administratives sont responsables de la sécurité de leurs objets informatiques à protéger. Elles assument les fonctions suivantes:

a.
faire l’inventaire de leurs objets informatiques à protéger et prendre les mesures de sécurité nécessaires; veiller notamment à ce que ces mesures soient consignées sous une forme actualisée pour chaque objet informatique à protéger;
b.
s’assurer du respect et de la mise en œuvre des directives en matière de sécurité informatique, des procédures de sécurité et des décisions du Conseil fédéral, du NCSC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétence respectifs;
c.
sous réserve de l’art. 12, al. 5, gérer tout cyberincident touchant leurs objets informatiques à protéger;
d.
s’assurer qu’en cas d’acquisition de prestations auprès d’un fournisseur externe, les directives en matière de sécurité informatique font partie intégrante du contrat;
e.
vérifier de manière appropriée que les directives en matière de sécurité informatique sont respectées par les fournisseurs externes;
f.
veiller à ce que les responsabilités en matière de sécurité informatique soient définies au niveau opérationnel dans les accords de projets et les conventions de prestations conclus entre les fournisseurs et les bénéficiaires de prestations;
g.
veiller à ce que les personnes non soumises à la présente ordonnance ne puissent accéder à l’infrastructure informatique de la Confédération que si elles s’engagent à respecter les directives en matière de sécurité informatique.

4 Les fournisseurs de prestations assument les fonctions suivantes:

a.
transmettre aux bénéficiaires de prestations, à la demande de ceux-ci et sous une forme appropriée, toutes les informations nécessaires à la protection de leurs objets informatiques à protéger;
b.
veiller à disposer des capacités nécessaires à l’analyse technique et à la gestion des cyberincidents qui les concernent ou qui concernent leurs bénéficiaires de prestations;
c.
informer sans délai leurs bénéficiaires de prestations des failles et des incidents de sécurité détectés qui concernent leurs objets informatiques à protéger;
d.
définir, en collaboration avec les bénéficiaires de prestations, un processus de gestion des cyberincidents; celui-ci règle en particulier les compétences décisionnelles dont relèvent les mesures d’urgence.

5 Si un cyberincident ne peut être géré dans le cadre du processus défini, les personnes concernées informent le NCSC afin de définir la marche à suivre.

6 Les unités administratives consultent le NCSC pour ce qui concerne les directives et projets informatiques ayant une incidence sur la sécurité.

7 Elles sont responsables du développement, de la mise en œuvre et de l’évaluation de normes et de réglementations en matière de cybersécurité dans leurs domaines respectifs. Le NCSC met à leur disposition, dans la mesure des possibilités, des experts du pool visé à l’art. 12, al. 1, let. g.

15 Nouvelle teneur selon le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1er avr. 2021 (RO 2021 132).

 

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.