Art. 12 Centre national pour la cybersécurité

¹ Le NCSC est le centre de compétences de la Confédération en matière de cyberrisques et coordonne les travaux de la Confédération dans le domaine de la cybersécurité. Il assume les tâches suivantes:

a.: exploiter le guichet unique suisse en matière de cyberrisques, qui centralise les notifications émanant de l’administration fédérale, des milieux économiques, des cantons et de la population, les analyse et peut émettre des recommandations;
b.: fournir, en collaboration avec les partenaires compétents au sein de l’administration fédérale, un appui subsidiaire aux exploitants d’infrastructures critiques et encourager entre eux l’échange d’informations concernant les cyberrisques;
c.: diriger l’équipe d’intervention en cas d’urgence informatique (Computer Emergency Response Team, GovCERT), qui est le service spécialisé national pour la gestion technique des cyberincidents, l’analyse des questions techniques, l’évaluation technique des menaces et l’appui technique au guichet unique suisse;
d.: diriger le service spécialisé de sécurité informatique de la Confédération, qui élabore des directives en matière de sécurité informatique, conseille les unités administratives lors de leur application et vérifie le niveau de sécurité informatique au sein des départements et de la Chancellerie fédérale;
e.: désigner les délégués à la sécurité informatique de la Confédération (DSIC);
f.: coordonner la mise en œuvre de la SNPC, effectuer un contrôle de gestion stratégique de la SNPC et préparer les séances du Groupe Cyber et du CP SNPC;
g.: disposer d’un pool d’experts chargés d’assister les offices spécialisés dans la mise en œuvre de mesures de la SNPC ainsi que dans le développement, la mise en œuvre et l’évaluation de normes et de réglementations en matière de cybersécurité;
h.: contribuer à sensibiliser l’administration fédérale et le grand public aux cyberrisques au moyen d’informations ciblées, informer sur l’état de la situation et publier des instructions sur les mesures préventives ou réactives à prendre;
i.: exploiter une infrastructure d’analyse et de communication résiliente qui fonctionne indépendamment du reste de l’informatique de la Confédération;
j.: informer le Groupe Cyber des cyberincidents et, lorsque ceux-ci sont importants du point de vue de la politique extérieure et de la politique de sécurité, en informer également le Groupe Sécurité de la Confédération.

² Il peut traiter les données relatives aux cyberincidents et aux flux de communication correspondants pour autant que ce traitement soit utile, directement ou indirectement, à la protection de l’administration fédérale contre les cyberrisques. Il peut communiquer ces données à des équipes de sécurité publiques ou privées si:

a.: le fournisseur des données y consent; et
b.: aucune obligation légale de garder le secret n’est enfreinte.

³ La communication de données personnelles à l’étranger n’est autorisée que si la législation fédérale sur la protection des données est respectée.

⁴ Les données sensibles ne peuvent être traitées que si une base légale autorise leur traitement par des moyens informatiques de la Confédération.

⁵ En concertation avec les services concernés de l’administration fédérale, le NCSC prend la haute main sur la gestion des cyberincidents présentant une menace pour le bon fonctionnement de l’administration fédérale. Le cas échéant, il assume les tâches et compétences suivantes:

a.: il peut obtenir des fournisseurs et des bénéficiaires de prestations concernés toutes les informations nécessaires;
b.: il peut ordonner des mesures d’urgence;
c.: il informe de son action la direction des unités administratives concernées

⁶ Si les mesures prises à la suite d’un cyberincident ont permis de réduire à un niveau acceptable la menace pour la confidentialité ou le fonctionnement de l’administration fédérale et que les travaux de suivi nécessaires et leur financement ont été arrêtés, le NCSC rend la responsabilité de la gestion aux services concernés.

Art. 12 National Cyber Security Centre

¹ The NCSC is the centre of excellence of the Confederation for cyber risks and coordinates the work of the Confederation in the cyber security domain. It has the following tasks:

a.: It runs the National Contact Point for Cyber Risks; this receives reports from the Federal Administration, the private sector, the cantons and the public, analyses them and may issue recommendations thereon.
b.: It ensures with its cooperation partners in the Federal Administration that subsidiary support is given to operators of critical infrastructures and encourages these operators to exchange information on cyber risks.
c.: It runs the Computer Emergency Response Team (GovCERT); this is the national specialist service responsible for technical aspects of incident management, analysing technical questions, assessing the threat situation from a technical viewpoint and providing technical support to the National Contact Point.
d.: It runs a specialist service for the federal information technology security; this shall draw up IT security directives, advise the administrative units on their implementation and monitor the status of information technology security in the departments and the Federal Chancellery.
e.: It provides the federal IT security officers (FITSOs).
f.: It coordinates the implementation of the NCS, conducts strategic controls and prepares the meetings of the CyCG and of the NCS StC.
g.: It has a pool of experts from which experts are provided to support the individual offices in implementing NCS measures and in developing, implementing and checking standards and regulations in relation to cyber security.
h.: It contributes with specific information to raising awareness of cyber risks in the Federal Administration and among the general public, provides information on the current situation and gives instructions on preventive and reactive measures.
i.: It runs a resilient analysis and communications infrastructure that must function independently of the other federal IT systems.
j.: It informs the CyCG and, on matters of importance to foreign and security policy, the SCG about relevant cyber incidents.

² It may, provided this directly or indirectly serves to protect the Federal Administration against cyber risks, process data on cyber incidents and associated communication flows. It may disclose such data to government and private security teams, provided:

a.: the data provider agrees; and
b.: no statutory duties of confidentiality are infringed.

³ A disclosure of personal data abroad is only permitted if the related requirements of the federal legislation on data protection are complied with.

⁴ Sensitive personal data may only be processed if there is a statutory basis for processing such data with the means available within the federal IT systems.

⁵ After consulting with the offices concerned, the NCSC shall assume overall responsibility within the Federal Administration for managing a cyber incident if the incident poses a risk to the proper functioning of the Federal Administration. In doing so, it has the following tasks and powers:

a.: It may require the service providers and recipients concerned to provide it with all necessary information.
b.: It may order immediate measures.
c.: It shall update the management of the administrative units concerned on the current situation.

⁶ If, following a cyber incident, the risk to the confidentiality or the efficiency of the Federal Administration is sufficiently reduced by the measures taken and if the required follow-up work and its funding have been defined, the NCSC shall reassign responsibility for the further processing to the offices concerned.

Ceci n’est pas une publication officielle. Seule la publication opérée par la Chancellerie fédérale fait foi. Ordonnance sur les publications officielles, OPubl.
This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.