1 Les unités administratives désignent chacune un DSIO, qui agit sur mandat direct de la direction de l’unité administrative. Le secteur Transformation numérique et gouvernance de l’informatique de la Chancellerie fédérale (secteur TNI de la ChF) désigne en outre un délégué à la sécurité informatique des services standard.
2 Les DSIO et le délégué à la sécurité informatique des services informatiques standard assument les tâches suivantes:
- a.
- veiller à la mise en œuvre rapide des directives en matière de sécurité informatique et à l’application des procédures de sécurité dans les unités administratives (chap. 3a);
- b.
- veiller à ce que les collaborateurs soient sensibilisés et formés aux enjeux de la sécurité informatique à leur entrée en fonction puis à intervalles réguliers, et à ce qu’ils connaissent, au niveau qui les concerne et selon leur fonction, les compétences et les procédures applicables en matière de sécurité informatique dans leur environnement de travail;
- c.
- informer le responsable de leur unité administrative au moins tous les six mois de l’état de la sécurité informatique dans l’unité administrative.
3 Les unités administratives sont responsables de la sécurité de leurs objets informatiques à protéger. Elles assument les fonctions suivantes:
- a.
- faire l’inventaire de leurs objets informatiques à protéger et prendre les mesures de sécurité nécessaires; veiller notamment à ce que ces mesures soient consignées sous une forme actualisée pour chaque objet informatique à protéger;
- b.
- s’assurer du respect et de la mise en œuvre des directives en matière de sécurité informatique, des procédures de sécurité et des décisions du Conseil fédéral, du NCSC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétence respectifs;
- c.
- sous réserve de l’art. 12, al. 5, gérer tout cyberincident touchant leurs objets informatiques à protéger;
- d.
- s’assurer qu’en cas d’acquisition de prestations auprès d’un fournisseur externe, les directives en matière de sécurité informatique font partie intégrante du contrat;
- e.
- vérifier de manière appropriée que les directives en matière de sécurité informatique sont respectées par les fournisseurs externes;
- f.
- veiller à ce que les responsabilités en matière de sécurité informatique soient définies au niveau opérationnel dans les accords de projets et les conventions de prestations conclus entre les fournisseurs et les bénéficiaires de prestations;
- g.
- veiller à ce que les personnes non soumises à la présente ordonnance ne puissent accéder à l’infrastructure informatique de la Confédération que si elles s’engagent à respecter les directives en matière de sécurité informatique.
4 Les fournisseurs de prestations assument les fonctions suivantes:
- a.
- transmettre aux bénéficiaires de prestations, à la demande de ceux-ci et sous une forme appropriée, toutes les informations nécessaires à la protection de leurs objets informatiques à protéger;
- b.
- veiller à disposer des capacités nécessaires à l’analyse technique et à la gestion des cyberincidents qui les concernent ou qui concernent leurs bénéficiaires de prestations;
- c.
- informer sans délai leurs bénéficiaires de prestations des failles et des incidents de sécurité détectés qui concernent leurs objets informatiques à protéger;
- d.
- définir, en collaboration avec les bénéficiaires de prestations, un processus de gestion des cyberincidents; celui-ci règle en particulier les compétences décisionnelles dont relèvent les mesures d’urgence.
5 Si un cyberincident ne peut être géré dans le cadre du processus défini, les personnes concernées informent le NCSC afin de définir la marche à suivre.
6 Les unités administratives consultent le NCSC pour ce qui concerne les directives et projets informatiques ayant une incidence sur la sécurité.
7 Elles sont responsables du développement, de la mise en œuvre et de l’évaluation de normes et de réglementations en matière de cybersécurité dans leurs domaines respectifs. Le NCSC met à leur disposition, dans la mesure des possibilités, des experts du pool visé à l’art. 12, al. 1, let. g.
15 Nouvelle teneur selon le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1er avr. 2021 (RO 2021 132).