SR 120_73 · Ordonnance <br/>sur la protection contre les cyberrisques <br/>dans l’administration fédérale<br/>(Ordonnance sur les cyberrisques, OPCy) · OPCy · 1 avril 2021

Gesetze Suche

einloggen

Angemeldet bleiben

Passwort vergessen?

Mit Facebook anmelden
Mit Google anmelden
Mit LinkedIn anmelden
Mit Twitter anmelden

Sind Sie ein neuer Benutzer? Registrieren Sie sich hier

Bei grossen Gesetzen wie OR und ZGB kann dies bis zu 30 Sekunden dauern

Le Conseil fédéral suisse,

vu l’art. 30 de la loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure¹ et les art. 43, al. 2 et 3, 47, al. 2, et 55 de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration²,

arrête:

¹ RS 120

² RS 172.010

Art. 1 Objet

La présente ordonnance règle l’organisation de l’administration fédérale de manière à assurer la protection contre les cyberrisques de même que les tâches et les compétences des différents offices dans le domaine de la cybersécurité.

Art. 2 Champ d’application

La présente ordonnance s’applique:

a.: aux unités administratives de l’administration fédérale centrale au sens de l’art. 7 de l’ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration³;
b.⁴: aux autorités, organisations et personnes visées à l’art. 2, al. 2, de l’ordonnance du 25 novembre 2020 sur la transformation numérique et l’informatique (OTNI)⁵ qui s’engagent à la respecter.

³ RS 172.010.1

⁴ Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

⁵ RS 172.010.58

Art. 3 Définitions

Dans la présente ordonnance, on entend par:

a.: cybersécurité: la situation dans laquelle le traitement des données, notamment l’échange de données entre les personnes et les organisations par l’intermédiaire d’infrastructures d’information et de communication, fonctionnent comme prévu;
b.: cyberincident: tout événement nuisant à la confidentialité, à l’intégrité, à la disponibilité ou à la traçabilité des données ou pouvant occasionner des dysfonctionnements, qu’il soit accidentel ou provoqué intentionnellement par un tiers non autorisé;
c.: cyberrisque: le risque de survenance d’un cyberincident, son ampleur résultant du produit de la probabilité de survenance et de l’étendue des dommages;
d.: résilience: l’aptitude d’un système, d’une organisation ou d’une société à faire face à des perturbations internes ou externes et à maintenir son bon fonctionnement ou à le rétablir aussi rapidement et complètement que possible;
e.: sécurité informatique: l’aspect de la cybersécurité qui concerne les systèmes techniques;
f.: directives en matière de sécurité informatique: les exigences de sécurité concernant l’organisation, les processus, les prestations et la technique;
g.: infrastructures critiques: les processus, systèmes et installations indispensables au fonctionnement de l’économie et au bien-être de la population;
h.⁶: objets informatiques à protéger: les applications, services, systèmes, réseaux, fichiers de données, infrastructures et produits relevant de l’informatique; plusieurs objets identiques ou connexes peuvent être regroupés en un seul objet informatique à protéger.

⁶ Introduite par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

Art. 4 Objectifs

¹ L’administration fédérale veille à ce que ses organes et ses systèmes présentent une résilience appropriée face aux cyberrisques.

² Elle collabore avec les cantons, les communes, les milieux économiques et scientifiques, la société et les partenaires internationaux, dans la mesure où cette collaboration est utile à la protection de ses intérêts en matière de sécurité; elle encourage l’échange d’informations.

Art. 5 Stratégie nationale de protection de la Suisse contre les cyberrisques

La stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) définie par le Conseil fédéral établit le cadre stratégique régissant la prévention et la détection précoce des cyberrisques, ainsi que la réaction et la résilience en cas de cyberincident.

Art. 6 Domaines

Les mesures de protection contre les cyberrisques sont subdivisées en trois domaines:

a.: domaine de la cybersécurité: ensemble des mesures visant à prévenir et à gérer les incidents et à améliorer la résilience face aux cyberrisques ainsi qu’à développer la coopération internationale à cet effet;
b.: domaine de la cyberdéfense: ensemble des mesures prises par les services de renseignement et l’armée dans le but de protéger les systèmes critiques dont dépend la défense nationale, de se défendre contre les cyberattaques, de garantir la disponibilité opérationnelle de l’armée dans toutes les situations ayant trait au cyberespace et de développer ses capacités et compétences afin qu’elle puisse apporter un appui subsidiaire aux autorités civiles; ce domaine inclut également des mesures visant à identifier les menaces et les attaquants ainsi qu’à entraver et à bloquer les attaques;
c.: domaine de la poursuite pénale de la cybercriminalité: ensemble des mesures prises par la police et les ministères publics de la Confédération et des cantons pour lutter contre la cybercriminalité.

Art. 7 Conseil fédéral

Le Conseil fédéral assume les fonctions suivantes:

a.: surveiller la mise en œuvre de la SNPC au moyen du contrôle de gestion stratégique et adopter des mesures si nécessaire;
b.: décider, dans les limites de ses compétences, dans quels domaines il convient d’édicter ou de modifier des directives en matière de protection contre les cyberrisques;
c.: édicter des instructions sur la protection de l’administration fédérale contre les cyberrisques;
d.: autoriser des dérogations à ses directives.

Art. 8 Groupe Cyber

¹ Le Groupe Cyber se compose:

a.: du délégué à la cybersécurité (art. 6a de l’ordonnance du 17 février 2010 sur l’organisation du Département fédéral des finances⁷), qui représente le Département fédéral des finances (DFF);
b.: d’un représentant du Département fédéral de la défense, de la protection de la population et des sports (DDPS);
c.: d’un représentant du Département fédéral de justice et police (DFJP);
d.: d’un représentant des cantons, désigné par la conférence des gouvernements cantonaux compétente.

² Il est présidé par le délégué à la cybersécurité.

³Il informe les représentants des autres unités administratives actives dans le domaine des cyberrisques sur les points inscrits à l’ordre du jour et peut les inviter à assister à certaines de ses séances. S’agissant des aspects de politique extérieure, il fait appel au Département des affaires étrangères (DFAE). Il peut également recourir à des experts des milieux économiques et des hautes écoles.

⁴ Le Groupe Cyber assume notamment les tâches suivantes:

a.: évaluer les cyberrisques et leur évolution probable au moyen d’informations relevant des domaines de la cybersécurité, de la cyberdéfense et de la poursuite pénale de la cybercriminalité;
b.: évaluer en permanence les dispositifs existants dans les domaines de la cybersécurité, de la cyberdéfense et de la poursuite pénale de la cybercriminalité et vérifier leur adéquation à la situation;
c.: accompagner, au besoin en collaboration avec d’autres services, la gestion interdépartementale des incidents;
d.: informer le Groupe Sécurité de la Confédération des cyberincidents et des développements relevant de la politique extérieure et de la politique de sécurité.

⁵ Les trois départements représentés au sein du Groupe Cyber mettent à disposition les informations permettant une évaluation commune de la situation.

⁶ Le Service de renseignement de la Confédération (SRC) fournit au Groupe Cyber une vue d’ensemble de la situation en matière de cybermenace.

⁷ RS 172.215.1

Art. 9 Comité de pilotage de la stratégie nationale de protection de la Suisse contre les cyberrisques

¹ Le Conseil fédéral met en place un comité de pilotage de la stratégie nationale de protection de la Suisse contre les cyberrisques (CP SNPC).

² Le CP SNPC se compose du délégué à la cybersécurité, de représentants des cantons désignés par la conférence des gouvernements cantonaux compétente, de représentants des milieux économiques et des hautes écoles ainsi que de représentants des unités administratives qui ont la haute main sur la mise en œuvre de mesures de la SNPC. Chaque département et la Chancellerie fédérale disposent au moins d’un représentant au sein du CP SNPC.

³ Le CP SNPC est présidé par le délégué à la cybersécurité.

⁴ Il assume les tâches suivantes:

a.: veiller à la cohérence stratégique lors de la mise en œuvre des mesures de la SNPC et évaluer en permanence leur état d’avancement au moyen d’un contrôle de gestion stratégique;
b.: proposer des mesures d’urgence en cas de mise en œuvre tardive ou incomplète des mesures de la SNPC;
c.: assurer le développement continu de la SNPC en suivant l’évolution de la menace en concertation avec le Groupe Cyber et proposer au besoin des ajustements de la SNPC;
d.: rendre compte chaque année au Conseil fédéral et au grand public de la mise en œuvre de la SNPC;
e.: veiller à ce que les acteurs de la Confédération, des cantons, des milieux économiques et des hautes écoles adoptent une approche coordonnée dans la mise en œuvre des mesures de la SNPC;
f.: veiller à ce que la mise en œuvre des mesures de la SNPC tienne compte de la politique de gestion des risques menée par la Confédération, de la stratégie nationale de protection des infrastructures critiques et des stratégies informatiques du Conseil fédéral.

Art. 10 Comité pour la sécurité informatique

¹ Le comité pour la sécurité informatique (C-SI) se compose d’un représentant du Centre national pour la cybersécurité (NCSC⁸), des délégués à la sécurité informatique des départements et de la Chancellerie fédérale et du délégué à la sécurité informatique des services standard.

² Il peut faire appel à d’autres personnes à titre consultatif.

³ Il est présidé par le représentant du NCSC.

⁴ Il est l’organe consultatif du NCSC pour les questions de sécurité informatique dans l’administration fédérale.

⁸ National Cyber Security Centre

Art. 11 Délégué à la cybersécurité

¹ Le délégué à la cybersécurité assume les tâches suivantes:

a.: diriger le NCSC;
b.: veiller à une coordination optimale des travaux interdépartementaux des domaines de la cybersécurité, de la cyberdéfense et de la poursuite pénale de la cybercriminalité;
c.: assurer la visibilité des activités de la Confédération dans le domaine des cyberrisques, contribuer à la création de conditions favorables à l’innovation dans le secteur de la cybersécurité, assumer le rôle d’interlocuteur de référence de la Confédération en matière de cyberrisques et représenter celle-ci au sein des commissions et groupes de travail concernés; veiller à une coordination optimale des travaux des cantons et de la Confédération afin d’assurer la protection de la Suisse contre les cyberrisques;
d.: représenter le NCSC dans les états-majors de crise de la Confédération;
e.: édicter des directives en matière de sécurité informatique;
f.⁹: décider de dérogations aux directives qu’il a édictées; si ces dérogations concernent également les directives de la Chancellerie fédérale concernant la transformation numérique et la gouvernance de l’informatique, il consulte cette dernière au préalable.

² Il informe régulièrement le DFF, à l’intention du Conseil fédéral, de l’état de la sécurité informatique au sein des départements et de la Chancellerie fédérale.

³ Il peut participer à l’élaboration de directives informatiques de l’administration fédérale qui concernent la cybersécurité et à des projets informatiques ayant une incidence sur la sécurité. Il peut notamment demander des informations, se prononcer à ce sujet et formuler des modifications.

⁴ Il peut demander, après consultation du Contrôle fédéral des finances, des vérifications de la sécurité informatique.

⁹ Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

Art. 12 Centre national pour la cybersécurité

¹ Le NCSC est le centre de compétences de la Confédération en matière de cyberrisques et coordonne les travaux de la Confédération dans le domaine de la cybersécurité. Il assume les tâches suivantes:

a.: exploiter le guichet unique suisse en matière de cyberrisques, qui centralise les notifications émanant de l’administration fédérale, des milieux économiques, des cantons et de la population, les analyse et peut émettre des recommandations;
b.: fournir, en collaboration avec les partenaires compétents au sein de l’administration fédérale, un appui subsidiaire aux exploitants d’infrastructures critiques et encourager entre eux l’échange d’informations concernant les cyberrisques;
c.: diriger l’équipe d’intervention en cas d’urgence informatique (Computer Emergency Response Team, GovCERT), qui est le service spécialisé national pour la gestion technique des cyberincidents, l’analyse des questions techniques, l’évaluation technique des menaces et l’appui technique au guichet unique suisse;
d.: diriger le service spécialisé de sécurité informatique de la Confédération, qui élabore des directives en matière de sécurité informatique, conseille les unités administratives lors de leur application et vérifie le niveau de sécurité informatique au sein des départements et de la Chancellerie fédérale;
e.: désigner les délégués à la sécurité informatique de la Confédération (DSIC);
f.: coordonner la mise en œuvre de la SNPC, effectuer un contrôle de gestion stratégique de la SNPC et préparer les séances du Groupe Cyber et du CP SNPC;
g.: disposer d’un pool d’experts chargés d’assister les offices spécialisés dans la mise en œuvre de mesures de la SNPC ainsi que dans le développement, la mise en œuvre et l’évaluation de normes et de réglementations en matière de cybersécurité;
h.: contribuer à sensibiliser l’administration fédérale et le grand public aux cyberrisques au moyen d’informations ciblées, informer sur l’état de la situation et publier des instructions sur les mesures préventives ou réactives à prendre;
i.: exploiter une infrastructure d’analyse et de communication résiliente qui fonctionne indépendamment du reste de l’informatique de la Confédération;
j.: informer le Groupe Cyber des cyberincidents et, lorsque ceux-ci sont importants du point de vue de la politique extérieure et de la politique de sécurité, en informer également le Groupe Sécurité de la Confédération.

² Il peut traiter les données relatives aux cyberincidents et aux flux de communication correspondants pour autant que ce traitement soit utile, directement ou indirectement, à la protection de l’administration fédérale contre les cyberrisques. Il peut communiquer ces données à des équipes de sécurité publiques ou privées si:

a.: le fournisseur des données y consent; et
b.: aucune obligation légale de garder le secret n’est enfreinte.

³ La communication de données personnelles à l’étranger n’est autorisée que si la législation fédérale sur la protection des données est respectée.

⁴ Les données sensibles ne peuvent être traitées que si une base légale autorise leur traitement par des moyens informatiques de la Confédération.

⁵ En concertation avec les services concernés de l’administration fédérale, le NCSC prend la haute main sur la gestion des cyberincidents présentant une menace pour le bon fonctionnement de l’administration fédérale. Le cas échéant, il assume les tâches et compétences suivantes:

a.: il peut obtenir des fournisseurs et des bénéficiaires de prestations concernés toutes les informations nécessaires;
b.: il peut ordonner des mesures d’urgence;
c.: il informe de son action la direction des unités administratives concernées

6 Si les mesures prises à la suite d’un cyberincident ont permis de réduire à un niveau acceptable la menace pour la confidentialité ou le fonctionnement de l’administration fédérale et que les travaux de suivi nécessaires et leur financement ont été arrêtés, le NCSC rend la responsabilité de la gestion aux services concernés.

Art. 13 Départements et Chancellerie fédérale

¹ À la fin de chaque année, les départements et la Chancellerie fédérale informent le NCSC de l’état de la sécurité informatique.

² Les fournisseurs de prestations internes visés à l’art. 9 OTNI¹⁰ rendent régulièrement compte au NCSC des failles de sécurité et des cyberincidents détectés ainsi que des mesures prises ou prévues pour y remédier.¹¹

³ Les départements et la Chancellerie fédérale désignent chacun un délégué à la sécurité informatique (DSID), qui agit sur mandat direct de la direction du département.¹²

⁴ Les DSID assument notamment les tâches suivantes:

a.: coordonner les aspects de la sécurité informatique au sein du département ou de la Chancellerie fédérale ainsi qu’avec les services compétents en matière de coordination et de collaboration au niveau interdépartemental;
b.: élaborer les bases nécessaires à la mise en œuvre des directives en matière de sécurité informatique et à l’organisation au niveau du département ou de la Chancellerie fédérale.¹³

⁵ Les départements et la Chancellerie fédérale règlent les relations entre le DSID et les délégués à la sécurité informatique des unités administratives (DSIO), notamment la conduite technique en matière de sécurité.¹⁴

¹⁰ RS 172.010.58

¹¹ Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

¹² Nouvelle teneur selon le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

¹³ Introduit par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

¹⁴ Introduit par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

Art. 14 Unités administratives et fournisseurs de prestations ¹⁵

¹ Les unités administratives désignent chacune un DSIO, qui agit sur mandat direct de la direction de l’unité administrative. Le secteur Transformation numérique et gouvernance de l’informatique de la Chancellerie fédérale (secteur TNI de la ChF) désigne en outre un délégué à la sécurité informatique des services standard.

² Les DSIO et le délégué à la sécurité informatique des services informatiques standard assument les tâches suivantes:

a.: veiller à la mise en œuvre rapide des directives en matière de sécurité informatique et à l’application des procédures de sécurité dans les unités administratives (chap. 3a);
b.: veiller à ce que les collaborateurs soient sensibilisés et formés aux enjeux de la sécurité informatique à leur entrée en fonction puis à intervalles réguliers, et à ce qu’ils connaissent, au niveau qui les concerne et selon leur fonction, les compétences et les procédures applicables en matière de sécurité informatique dans leur environnement de travail;
c.: informer le responsable de leur unité administrative au moins tous les six mois de l’état de la sécurité informatique dans l’unité administrative.

³ Les unités administratives sont responsables de la sécurité de leurs objets informatiques à protéger. Elles assument les fonctions suivantes:

a.: faire l’inventaire de leurs objets informatiques à protéger et prendre les mesures de sécurité nécessaires; veiller notamment à ce que ces mesures soient consignées sous une forme actualisée pour chaque objet informatique à protéger;
b.: s’assurer du respect et de la mise en œuvre des directives en matière de sécurité informatique, des procédures de sécurité et des décisions du Conseil fédéral, du NCSC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétence respectifs;
c.: sous réserve de l’art. 12, al. 5, gérer tout cyberincident touchant leurs objets informatiques à protéger;
d.: s’assurer qu’en cas d’acquisition de prestations auprès d’un fournisseur externe, les directives en matière de sécurité informatique font partie intégrante du contrat;
e.: vérifier de manière appropriée que les directives en matière de sécurité informatique sont respectées par les fournisseurs externes;
f.: veiller à ce que les responsabilités en matière de sécurité informatique soient définies au niveau opérationnel dans les accords de projets et les conventions de prestations conclus entre les fournisseurs et les bénéficiaires de prestations;
g.: veiller à ce que les personnes non soumises à la présente ordonnance ne puissent accéder à l’infrastructure informatique de la Confédération que si elles s’engagent à respecter les directives en matière de sécurité informatique.

⁴ Les fournisseurs de prestations assument les fonctions suivantes:

a.: transmettre aux bénéficiaires de prestations, à la demande de ceux-ci et sous une forme appropriée, toutes les informations nécessaires à la protection de leurs objets informatiques à protéger;
b.: veiller à disposer des capacités nécessaires à l’analyse technique et à la gestion des cyberincidents qui les concernent ou qui concernent leurs bénéficiaires de prestations;
c.: informer sans délai leurs bénéficiaires de prestations des failles et des incidents de sécurité détectés qui concernent leurs objets informatiques à protéger;
d.: définir, en collaboration avec les bénéficiaires de prestations, un processus de gestion des cyberincidents; celui-ci règle en particulier les compétences décisionnelles dont relèvent les mesures d’urgence.

⁵ Si un cyberincident ne peut être géré dans le cadre du processus défini, les personnes concernées informent le NCSC afin de définir la marche à suivre.

⁶ Les unités administratives consultent le NCSC pour ce qui concerne les directives et projets informatiques ayant une incidence sur la sécurité.

⁷ Elles sont responsables du développement, de la mise en œuvre et de l’évaluation de normes et de réglementations en matière de cybersécurité dans leurs domaines respectifs. Le NCSC met à leur disposition, dans la mesure des possibilités, des experts du pool visé à l’art. 12, al. 1, let. g.

¹⁵ Nouvelle teneur selon le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

Art. 14a Collaborateurs ¹⁶

Les collaborateurs de l’administration fédérale qui utilisent des moyens informatiques sont responsables de leur utilisation conforme aux prescriptions.

¹⁶ Introduit par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

Art. 14b Analyse des besoins de protection

¹ Les unités administratives s’assurent qu’une analyse actuelle des besoins de protection est disponible pour tous les objets informatiques à protéger. Les projets informatiques doivent faire l’objet d’une telle analyse avant d’être validés.

² Lors de l’analyse des besoins de protection, les unités administratives évaluent les aspects de la confidentialité, de la disponibilité, de l’intégrité, de la traçabilité et du risque d’espionnage par des services de renseignement.

Art. 14c Protection de base

Les unités administratives mettent en œuvre les règles de protection de base pour tous les objets informatiques à protéger et documentent cette mise en œuvre.

Art. 14d Protection accrue

¹ Si l’analyse révèle des besoins de protection accrus, les unités administratives définissent, en plus de la mise en œuvre des directives en matière de sécurité relevant de la protection de base, d’autres mesures de sécurité sur la base d’une analyse des risques, documentent ces mesures et les mettent en œuvre.

² Les unités administratives mettent en évidence les risques qui ne peuvent être réduits ou qui ne peuvent l’être que de manière insuffisante (risques résiduels) et documentent ces risques. Le mandant du projet, le responsable du processus d’affaires et le responsable de l’unité administrative prennent connaissance des risques résiduels et confirment par écrit qu’ils l’ont fait.

³ La décision d’assumer ou non les risques résiduels connus appartient au responsable de l’unité administrative compétente.

Art. 14e Périodicité

¹ Les procédures de sécurité doivent être exécutées au moins tous les cinq ans.

² Elles doivent être exécutées sans délai si l’objet informatique à protéger ou la situation en matière de menace subissent des modifications ayant une incidence sur la sécurité.

Art. 14f

¹ Les coûts décentralisés de la sécurité informatique font partie des coûts de projet et d’exploitation.

² Ils doivent être suffisamment pris en compte lors de la planification.

Art. 15 Modification d’autres actes

La modification d’autres actes est réglée en annexe.

Art. 16 Disposition transitoire relative à l’art. 2,
let. b

¹ Les autorités et offices qui, avant l’entrée en vigueur de la présente ordonnance, se sont engagées par le biais d’un accord avec l’Unité de pilotage informatique de la Confédération (UPIC) à respecter les dispositions de l’ordonnance du 9 décembre 2011 sur l’informatique dans l’administration fédérale (OIAF)¹⁹ sont soumises jusqu’au 31 décembre 2021 aux obligations de la présente ordonnance dans la mesure de l’ancien droit.²⁰

² Ils sont soumis à la présente ordonnance à partir du 1^er janvier 2022 pour autant que l’accord n’ait pas été résilié avant cette date.

¹⁹ RO 2011 6093; 2015 4873; 2016 1783, 3445; 2018 1093; 2020 2107

²⁰ Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

Art. 17 Disposition transitoire relative à l’art. 11,
al. 1,
let. e

1 Si l’UPIC a édicté des directives en matière de sécurité informatique et approuvé des dérogations à ces directives avant l’entrée en vigueur de la présente ordonnance, ces directives et dérogations conservent leur validité.

2 Le NCSC décide des éventuelles modifications des directives et des dérogations à ces directives.

Art. 18 Entrée en vigueur

La présente ordonnance entre en vigueur le 1^er juillet 2020.

(art. 15)

Les ordonnances suivantes sont modifiées comme suit:

...²¹

²¹ Les mod. peuvent être consultées au RO 2020 2107.

You're using the Lawbrary personal features. Great!

Ordonnance
sur la protection contre les cyberrisques
dans l’administration fédérale
(Ordonnance sur les cyberrisques, OPCy)

du 27 mai 2020 (Etat le 1 avril 2021)^er

1 Chapitre 1 Dispositions générales

Chapitre 2 Principes régissant la protection contre les cyberrisques

Chapitre 3 Organisation et compétences

Section 1 Collaboration interdépartementale

Section 2 Organes du domaine de la cybersécurité

Chapitre 3a Procédures de sécurité¹⁷
¹⁷ Introduit par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

Chapitre 3b Coûts décentralisés¹⁸
¹⁸ Introduit par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1^er avr. 2021 (RO 2021 132).

Chapitre 4 Dispositions finales

Annexe

Modification d’autres actes