With big laws like OR and ZGB this can take up to 30 seconds

Ordonnance
sur la protection contre les cyberrisques
dans l’administration fédérale
(Ordonnance sur les cyberrisques, OPCy)

du 27 mai 2020 (Etat le 1 avril 2021)er

Le Conseil fédéral suisse,

vu l’art. 30 de la loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure1 et les art. 43, al. 2 et 3, 47, al. 2, et 55 de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration2,

arrête:

1 Chapitre 1 Dispositions générales

Art. 1 Objet  

La présente or­don­nance règle l’or­gan­isa­tion de l’ad­min­is­tra­tion fédérale de man­ière à as­surer la pro­tec­tion contre les cy­ber­risques de même que les tâches et les com­pétences des différents of­fices dans le do­maine de la cy­ber­sé­cur­ité.

Art. 2 Champ d’application  

La présente or­don­nance s’ap­plique:

a.
aux unités ad­min­is­trat­ives de l’ad­min­is­tra­tion fédérale cent­rale au sens de l’art. 7 de l’or­don­nance du 25 novembre 1998 sur l’or­gan­isa­tion du gouverne­ment et de l’ad­min­is­tra­tion3;
b.4
aux autor­ités, or­gan­isa­tions et per­sonnes visées à l’art. 2, al. 2, de l’or­don­nance du 25 novembre 2020 sur la trans­form­a­tion numérique et l’in­for­matique (OTNI)5 qui s’en­ga­gent à la re­specter.

3 RS 172.010.1

4 Nou­velle ten­eur selon l’an­nexe ch. 1 de l’O du 25 nov. 2020 sur la trans­form­a­tion numérique et l’in­form­atique, en vi­gueur depuis le 1erjanv. 2021 (RO 2020 5871).

5 RS 172.010.58

Art. 3 Définitions  

Dans la présente or­don­nance, on en­tend par:

a.
cy­ber­sé­cur­ité: la situ­ation dans laquelle le traite­ment des don­nées, not­am­ment l’échange de don­nées entre les per­sonnes et les or­gan­isa­tions par l’in­ter­mé­di­aire d’in­fra­struc­tures d’in­form­a­tion et de com­mu­nic­a­tion, fonc­tionnent comme prévu;
b.
cy­ber­in­cid­ent: tout événe­ment nuis­ant à la con­fid­en­ti­al­ité, à l’in­té­grité, à la dispon­ib­il­ité ou à la traç­ab­il­ité des don­nées ou pouv­ant oc­ca­sion­ner des dys­fonc­tion­ne­ments, qu’il soit ac­ci­den­tel ou pro­voqué in­ten­tion­nelle­ment par un tiers non autor­isé;
c.
cyber­risque: le risque de sur­ven­ance d’un cy­ber­in­cid­ent, son ampleur ré­sult­ant du produit de la prob­ab­il­ité de sur­ven­ance et de l’éten­due des dom­mages;
d.
ré­si­li­ence: l’aptitude d’un sys­tème, d’une or­gan­isa­tion ou d’une so­ciété à faire face à des per­turb­a­tions in­ternes ou ex­ternes et à main­tenir son bon fonc­tion­nement ou à le ré­t­ab­lir aus­si rap­idement et com­plète­ment que pos­sible;
e.
sé­cur­ité in­form­atique: l’as­pect de la cy­ber­sé­cur­ité qui con­cerne les sys­tèmes tech­niques;
f.
dir­ect­ives en matière de sé­cur­ité in­form­atique: les ex­i­gences de sé­cur­ité con­cernant l’or­gan­isa­tion, les pro­ces­sus, les presta­tions et la tech­nique;
g.
in­frastructures cri­tiques: les pro­ces­sus, sys­tèmes et in­stall­a­tions in­dis­pens­ables au fonc­tion­nement de l’économie et au bi­en-être de la pop­u­la­tion;
h.6
ob­jets in­form­atiques à protéger: les ap­plic­a­tions, ser­vices, sys­tèmes, réseaux, fichiers de don­nées, in­fra­struc­tures et produits rel­ev­ant de l’in­form­atique; plusieurs ob­jets identiques ou con­nexes peuvent être re­groupés en un seul ob­jet in­form­atique à protéger.

6 In­troduite par le ch. I de l’O du 24 fév. 2021, en vi­gueur depuis le 1er avr. 2021 (RO 2021 132).

Chapitre 2 Principes régissant la protection contre les cyberrisques

Art. 4 Objectifs  

1 L’ad­min­is­tra­tion fédérale veille à ce que ses or­ganes et ses sys­tèmes présen­tent une ré­si­li­ence ap­pro­priée face aux cy­ber­risques.

2 Elle col­labore avec les can­tons, les com­munes, les mi­lieux économiques et sci­en­ti­fiques, la so­ciété et les partenaires in­ter­na­tionaux, dans la mesure où cette col­lab­or­a­tion est utile à la pro­tec­tion de ses in­térêts en matière de sé­cur­ité; elle en­cour­age l’échange d’in­form­a­tions.

Art. 5 Stratégie nationale de protection de la Suisse contre les cyberrisques  

La straté­gie na­tionale de pro­tec­tion de la Suisse contre les cy­ber­risques (SN­PC) définie par le Con­seil fédéral ét­ablit le cadre straté­gique ré­gis­sant la préven­tion et la détec­tion pré­coce des cy­ber­risques, ain­si que la réac­tion et la ré­si­li­ence en cas de cy­ber­in­cid­ent.

Art. 6 Domaines  

Les mesur­es de pro­tec­tion contre les cy­ber­risques sont sub­divisées en trois do­maines:

a.
do­maine de la cy­ber­sé­cur­ité: en­semble des mesur­es vis­ant à prévenir et à gérer les in­cid­ents et à améliorer la ré­si­li­ence face aux cy­ber­risques ain­si qu’à dévelop­per la coopéra­tion in­ter­na­tionale à cet ef­fet;
b.
do­maine de la cy­ber­défense: en­semble des mesur­es prises par les ser­vices de ren­sei­gne­ment et l’armée dans le but de protéger les sys­tèmes cri­tiques dont dépend la défense na­tionale, de se défendre contre les cy­ber­at­taques, de garantir la dispon­ib­il­ité opéra­tion­nelle de l’armée dans toutes les situ­ations ay­ant trait au cyberespace et de dévelop­per ses ca­pa­cités et com­pétences afin qu’elle puisse ap­port­er un ap­pui sub­sidi­aire aux autor­ités civiles; ce do­maine in­clut égale­ment des mesur­es vis­ant à iden­ti­fi­er les men­aces et les at­taquants ain­si qu’à en­traver et à blo­quer les at­taques;
c.
do­maine de la pour­suite pénale de la cy­ber­crimin­al­ité: en­semble des mesur­es prises par la po­lice et les min­istères pub­lics de la Con­fédéra­tion et des can­tons pour lut­ter contre la cy­ber­crimin­al­ité.

Chapitre 3 Organisation et compétences

Section 1 Collaboration interdépartementale

Art. 7 Conseil fédéral  

Le Con­seil fédéral as­sume les fonc­tions suivantes:

a.
sur­veiller la mise en œuvre de la SN­PC au moy­en du con­trôle de ges­tion straté­gique et ad­op­ter des mesur­es si né­ces­saire;
b.
dé­cider, dans les lim­ites de ses com­pétences, dans quels do­maines il con­vi­ent d’édicter ou de mod­i­fi­er des dir­ect­ives en matière de pro­tec­tion contre les cy­ber­risques;
c.
édicter des in­struc­tions sur la pro­tec­tion de l’ad­min­is­tra­tion fédérale contre les cy­ber­risques;
d.
autor­iser des dérog­a­tions à ses dir­ect­ives.
Art. 8 Groupe Cyber  

1 Le Groupe Cy­ber se com­pose:

a.
du délégué à la cy­ber­sé­cur­ité (art. 6a de l’or­don­nance du 17 fév­ri­er 2010 sur l’or­gan­isa­tion du Dé­parte­ment fédéral des fin­ances7), qui re­présente le Dé­parte­ment fédéral des fin­ances (DFF);
b.
d’un re­présent­ant du Dé­parte­ment fédéral de la défense, de la pro­tec­tion de la pop­u­la­tion et des sports (DDPS);
c.
d’un re­présent­ant du Dé­parte­ment fédéral de justice et po­lice (DFJP);
d.
d’un re­présent­ant des can­tons, désigné par la con­férence des gouverne­ments can­tonaux com­pétente.

2 Il est présidé par le délégué à la cy­ber­sé­cur­ité.

3Il in­forme les re­présent­ants des autres unités ad­min­is­trat­ives act­ives dans le do­maine des cy­ber­risques sur les points in­scrits à l’or­dre du jour et peut les in­viter à as­sister à cer­taines de ses séances. S’agis­sant des as­pects de poli­tique ex­térieure, il fait ap­pel au Dé­parte­ment des af­faires étrangères (DFAE). Il peut égale­ment re­courir à des ex­perts des mi­lieux économiques et des hautes écoles.

4 Le Groupe Cy­ber as­sume not­am­ment les tâches suivantes:

a.
évalu­er les cy­ber­risques et leur évolu­tion prob­able au moy­en d’in­form­a­tions rel­ev­ant des do­maines de la cy­ber­sé­cur­ité, de la cy­ber­défense et de la pour­suite pénale de la cy­ber­crimin­al­ité;
b.
évalu­er en per­man­ence les dis­pos­i­tifs existants dans les do­maines de la cy­ber­sé­cur­ité, de la cy­ber­défense et de la pour­suite pénale de la cy­ber­crimin­al­ité et véri­fi­er leur adéqua­tion à la situ­ation;
c.
ac­com­pag­n­er, au be­soin en col­lab­or­a­tion avec d’autres ser­vices, la ges­tion in­ter­dé­parte­mentale des in­cid­ents;
d.
in­form­er le Groupe Sé­cur­ité de la Con­fédéra­tion des cy­ber­in­cid­ents et des dévelop­pe­ments rel­ev­ant de la poli­tique ex­térieure et de la poli­tique de sé­cur­ité.

5 Les trois dé­parte­ments re­présentés au sein du Groupe Cy­ber mettent à dis­pos­i­tion les in­form­a­tions per­met­tant une évalu­ation com­mune de la situ­ation.

6 Le Ser­vice de ren­sei­gne­ment de la Con­fédéra­tion (SRC) fournit au Groupe Cy­ber une vue d’en­semble de la situ­ation en matière de cy­ber­men­ace.

Art. 9 Comité de pilotage de la stratégie nationale de protection de la Suisse contre les cyberrisques  

1 Le Con­seil fédéral met en place un comité de pi­lot­age de la straté­gie na­tionale de pro­tec­tion de la Suisse contre les cy­ber­risques (CP SN­PC).

2 Le CP SN­PC se com­pose du délégué à la cy­ber­sé­cur­ité, de re­présent­ants des can­tons désignés par la con­férence des gouverne­ments can­tonaux com­pétente, de re­présent­ants des mi­lieux économiques et des hautes écoles ain­si que de re­présent­ants des unités ad­min­is­trat­ives qui ont la haute main sur la mise en œuvre de mesur­es de la SN­PC. Chaque dé­parte­ment et la Chan­celler­ie fédérale dis­posent au moins d’un re­présent­ant au sein du CP SN­PC.

3 Le CP SN­PC est présidé par le délégué à la cy­ber­sé­cur­ité.

4 Il as­sume les tâches suivantes:

a.
veiller à la cohérence straté­gique lors de la mise en œuvre des mesur­es de la SN­PC et évalu­er en per­man­ence leur état d’avance­ment au moy­en d’un con­trôle de ges­tion straté­gique;
b.
pro­poser des mesur­es d’ur­gence en cas de mise en œuvre tar­dive ou in­com­plète des mesur­es de la SN­PC;
c.
as­surer le dévelop­pe­ment con­tinu de la SN­PC en suivant l’évolu­tion de la men­ace en con­cer­ta­tion avec le Groupe Cy­ber et pro­poser au be­soin des ajuste­ments de la SN­PC;
d.
rendre compte chaque an­née au Con­seil fédéral et au grand pub­lic de la mise en œuvre de la SN­PC;
e.
veiller à ce que les ac­teurs de la Con­fédéra­tion, des can­tons, des mi­lieux économiques et des hautes écoles ad­op­tent une ap­proche co­or­don­née dans la mise en œuvre des mesur­es de la SN­PC;
f.
veiller à ce que la mise en œuvre des mesur­es de la SN­PC tienne compte de la poli­tique de ges­tion des risques menée par la Con­fédéra­tion, de la straté­gie na­tionale de pro­tec­tion des in­fra­struc­tures cri­tiques et des straté­gies in­form­atiques du Con­seil fédéral.
Art. 10 Comité pour la sécurité informatique  

1 Le comité pour la sé­cur­ité in­form­atique (C-SI) se com­pose d’un re­présent­ant du Centre na­tion­al pour la cy­ber­sé­cur­ité (NC­SC8), des délégués à la sé­cur­ité in­form­atique des dé­parte­ments et de la Chan­celler­ie fédérale et du délégué à la sé­cur­ité in­form­atique des ser­vices stand­ard.

2 Il peut faire ap­pel à d’autres per­sonnes à titre con­sultatif.

3 Il est présidé par le re­présent­ant du NC­SC.

4 Il est l’or­gane con­sultatif du NC­SC pour les ques­tions de sé­cur­ité in­form­atique dans l’ad­min­is­tra­tion fédérale.

8 Na­tion­al Cy­ber Se­cur­ity Centre

Art. 11 Délégué à la cybersécurité  

1 Le délégué à la cy­ber­sé­cur­ité as­sume les tâches suivantes:

a.
di­ri­ger le NC­SC;
b.
veiller à une co­ordin­a­tion op­ti­male des travaux in­ter­dé­parte­men­taux des do­maines de la cy­ber­sé­cur­ité, de la cy­ber­défense et de la pour­suite pénale de la cy­ber­crimin­al­ité;
c.
as­surer la vis­ib­il­ité des activ­ités de la Con­fédéra­tion dans le do­maine des cy­ber­risques, con­tribuer à la créa­tion de con­di­tions fa­vor­ables à l’in­nov­a­tion dans le sec­teur de la cy­ber­sé­cur­ité, as­sumer le rôle d’in­ter­locuteur de référence de la Con­fédéra­tion en matière de cy­ber­risques et re­présenter celle-ci au sein des com­mis­sions et groupes de trav­ail con­cernés; veiller à une co­ordin­a­tion op­ti­male des travaux des can­tons et de la Con­fédéra­tion afin d’as­surer la pro­tec­tion de la Suisse contre les cy­ber­risques;
d.
re­présenter le NC­SC dans les états-ma­jors de crise de la Con­fédéra­tion;
e.
édicter des dir­ect­ives en matière de sé­cur­ité in­form­atique;
f.9
dé­cider de dérog­a­tions aux dir­ect­ives qu’il a édictées; si ces dérog­a­tions con­cernent égale­ment les dir­ect­ives de la Chan­celler­ie fédérale con­cernant la trans­form­a­tion numérique et la gouvernance de l’in­form­atique, il con­sulte cette dernière au préal­able.

2 Il in­forme régulière­ment le DFF, à l’in­ten­tion du Con­seil fédéral, de l’état de la sé­cur­ité in­form­atique au sein des dé­parte­ments et de la Chan­celler­ie fédérale.

3 Il peut par­ti­ciper à l’élab­or­a­tion de dir­ect­ives in­form­atiques de l’ad­min­is­tra­tion fédérale qui con­cernent la cy­ber­sé­cur­ité et à des pro­jets in­form­atiques ay­ant une in­cid­ence sur la sé­cur­ité. Il peut not­am­ment de­mander des in­form­a­tions, se pro­non­cer à ce sujet et for­muler des modi­fic­a­tions.

4 Il peut de­mander, après con­sulta­tion du Con­trôle fédéral des fin­ances, des véri­fic­a­tions de la sé­cur­ité in­form­atique.

9 Nou­velle ten­eur selon l’an­nexe ch. 1 de l’O du 25 nov. 2020 sur la trans­form­a­tion numérique et l’in­form­atique, en vi­gueur depuis le 1erjanv. 2021 (RO 2020 5871).

Section 2 Organes du domaine de la cybersécurité

Art. 12 Centre national pour la cybersécurité  

1 Le NC­SC est le centre de com­pétences de la Con­fédéra­tion en matière de cy­ber­risques et co­or­donne les travaux de la Con­fédéra­tion dans le do­maine de la cy­ber­sé­cur­ité. Il as­sume les tâches suivantes:

a.
ex­ploiter le guichet unique suisse en matière de cy­ber­risques, qui cent­ral­ise les no­ti­fic­a­tions éman­ant de l’ad­min­is­tra­tion fédérale, des mi­lieux économiques, des can­tons et de la pop­u­la­tion, les ana­lyse et peut émettre des re­com­manda­tions;
b.
fournir, en col­lab­or­a­tion avec les partenaires com­pétents au sein de l’ad­min­is­tra­tion fédérale, un ap­pui sub­sidi­aire aux ex­ploit­ants d’in­fra­struc­tures cri­tiques et en­cour­ager entre eux l’échange d’in­form­a­tions con­cernant les cy­ber­risques;
c.
di­ri­ger l’équipe d’in­ter­ven­tion en cas d’ur­gence in­form­atique (Com­puter Emer­gency Re­sponse Team, Gov­CERT), qui est le ser­vice spé­cial­isé na­tion­al pour la ges­tion tech­nique des cy­ber­in­cid­ents, l’ana­lyse des ques­tions tech­niques, l’évalu­ation tech­nique des men­aces et l’ap­pui tech­nique au guichet unique suisse;
d.
di­ri­ger le ser­vice spé­cial­isé de sé­cur­ité in­form­atique de la Con­fédéra­tion, qui élabore des dir­ect­ives en matière de sé­cur­ité in­form­atique, con­seille les unités ad­min­is­trat­ives lors de leur ap­plic­a­tion et véri­fie le niveau de sé­cur­ité in­form­atique au sein des dé­parte­ments et de la Chan­celler­ie fédérale;
e.
désign­er les délégués à la sé­cur­ité in­form­atique de la Con­fédéra­tion (DSIC);
f.
co­or­don­ner la mise en œuvre de la SN­PC, ef­fec­tuer un con­trôle de ges­tion straté­gique de la SN­PC et pré­parer les séances du Groupe Cy­ber et du CP SN­PC;
g.
dis­poser d’un pool d’ex­perts char­gés d’as­sister les of­fices spé­cial­isés dans la mise en œuvre de mesur­es de la SN­PC ain­si que dans le dévelop­pe­ment, la mise en œuvre et l’évalu­ation de normes et de régle­ment­a­tions en matière de cy­ber­sé­cur­ité;
h.
con­tribuer à sens­ib­il­iser l’ad­min­is­tra­tion fédérale et le grand pub­lic aux cy­ber­risques au moy­en d’in­form­a­tions ciblées, in­form­er sur l’état de la situ­ation et pub­li­er des in­struc­tions sur les mesur­es prévent­ives ou réact­ives à pren­dre;
i.
ex­ploiter une in­fra­struc­ture d’ana­lyse et de com­mu­nic­a­tion ré­si­li­ente qui fonc­tionne in­dépen­dam­ment du reste de l’in­form­atique de la Con­fédéra­tion;
j.
in­form­er le Groupe Cy­ber des cy­ber­in­cid­ents et, lor­sque ceux-ci sont im­port­ants du point de vue de la poli­tique ex­térieure et de la poli­tique de sé­cur­ité, en in­form­er égale­ment le Groupe Sé­cur­ité de la Con­fédéra­tion.

2 Il peut traiter les don­nées re­l­at­ives aux cy­ber­in­cid­ents et aux flux de com­mu­nic­a­tion cor­res­pond­ants pour autant que ce traite­ment soit utile, dir­ecte­ment ou in­dir­ecte­ment, à la pro­tec­tion de l’ad­min­is­tra­tion fédérale contre les cy­ber­risques. Il peut com­mu­niquer ces don­nées à des équipes de sé­cur­ité pub­liques ou privées si:

a.
le fourn­is­seur des don­nées y con­sent; et
b.
aucune ob­lig­a­tion lé­gale de garder le secret n’est en­fre­inte.

3 La com­mu­nic­a­tion de don­nées per­son­nelles à l’étranger n’est autor­isée que si la lé­gis­la­tion fédérale sur la pro­tec­tion des don­nées est re­spectée.

4 Les don­nées sens­ibles ne peuvent être traitées que si une base lé­gale autor­ise leur traite­ment par des moy­ens in­form­atiques de la Con­fédéra­tion.

5 En con­cer­ta­tion avec les ser­vices con­cernés de l’ad­min­is­tra­tion fédérale, le NC­SC prend la haute main sur la ges­tion des cy­ber­in­cid­ents présent­ant une men­ace pour le bon fonc­tion­nement de l’ad­min­is­tra­tion fédérale. Le cas échéant, il as­sume les tâches et com­pétences suivantes:

a.
il peut ob­tenir des fourn­is­seurs et des béné­fi­ci­aires de presta­tions con­cernés toutes les in­form­a­tions né­ces­saires;
b.
il peut or­don­ner des mesur­es d’ur­gence;
c.
il in­forme de son ac­tion la dir­ec­tion des unités ad­min­is­trat­ives con­cernées

6 Si les mesur­es prises à la suite d’un cy­ber­in­cid­ent ont per­mis de ré­duire à un niveau ac­cept­able la men­ace pour la con­fid­en­ti­al­ité ou le fonc­tion­nement de l’ad­min­is­tra­tion fédérale et que les travaux de suivi né­ces­saires et leur fin­ance­ment ont été ar­rêtés, le NC­SC rend la re­sponsab­il­ité de la ges­tion aux ser­vices con­cernés.

Art. 13 Départements et Chancellerie fédérale  

1 À la fin de chaque an­née, les dé­parte­ments et la Chan­celler­ie fédérale in­for­ment le NC­SC de l’état de la sé­cur­ité in­form­atique.

2 Les fourn­is­seurs de presta­tions in­ternes visés à l’art. 9 OTNI10 rendent régulière­ment compte au NC­SC des failles de sé­cur­ité et des cy­ber­in­cid­ents détectés ain­si que des mesur­es prises ou prévues pour y re­médi­er.11

3 Les dé­parte­ments et la Chan­celler­ie fédérale désignent chacun un délégué à la sé­cur­ité in­form­atique (DSID), qui agit sur man­dat dir­ect de la dir­ec­tion du dé­parte­ment.12

4 Les DSID as­sument not­am­ment les tâches suivantes:

a.
co­or­don­ner les as­pects de la sé­cur­ité in­form­atique au sein du dé­parte­ment ou de la Chan­celler­ie fédérale ain­si qu’avec les ser­vices com­pétents en matière de co­ordin­a­tion et de col­lab­or­a­tion au niveau in­ter­dé­parte­ment­al;
b.
élaborer les bases né­ces­saires à la mise en œuvre des dir­ect­ives en matière de sé­cur­ité in­form­atique et à l’or­gan­isa­tion au niveau du dé­parte­ment ou de la Chan­celler­ie fédérale.13

5 Les dé­parte­ments et la Chan­celler­ie fédérale règlent les re­la­tions entre le DSID et les délégués à la sé­cur­ité in­form­atique des unités ad­min­is­trat­ives (DSIO), not­am­ment la con­duite tech­nique en matière de sé­cur­ité.14

10 RS 172.010.58

11 Nou­velle ten­eur selon l’an­nexe ch. 1 de l’O du 25 nov. 2020 sur la trans­form­a­tion numérique et l’in­form­atique, en vi­gueur depuis le 1erjanv. 2021 (RO 2020 5871).

12 Nou­velle ten­eur selon le ch. I de l’O du 24 fév. 2021, en vi­gueur depuis le 1er avr. 2021 (RO 2021 132).

13 In­troduit par le ch. I de l’O du 24 fév. 2021, en vi­gueur depuis le 1er avr. 2021 (RO 2021 132).

14 In­troduit par le ch. I de l’O du 24 fév. 2021, en vi­gueur depuis le 1er avr. 2021 (RO 2021 132).

Art. 14 Unités administratives et fournisseurs de prestations 15  

1 Les unités ad­min­is­trat­ives désignent chacune un DSIO, qui agit sur man­dat dir­ect de la dir­ec­tion de l’unité ad­min­is­trat­ive. Le sec­teur Trans­form­a­tion numérique et gouvernance de l’in­form­atique de la Chan­celler­ie fédérale (sec­teur TNI de la ChF) désigne en outre un délégué à la sé­cur­ité in­form­atique des ser­vices stand­ard.

2 Les DSIO et le délégué à la sé­cur­ité in­form­atique des ser­vices in­form­atiques stand­ard as­sument les tâches suivantes:

a.
veiller à la mise en œuvre rap­ide des dir­ect­ives en matière de sé­cur­ité in­form­atique et à l’ap­plic­a­tion des procé­dures de sé­cur­ité dans les unités ad­min­is­trat­ives (chap. 3a);
b.
veiller à ce que les col­lab­or­at­eurs soi­ent sens­ib­il­isés et formés aux en­jeux de la sé­cur­ité in­form­atique à leur en­trée en fonc­tion puis à in­ter­valles réguli­ers, et à ce qu’ils con­nais­sent, au niveau qui les con­cerne et selon leur fonc­tion, les com­pétences et les procé­dures ap­plic­ables en matière de sé­cur­ité in­form­atique dans leur en­viron­nement de trav­ail;
c.
in­form­er le re­spons­able de leur unité ad­min­is­trat­ive au moins tous les six mois de l’état de la sé­cur­ité in­form­atique dans l’unité ad­min­is­trat­ive.

3 Les unités ad­min­is­trat­ives sont re­spons­ables de la sé­cur­ité de leurs ob­jets in­form­atiques à protéger. Elles as­sument les fonc­tions suivantes:

a.
faire l’in­ventaire de leurs ob­jets in­form­atiques à protéger et pren­dre les mesur­es de sé­cur­ité né­ces­saires; veiller not­am­ment à ce que ces mesur­es soi­ent con­signées sous une forme ac­tu­al­isée pour chaque ob­jet in­form­atique à protéger;
b.
s’as­surer du re­spect et de la mise en œuvre des dir­ect­ives en matière de sé­cur­ité in­form­atique, des procé­dures de sé­cur­ité et des dé­cisions du Con­seil fédéral, du NC­SC et des dé­parte­ments ou de la Chan­celler­ie fédérale dans leurs do­maines de com­pétence re­spec­tifs;
c.
sous réserve de l’art. 12, al. 5, gérer tout cy­ber­in­cid­ent touchant leurs ob­jets in­form­atiques à protéger;
d.
s’as­surer qu’en cas d’ac­quis­i­tion de presta­tions auprès d’un fourn­is­seur ex­terne, les dir­ect­ives en matière de sé­cur­ité in­form­atique font partie in­té­grante du con­trat;
e.
véri­fi­er de man­ière ap­pro­priée que les dir­ect­ives en matière de sé­cur­ité in­form­atique sont re­spectées par les fourn­is­seurs ex­ternes;
f.
veiller à ce que les re­sponsab­il­ités en matière de sé­cur­ité in­form­atique soi­ent définies au niveau opéra­tion­nel dans les ac­cords de pro­jets et les con­ven­tions de presta­tions con­clus entre les fourn­is­seurs et les béné­fi­ci­aires de presta­tions;
g.
veiller à ce que les per­sonnes non sou­mises à la présente or­don­nance ne puis­sent ac­céder à l’in­fra­struc­ture in­form­atique de la Con­fédéra­tion que si elles s’en­ga­gent à re­specter les dir­ect­ives en matière de sé­cur­ité in­form­atique.

4 Les fourn­is­seurs de presta­tions as­sument les fonc­tions suivantes:

a.
trans­mettre aux béné­fi­ci­aires de presta­tions, à la de­mande de ceux-ci et sous une forme ap­pro­priée, toutes les in­form­a­tions né­ces­saires à la pro­tec­tion de leurs ob­jets in­form­atiques à protéger;
b.
veiller à dis­poser des ca­pa­cités né­ces­saires à l’ana­lyse tech­nique et à la ges­tion des cy­ber­in­cid­ents qui les con­cernent ou qui con­cernent leurs béné­fi­ci­aires de presta­tions;
c.
in­form­er sans délai leurs béné­fi­ci­aires de presta­tions des failles et des in­cid­ents de sé­cur­ité détectés qui con­cernent leurs ob­jets in­form­atiques à protéger;
d.
définir, en col­lab­or­a­tion avec les béné­fi­ci­aires de presta­tions, un pro­ces­sus de ges­tion des cy­ber­in­cid­ents; ce­lui-ci règle en par­ticuli­er les com­pétences dé­cision­nelles dont relèvent les mesur­es d’ur­gence.

5 Si un cy­ber­in­cid­ent ne peut être géré dans le cadre du pro­ces­sus défini, les per­sonnes con­cernées in­for­ment le NC­SC afin de définir la marche à suivre.

6 Les unités ad­min­is­trat­ives con­sul­tent le NC­SC pour ce qui con­cerne les dir­ect­ives et pro­jets in­form­atiques ay­ant une in­cid­ence sur la sé­cur­ité.

7 Elles sont re­spons­ables du dévelop­pe­ment, de la mise en œuvre et de l’évalu­ation de normes et de régle­ment­a­tions en matière de cy­ber­sé­cur­ité dans leurs do­maines re­spec­tifs. Le NC­SC met à leur dis­pos­i­tion, dans la mesure des pos­sib­il­ités, des ex­perts du pool visé à l’art. 12, al. 1, let. g.

15 Nou­velle ten­eur selon le ch. I de l’O du 24 fév. 2021, en vi­gueur depuis le 1er avr. 2021 (RO 2021 132).

Art. 14a Collaborateurs 16  

Les col­lab­or­at­eurs de l’ad­min­is­tra­tion fédérale qui utilis­ent des moy­ens in­form­atiques sont re­spons­ables de leur util­isa­tion con­forme aux pre­scrip­tions.

16 In­troduit par le ch. I de l’O du 24 fév. 2021, en vi­gueur depuis le 1er avr. 2021 (RO 2021 132).

Chapitre 3a Procédures de sécurité17

17 Introduit par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1er avr. 2021 (RO 2021 132).

Art. 14b Analyse des besoins de protection  

1 Les unités ad­min­is­trat­ives s’as­surent qu’une ana­lyse ac­tuelle des be­soins de pro­tec­tion est dispon­ible pour tous les ob­jets in­form­atiques à protéger. Les pro­jets in­form­atiques doivent faire l’ob­jet d’une telle ana­lyse av­ant d’être val­idés.

2 Lors de l’ana­lyse des be­soins de pro­tec­tion, les unités ad­min­is­trat­ives évalu­ent les as­pects de la con­fid­en­ti­al­ité, de la dispon­ib­il­ité, de l’in­té­grité, de la traç­ab­il­ité et du risque d’es­pi­on­nage par des ser­vices de ren­sei­gne­ment.

Art. 14c Protection de base  

Les unités ad­min­is­trat­ives mettent en œuvre les règles de pro­tec­tion de base pour tous les ob­jets in­form­atiques à protéger et doc­u­mentent cette mise en œuvre.

Art. 14d Protection accrue  

1 Si l’ana­lyse révèle des be­soins de pro­tec­tion ac­crus, les unités ad­min­is­trat­ives défin­is­sent, en plus de la mise en œuvre des dir­ect­ives en matière de sé­cur­ité rel­ev­ant de la pro­tec­tion de base, d’autres mesur­es de sé­cur­ité sur la base d’une ana­lyse des risques, doc­u­mentent ces mesur­es et les mettent en œuvre.

2 Les unités ad­min­is­trat­ives mettent en évid­ence les risques qui ne peuvent être ré­duits ou qui ne peuvent l’être que de man­ière in­suf­f­is­ante (risques résiduels) et doc­u­mentent ces risques. Le mand­ant du pro­jet, le re­spons­able du pro­ces­sus d’af­faires et le re­spons­able de l’unité ad­min­is­trat­ive prennent con­nais­sance des risques résiduels et con­firment par écrit qu’ils l’ont fait.

3 La dé­cision d’as­sumer ou non les risques résiduels con­nus ap­par­tient au re­spons­able de l’unité ad­min­is­trat­ive com­pétente.

Art. 14e Périodicité  

1 Les procé­dures de sé­cur­ité doivent être ex­écutées au moins tous les cinq ans.

2 Elles doivent être ex­écutées sans délai si l’ob­jet in­form­atique à protéger ou la situ­ation en matière de men­ace subis­sent des modi­fic­a­tions ay­ant une in­cid­ence sur la sé­cur­ité.

Chapitre 3b Coûts décentralisés18

18 Introduit par le ch. I de l’O du 24 fév. 2021, en vigueur depuis le 1er avr. 2021 (RO 2021 132).

Art. 14f

1 Les coûts décentralisés de la sécurité informatique font partie des coûts de projet et d’exploitation.

2 Ils doivent être suffisamment pris en compte lors de la planification.

Chapitre 4 Dispositions finales

Art. 15 Modification d’autres actes  

La modi­fic­a­tion d’autres act­es est réglée en an­nexe.

Art. 16 Disposition transitoire relative à l’art. 2,
let. b
 

1 Les autor­ités et of­fices qui, av­ant l’en­trée en vi­gueur de la présente or­don­nance, se sont en­gagées par le bi­ais d’un ac­cord avec l’Unité de pi­lot­age in­form­atique de la Con­fédéra­tion (UP­IC) à re­specter les dis­pos­i­tions de l’or­don­nance du 9 décembre 2011 sur l’in­form­atique dans l’ad­min­is­tra­tion fédérale (OIAF)19 sont sou­mises jusqu’au 31 décembre 2021 aux ob­lig­a­tions de la présente or­don­nance dans la mesure de l’an­cien droit.20

2 Ils sont sou­mis à la présente or­don­nance à partir du 1er jan­vi­er 2022 pour autant que l’ac­cord n’ait pas été ré­silié av­ant cette date.

19 RO 2011 6093; 2015 4873; 2016 1783, 3445; 2018 1093; 2020 2107

20 Nou­velle ten­eur selon l’an­nexe ch. 1 de l’O du 25 nov. 2020 sur la trans­form­a­tion numérique et l’in­form­atique, en vi­gueur depuis le 1erjanv. 2021 (RO 2020 5871).

Art. 17 Disposition transitoire relative à l’art. 11,
al. 1,
let. e
 

1 Si l’UP­IC a édicté des dir­ect­ives en matière de sé­cur­ité in­form­atique et ap­prouvé des dérog­a­tions à ces dir­ect­ives av­ant l’en­trée en vi­gueur de la présente or­don­nance, ces dir­ect­ives et dérog­a­tions con­ser­vent leur valid­ité.

2 Le NC­SC dé­cide des éven­tuelles modi­fic­a­tions des dir­ect­ives et des dérog­a­tions à ces dir­ect­ives.

Art. 18 Entrée en vigueur  

La présente or­don­nance entre en vi­gueur le 1er juil­let 2020.

Annexe

(art. 15)

Modification d’autres actes

Les ordonnances suivantes sont modifiées comme suit:

...21

21 Les mod. peuvent être consultées au RO 2020 2107.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Feedback
A: AB-EBV AB-SBV AB-VASm AdoV AEFV AETR AEV AFZFG AFZFV AHVG AHVV AIAG AIAV AIG AkkredV-PsyG ALBAG ALBAV AlgV AlkG AlkV AllergV AllgGebV AltlV AMBV AMZV AO ArG ArGV 1 ArGV 2 ArGV 3 ArGV 4 ArGV 5 ARPV ARV 1 ARV 2 ASG AStG AStV ASV ASV-RAB AsylG AsylV 1 AsylV 2 AsylV 3 AtraG AtraV ATSG ATSV AufRBGer AufzV AuLaV AVFV AVG AVIG AVIV AVO AVO-FINMA AVV AwG AWV AZG AZGV B: BankG BankV BauAV BauPG BauPV BBG BBV BDSV BEG BehiG BehiV BekV-RAB BetmG BetmKV BetmSV BetmVV-EDI BeV BevSV BewG BewV BG-HAÜ BG-KKE BGA BGBB BGCITES BGerR BGF BGFA BGG BGIAA BGLE BGMD BGMK BGRB BGS BGSA BGST BGÖ BIFG BiGV BIV-FINMA BiZG BKSG BKSV BMV BPDV BPG BPI BPR BPS BPV BSG BSO BStatG BStG BStGerNR BStGerOR BStKR BStV BSV BTrV BURV BV BVG BVV 1 BVV 2 BVV 3 BWIS BZG BöB BüG BÜPF BüV C: CartV ChemG ChemGebV ChemPICV ChemRRV ChemV CyRV CZV D: DBG DBV DBZV DesG DesV DGV DR 04 DSG DV-RAB DZV DüBV DüV E: EBG EBV EDAV-DS-EDI EDAV-EU-EDI EDAV-Ht EHSM-V EiV EKBV EleG ELG ELV EMRK EnEV EnFV EnG ENSIG ENSIV EntG EntsG EntsV EnV EOG EOV EPDG EPDV EPDV-EDI EpG EpV ERV-BVGer ESV ExpaV EÖBV EÖBV-EJPD F: FamZG FamZV FAV FDO FHG FHV FIFG FiFV FiG FiLaG FiLaV FinfraG FinfraV FinfraV-FINMA FINIG FINIV FINMAG FiV FKG FLG FLV FMBV FMedG FMedV FMG FMV FOrgV FPV FrSV FusG FV FVAV FWG FWV FZG FZV G: GaGV GBV GebR-BVGer GebR-PatGer GebV ESTV GebV SchKG GebV-AIG GebV-ArG GebV-ASTRA GebV-AVG GebV-BAFU GebV-BASPO GebV-BAZL GebV-BJ GebV-BLW GebV-EDA GebV-EDI-NBib GebV-En GebV-ESA GebV-fedpol GebV-FMG GebV-HReg GebV-IGE GebV-KG GebV-NBib GebV-Publ GebV-SBFI GebV-TPS GebV-TVD GebV-VBS GebV-öV GebV-ÜPF GeBüV GeoIG GeoIV GeoIV-swisstopo GeomV GeoNV GesBG GesBKV GGBV GGUV GgV GKZ GlG GLPV GR-PatGer GR-WEKO GRN GRS GSchG GSchV GSG GTG GUMG GUMV GUMV-EDI GVVG GüTG GüTV H: HArG HArGV HasLV HasLV-WBF HBV HELV HEsÜ HFG HFKG HFV HGVAnG HKSV HKsÜ HMG HRegV HSBBV HVA HVI HVUV HyV I: IAMV IBH-V IBLV IBSG IBSV IFEG IGE-OV IGE-PersV IGEG InvV IPFiV IPRG IQG IR-PatGer IRSG IRSV ISABV-V ISchV ISLV IStrV-EZV ISUV ISVet-V IVG IVV IVZV J: J+S-V-BASPO JSG JStG JStPO JSV K: KAG KAKV-FINMA KBFHV KEG KEV KFG KFV KG KGSG KGSV KGTG KGTV KGVV KHG KHV KJFG KJFV KKG KKV KKV-FINMA KlinV KLV KMG KMV KOV KoVo KPAV KPFV KR-PatGer KRG KRV KV-GE KVAG KVAV KVG KVV L: LAfV LBV LDV LeV LFG LFV LGBV LGeoIV LGV LIV LMG LMVV LPG LRV LSMV LSV LTrV LugÜ LV-Informationssystemeverordnung LVG LVV LVV-VBS LwG M: MAkkV MaLV MaschV MatV MAV MBV MCAV MedBG MedBV MepV MetG MetV MFV MG MIG MinLV MinVG MinVV MinöStG MinöStV MiPV MIV MiVo-HF MJV MNKPV MPV MSchG MSchV MSG MStG MStP MStV MSV MVG MVV MWSTG MWSTV N: NAFG NagV NBibG NBibV NDG NEV NFSV NHG NHV NISSG NISV NIV NSAG NSAV NSG NSV NZV NZV-BAV O: OAV-SchKG OBG OBV OHG OHV OR OrFV Org-VöB OV-BK OV-BR OV-EDA OV-EDI OV-EFD OV-EJPD OV-HFG OV-UVEK OV-VBS OV-WBF P: PAG ParlG ParlVV PartG PaRV PatG PatGG PatV PAV PAVO PAVV PBG PBV PfG PfV PG PGesV PGesV–WBF–UVEK PGRELV PhaV PHV POG PRG PrHG PrSG PrSV PRTR-V PSAV PSMV PSPV PSPV-BK PSPV-EDA PSPV-EDI PSPV-EJPD PSPV-UVEK PSPV-VBS PSPV-WBF PSPVK PsyBV PsyG PublG PublV PVBger PVFMH PVFMH-VBS PVGer PVO-ETH PVO-TVS PVSPA PVSPA-VBS PäV PüG Q: QStV QuNaV R: RAG RAV RDV ReRBGer ResV-EDI RHG RHV RKV RLG RLV RPG RPV RSD RTVG RTVV RV-AHV RVOG RVOV RöV S: SAFIG SBBG SBMV SBV SchKG SDR SDSG SebG SebV SEFV SeilV SFV SGV SIaG SIRG SKV SnAV SPBV-EJPD SpDV SpG SpoFöG SpoFöV SpV SRVG SSchG SSchV SSchV-EDI SSV StAG StAhiG StAhiV StAV StBOG STEBV StFG StFV StG StGB StHG StPO StromVG StromVV StSG StSV STUG STUV StV STVG SuG SV SVAG SVAV SVG SVKG SVV T: TabV TAMV TBDV TEVG TGBV TGV ToG ToV TPFV TrG TSchAV TSchG TSchV TSG TStG TStV TSV TUG TVAV TVSV TwwV TZV U: UIDV UraM URG URV USG UVG UVPV UVV UWG V: V Mil Pers V-ASG V-FIFG V-FIFG-WBF V-GSG V-HFKG V-LTDB V-NDA V-NISSG V-NQR-BB V-StGB-MSt VABK VABUA VAböV VAEW VAG VAK VAM VAmFD VAN VAND VAPF VAPK VASA VASm VASR VATV VATV-VBS VAusb VAusb-VBS VAV VAwG VAZV VBB VBBo VBGA VBGF VBGÖ VBKV VBLN VBO VBO-ÜPF VBP VBPO VBPV VBPV-EDA VBR I VBRK VBSTB VBVA VBVV VBWK VböV VCITES VD-ÜPF VDA VDPS VDPV-EDI VDSG VDSZ VDTI VDZV VEAGOG VEE-PW VegüV VEJ VEKF VEL VEleS VEMV VEP VerTi-V VES VEV VeVA VEVERA VeÜ-VwV VeÜ-ZSSV VFAI VFAL VFAV VFB-B VFB-DB VFB-H VFB-K VFB-LG VFB-S VFB-SB VFB-W VFBF VFD VFRR VFSD VFV VG VGD VGeK VGG VGKE VGR VGS VGSEB VGV VGVL VGWR VHK VHyMP VHyPrP VHyS VID VIL VILB VIMK VIntA VIS-NDB VISOS VISV VITH VIVS VIZBM VJAR-FSTD VKA VKKG VKKL VKKP VKL VKos VKOVE VKP VKP-KMU VKSWk VKV-FINMA VKZ VLBE VLE VLF VlG VLHb VLIb VLIp VLK VLKA VLL VLpH VLtH VlV VMAP VMBM VMDP VMILAK VMob VMS VMSch VMSV VMWG VNEK VNem VNF VOCV VOD VOEW VORA-EDI VOSA VPA VPABP VPAV VPB VPeA VPG VPGA VPiB VpM-BAFU VpM-BLW VPO ETH VPOB VPOG VPR VPRG VPRH VPrP VPS VPVKEU VR-ENSI VR-ETH 1 VR-ETH 2 VR-FINMA VR-IGE VR-METAS VR-PUBLICA VR-RAB VR-SNM VR-Swissmedic VRA VRAB VREG VRHB VRKD VRLtH VRP VRS VRSL VRV VRV-L VSA VSB VSBN VSFK VSFS VSKV-ASTRA VSL VSMS VSPA VSpoFöP VSPS VSR VSRL VSS VST VStFG VStG VStrR VStV VSV VSVB VSZV VTE VTM VTNP VTS VTSchS VtVtH VUFB VUM VUV VVA VVAG VVAwG VVE VVEA VVG VVK VVK-EDI VVMH VVNF VVS-ÜPF VVTA VVV VVWAL VWEV VWL VWLV VWS VwVG VZAE VZAG VZG VZSchB VZV VZVM VöB VüKU VÜPF VüV-ÖV W: WaG WaV WBV WeBiG WeBiV WEFV WEG WFG WFV WG WPEG WPEV WRG WRV WSchG WSchV WV WZV WZVV Z: ZAG ZAV ZBstG ZDG ZDUeV ZDV ZDV-WBF ZEBG ZentG ZeugSG ZeugSV ZEV ZG ZGB ZISG ZPO ZSAV-BiZ ZSTEBV ZStGV ZStV ZSV ZTG ZUG ZustV-PrSV ZuV ZV ZV-EFD ZWG ZWV Ü: ÜbZ ÜüAVaS ÜüiZR ÜüRK ÜüSKZGIA ÜüzAiK No acronym: 818_101_24 331 632_319 818_102 830_31 131_211 131_212 131_213 131_214 131_215 131_216_1 131_216_2 131_217 131_218 131_221 131_222_1 131_222_2 131_223 131_224_1 131_224_2 131_225 131_226 131_227 131_228 131_229 131_231 131_232 131_233 131_235 142_318 142_513 170_321 172_010_441 172_211_21 172_220_11 172_327_11 196_127_67 221_213_221 221_415 360_2 361_0 361_2 362_0 366_1 367_1 420_126 420_171 510_620_2 514_10 632_421_0 672_933_6 701 732_12 741_618 748_222_0 748_222_1 811_117_2 812_121_5 812_214_5 817_023_41 818_101_25 831_471 837_033 837_21 861 935_121_41 935_121_42 935_816_2
A: AccredO-LPsy AETR C: Caclid CC CCoop-ESF CE-TAF CEDH CL CLaH 2000 CLaH 96 CO CP CPC Cpecmdi CPM CPP Cprlsaé Crdl Crpc Cst-GE Cst. Ctflij D: DE-OCEB DE-OCF DE-OMBat DPA DPMin E: EIMP F: FITAF FP-TFB L: LA LAA LAAF LAAM LACI LAFam LAGH LAgr LAI Lalc LAM LAMal LAO LAP LApEl LAPG LAr LArm LAS LASEI LAsi LAT LAVI LAVS LB LBCF LBFA LBI LBNS LCA LCAP LCart LCBr LCC LCD LCdF LCESF LCF LCFF LChim LChP LCin LCITES LCo LCPI LCPR LCR LD LDA LDAl LDEA LDEP LDes LDFR LDI LDIF LDIP LDP LDT LDét LEAC LEAR LEaux LEC LEDPP LEEJ LEFin LEg LEH LEHE LEI LEIS LEMO LEne LEnTR LENu LEp LERI LESE LESp LET LEx LF-CLaH LF-EEA LFA LFAIE LFC LFCo LFE LFH LFIF LFINMA LFisE LFLP LFMG LFo LFORTA LFPC LFPr LFSP LFus LGG LGéo LHand LHID LHR LIA LIB LICa LIE LIFD LIFSN LIMF Limpauto Limpmin LIPI LIPPI LISDC LISint LITC LJAr LLC LLCA LLG LLGV LMAP LMC LMCFA LMP LMSI LMét LN LNI LOA LOAP LOC LOG LOGA LOP LOST LP LPA LPAP LParl LPart LPBC LPC LPCA LPCC LPCo LPD LPDS LPE LPers LPGA LPM LPMA LPMéd LPN LPO LPP LPPCi LPPS LPSan LPSP LPsy LPTh LPubl LRaP LRCF LRCN LRCS LRens LRFP LRH LRN LRNIS LRPL LRS LRTV LSA LSAMal LSC LSCPT LSE LSEtr LSF LSIA LSIP LSIS LSPr LSPro LSR LStup LSu LT LTab LTaD LTAF LTBC LTC LTEO LTF LTFB LTI LTM LTN LTo LTr LTRA LTrAlp LTrans LTrD LTro LTTM LTV LTVA Ltém LUMin LUsC LVA LVP LVPC O: O E-VERA O LERI DEFR O OFSPO J+S O pers mil O-CNC-FPr O-CP-CPM O-HEFSM O-LEHE O-LERI O-LRNIS O-OPers O-OPers-DFAE O-SI ABV O-SIGEXPA O-STAC OA 1 OA 2 OA 3 OAA OAAcc OAAE OAAE-DFJP OAAF OAAFM OAAFM-DDPS OAASF OAbCV OAC OACA OACAMIL OACata OAcCP OACE OACI OACM OACP OACS OAdd OAdma OAdo OADou OAEP OAF OAFA OAFam OAG OAGH OAGH-DFI OAgrD OAIE OAlc OAllerg OAM OAMal OAMAS OAMéd OAMédcophy OAO OAOF OAP OAPA OAPCM OApEl OARF OARF-OFT OARG OArm OAS OASA OAsc OASF OASM OASMéd OAStup OAT OAV OAVI OB OBat OBB OBCF OBI OBiG OBioc OBLF OBMa OBNP OBNS OBPL OCA OCA-DFI Ocach OCAl OCart OCBD OCBr Occd OCCEA OCCHE OCCP OCCR OCDA OCDM OCDoc OCEB OCEC OCEl-PA OCEl-PCPP OCEM OCF OCFH OChim OChP OCIFM OCin OCITES OCL OClin OCM OCM ES OCMD OCNE OCo OCOFE OComp-OSPro OCont OCoo OCoR-DFI OCos OCOV OCP OCPD OCPF OCPPME OCPR OCPSan OCR OCS OCSP OCSP-ChF OCSP-DDPS OCSP-DEFR OCSP-DETEC OCSP-DFAE OCSP-DFI OCSP-DFJP OCSPN OCStup OCTE OCVM OCâbles OD OD-ASR OD-DFF Odac ODAlAn ODAlGM ODAlOUs ODAlOV ODAu ODCS ODE OdelO ODEP ODEP-DFI ODes ODF ODFR ODI ODim ODO ODP ODPr ODSC ODV ODVo Odét OE OEAR OEaux OEB OEC OECA OEChim OECin OEDPP OEDRP-DFI OEDS OEE-VT OEEC OEEE OEEJ OEFin OEI-SCPT OEIE OEIMP OEIT OELDAl OELP OEM Oem-LEI Oem-OFJ OEMCN OEMFP OEmiA OEMO OEmol-AFC OEmol-ASF OEmol-BN OEmol-DDPS OEmol-DFAE OEmol-DFI-BN OEmol-fedpol OEmol-LCart OEmol-LSE OEmol-LTr OEmol-OFAC OEmol-OFAG OEmol-OFEV OEmol-OFRO OEmol-OFSPO OEmol-Publ OEmol-RC OEmol-SEFRI OEmol-TA OEmol-TP OEMTP OEMéd OEne OEneR OEng OENu OEOHB OEp OEPI OEPL OERE OESE OESE-DFI OESN OESp OESS OETHand OETV OEV Oexpa OFA-FINMA OFAC OFC OFCo OFCoop OFDG OFDPP OFE OFG OFH OFMO OFo OFOrg Oform OFP OFPAn OFPC-FINMA OFPr OFPT OFSI OFSPers OGE OGEmol OGN OGOM OGPCT OGéo OGéo-swisstopo OGéom OH OHand OHEL OHR OHS-LP OHyAb OHyg OHyPL OHyPPr OIA OIAgr OIAM OIB OIB-FINMA OIBC OIBL OIBT OIC OICa OIDAl OIDE OIE OIELFP OIFC OIFP OIFSN OILC OIMA OIMAS OIMF OIMF-FINMA Oimpauto Oimpmin OInstr pré OInstr prém DDPS Oinv OIOP OIP OIPI OIPSD OIPSD-DEFR OIS OISec OISofCA OISOS OIT OITab OITC OITE-AC OITE-PT-DFI OITE-UE-DFI OITPTh OITRV OIVS OJAr OJAR-FSTD OJM OJPM OLAA OLALA OLang OLAr OLCC OLCP OLDI OLDT OLEC OLED OLEH OLEl OLen OLFP OLG Olico OLN OLOG OLOGA OLOP OLP OLPA OLPD OLPS OLQE OLT 1 OLT 2 OLT 3 OLT 4 OLT 5 OLUsC OMA OMAA OMach OMAH OMAI OMAP OMAS OMat OMAV OMBat OMBT OMCFA OMCo OMDA OME-SCPT OMG OMi OMinTA OMJ-DFJP OMN OMN-DDPS OMO OMob OMoD OMP OMP-OFAG OMP-OFEV OMPr OMSA OMSVM OMéd OMédv OMét ONAE ONag ONCAF ONCR ONGéo ONI ONM ONo-ASR OO OOBE OOC-SCPT OOCCR-OFROU OODA OOIT OOLDI OOMA OOP EPF OOPC OOrgA OOST OOUS OPA OPAAb OPair OPAM OPAn OPAnAb OPAP OParcs OPart OPAS OPAT OPATE OPB OPBC OPBD OPBio OPC OPC-AVS-AI OPC-FINMA OPCAP OPCC OPCi OPCNP OPCo OPCy OPD OPDC OPE OPEA OPer-AH OPer-B OPer-D OPer-Fl OPer-Fo OPer-Fu Oper-IPI OPer-P OPer-S OPers OPers-EPF OPers-PDHH OPers-PDHH-DDPS OPers-PPOE OPers-PPOE-DDPS OPers-ServAS OPersT OPersTF OPESp OPF OPFCC OPFr OPGA OPha OPICChim OPICin OPIE OPM OPMA OPMéd OPN OPO OPoA OPOVA OPP 1 OPP 2 OPP 3 OPPB OPPBE OPPh OPPM OPPPS OPPr OPR OPrI OProP OPSP OPsy OPTA OPTP OPU OPubl OPuM OPVA OQPN OQuaDu OR-AVS ORA ORAb OrAc ORAgr ORaP ORAT ORB ORC ORCN ORCPL ORCPP ORCS ORCSN Ordonnance sur les systèmes d’information AC ORE I ORe-DFI OREA OREDT OREE ORegBL ORF ORFI Org CF Org ChF Org DEFR Org DETEC Org DFAE Org DFF Org DFI Org DFJP Org LRH Org-DDPS Org-OMP ORH ORIn ORInt ORM ORMI ORN ORNI OROEM ORPGAA ORPL ORPMUE ORRChim ORRTP ORS ORSA ORSec ORT ORTV OrX ORésDAlan OS OS LCart OS-FINMA OSAC OSALA OSAMal OSAR OSAss OSAv OSaVé OSaVé–DEFR–DETEC OSCi OSCi-DEFR OSCPT OSCR OSE OSEP OServAS OSEtr OSFPrHE OSIA OSIAC OSIAgr OSIAr OSIP-AFD OSIS OSIS-SRC OSites OSIVét OSJo OSL OSLing OSM OSMP OSNA OSO OSOA Osol OSPA OSPBC OSPEX OSPF OSPro OSR OSRA OSRens OSRev OSRP OSS OST-SCPT OStrA OSur-ASR OSV OsVO OT OTa-IPI OTab OTAS OTBC OTConst OTDD OTEMO OTEO OTerm OThand OTM OTN OTNI OTo OTPE OTPSP OTR 1 OTR 2 OTrA OTrans Otransa OTrD OTRF OTS OTStup-DFI OTV OTVA OTVM OTém OUC OUMin OUMR OUS OVA OVCC OVid-TP OVIS OVotE Oémol-En P: PA PFCC PPM PPMin R: RAATPF RAI RAPG RAVS RCE RCETF RCN RDE REmol-TAF REmol-TFB RFA RFPPF RI-COMCO RInfo-TFB RNC ROTPF RP-ASR RP-EPF 1 RP-EPF 2 RP-FINMA RP-IFSN RP-IPI RP-METAS RP-MNS RP-PUBLICA RP-Swissmedic RPBC RPEC RS 04 RSD RSTF RTAF RTF RTFB S: SDR No acronym: 818_101_24 331 632_319 818_102 830_31 131_211 131_212 131_213 131_214 131_215 131_216_1 131_216_2 131_217 131_218 131_221 131_222_1 131_222_2 131_223 131_224_1 131_224_2 131_225 131_226 131_227 131_228 131_229 131_231 131_232 131_233 131_235 142_318 142_513 170_321 172_010_441 172_211_21 172_220_11 172_327_11 196_127_67 221_213_221 221_415 360_2 361_0 361_2 362_0 366_1 367_1 420_126 420_171 510_620_2 514_10 632_421_0 672_933_6 701 732_12 741_618 748_222_1 811_117_2 812_121_5 812_214_5 817_023_41 818_101_25 831_471 837_033 837_21 861 935_121_41 935_121_42 935_816_2
A: AETR AIMP C: C CC CColl-SFS Ccrldsae Cdf CE-TAF CEDU CLug CO Cost. Cost.-GE CP CPC CPM CPP Crapc Csacrim Cspida Cspmscmai Cvfliag D: DE-OCB DE-Oferr DE-OMBat DPA DPMin G: GebV-BLW GebV-IGE L: LAAF LAAgr LADI LAEl LAF LAFam LAFE LAgr LAI LAID LAIn LAINF LAlc LAM LAMal LAP LAPub LAr LArm LArRa LAS LASec LAsi LASPI LATC LATer LAV LAVS LBCR LBI LBNS LC LCA LCAP LCart LCB LCC LCel LCF LCin LCIP LCit LCo LCoe LCP LCPI LCSFS LCSl LCStr LD LDA LDerr LDes LDFR LDI LDIP LDis LDist LDL LDP LDPS LEF LEGU LEne LENu LEp LEspr LF-CAA LF-CITES LF-RMA LFC LFCo LFE Lferr LFFS LFIF LFINMA LFLP LFO LFOSTRA LFPC LFPr LFR LFSI LFSP LFus LGD LGI LI LIAC LIAut LIB LICol LIE LIF LIFD LIFI LIFSN LIFT LIG LImA LImT LInFi LIOm LIP LIPG LIPI LIPIn LISDC LIsFi LITC LIVA LL LLCA LLD LLing LLN LM LMB LMC LMCCE LMD LMet LMSI LNA LNI LOAP LOF LOGA LOP LPAc LPAG LPAM LPAmb LPAn LPar LParl LPBC LPC LPCA LPChim LPCu LPD LPDS LPers LPFC LPGA LPM LPMed LPN LPO LPP LPPC LPPsi LPrA LPRI LProdC LPS LPSan LPSP LPSpo LPSt LPSU LPT LPTes LPTS LPubb LPV LRaP LRAV LRCN LRDP LResp LRFF LRMT LRNIS LRTV LRUm LRVC LSA LSAI LSC LSCPT LSEst LSIF LSIM LSIP LSIS LSISA LSISpo LSN LSO LSPr LSPro LSR LSRPP LSSE LStat LStrI LStup LSu LTAF LTAlp LTB LTBC LTC LTCo LTD LTEO LTF LTFB LTM LTo LTras LTrasf LTS LTTP LTV LUC LUD LUFI LUMin LUSN LVAMal M: MMRa O: O QNQ FP O suolo O-CITES O-G+S-UFSPO O-GM O-LPRI O-LPRI-DEFR O-LPSU O-LRNIS O-ODI-DFAE O-OPers O-OPers-DFAE O-SIAMV O-SIEs O-SIFPU O-SISVet O-STAC O-SUFSM OA Fam OAAF OAAM OAAP OAASF OABCT OAC OACata OACMIL OACS OACust OADAP OAdd OADI OADo OAdoz OAE OAE-AF OAEl OAEP OAEs OAF OAFA OAFami OAFE OAGio OAI OAIMP OAINF OAlc OAlle OAllerg OALPar OAM OAMal OAMed OAMin OAMM OAOrg OAOVA OAPA OAPCM OAppG OAPub OAPuE OAPuE-DFGP OARF OARF-UFT OARG OArm OArRa OASA OASAE OASAM OASAM-DDPS OASAOG OAsc OASec OASEF OASF OAsi 1 OAsi 2 OAsi 3 OASL OASPR OASSP OATV OATVM OAut OAV OAV-LEF OAVI OAVM OAVS OBAF OBcarb OBCR OBGZ OBI OBiG OBioc OBM OBNS OBPL OC OC-ASR OCA OCart OCB OCBr Occdci OCCRT