(19.03.2025) À partir du 1er avril 2025, les exploitants d’infrastructures critiques auront l’obligation d’annoncer toute cyberattaque à l’Office fédéral de la cybersécurité (OFCS) dans les 24 heures suivant sa détection.
Ces signalements devront permettre à l’OFCS (ancien Centre national de cybersécurité, NCSC) de mieux soutenir les entreprises victimes de cyberattaques. L’infrastructure critique désigne neuf secteurs d’activité: autorités, énergie, élimination, finances, santé, information et communication, alimentation, sécurité publique et transports.
Un formulaire en ligne a été créé pour signaler les incidents à l’OFCS. Pour y accéder, les entreprises doivent s’enregistrer auprès du Cyber Security Hub. Les organisations qui ne souhaitent pas s’inscrire sur cette plateforme pourront effectuer leur déclaration d’incident par courriel à l’adresse notification@ncsc.ch.
Si toutes les informations concernant la cyberattaque ne sont pas disponibles dans les 24 heures, le signalement peut être complété dans un délai de 14 jours. Afin de laisser le temps aux entreprises de s’adapter, les manquements ne seront pas sanctionnés au cours des six premiers mois. À compter du 1er octobre 2025 toutefois, les contrevenants à l’obligation de signalement s’exposent à une amende.
Certaines entreprises du secteur sont toutefois exemptées de l’obligation de signalement. C’est le cas des sociétés qui emploient moins de 50 personnes, et qui affichent un chiffre d’affaires annuel ou un bilan annuel de moins de 10 millions de francs dans le domaine lié à l’infrastructure critique.
Les entreprises non assujetties à l’obligation de signalement sont toutefois, elles aussi, invitées à informer les autorités à titre volontaire via le formulaire ad hoc afin de contribuer à la sécurité informatique générale.
Dernière modification 19.03.2025
