Parallèles entre la LSI suisse et la directive européenne NIS-2

LSI

Autorités et organisations de la Confédération (art. 2)

Infrastructures critiques (KRITIS) (art. 74b)

NIS-2 

Ces dispositions concernent l’administration fédérale ainsi que les infrastructures critiques (KRITIS)

LSI

Des exceptions sont possibles si les perturbations fonctionnelles causées par des cyberattaques n’ont qu’un impact limité sur le fonctionnement de l’économie ou le bien-être de la population (art. 74c).

NIS-2 

> 50 employés

> 10 millions d’euros de chiffre d’affaires annuel

LSI

• Dès janvier 2025 pour les infrastructures critiques (KRITIS)
• En vigueur depuis le 1er janvier 2024 pour les autorités fédérales

NIS-2 

LSI

• Soutenir les exploitants d’infrastructures critiques (art. 74)
• Assurer un échange sécurisé et mutuel d’informations (art. 74)
• Émettre des déclarations de conformité en matière de sécurité opérationnelle (art. 61)
• Effectuer des contrôles de sécurité des personnes (chap. 3)
• Réaliser des vérifications périodiques cantonales de la mise en œuvre et de l’efficacité des mesures de sécurité de l’information (art. 86)

NIS-2 

• Définition des entités centrales et des compétences par pays
• Élaboration de directives et de recommandations
• Surveillance de la mise en œuvre
• Création et gestion d’équipes mobiles d’intervention en cas d’incident (Mobile Incident Response Teams)
• Réception et traitement des signalements d’incidents cybernétiques

LSI

• Responsabilité de la direction
• Mise en place d’un système de gestion de la sécurité de l’information (ISMS)
• Gestion des risques
  • Politiques et pratiques de sécuritéClassification des informations
  • Collaboration avec des tiers
  • Gestion des incidentsSécurité du personnel
  • Gestion des identitésProtection des données
  • Conservation, archivage et destruction des données
  • Obligations de déclaration
  • Partage d’informations sur les menaces
  • Signalement des incidents de sécurité

NIS-2 

• Gestion des risques et exigences de sécurité
• Détection et signalement des incidents
• Continuité des activités et sauvegardes
• Sécurité de la chaîne d’approvisionnement
• Développement et acquisition de systèmes sécurisés
• Évaluation de l’efficacité des mesures de sécurité
• Pratiques de cyber-hygiène et formations
• Chiffrement des données
• Sécurité du personnel et gestion des ressources humaines
• Gestion des actifs (Asset Management)
• Contrôle des accès et authentification multifactorielle (MFA)

LSI

• Signalement au Bureau fédéral de cybersécurité (BACS)
• Cyberattaques avec potentiel de dommage à signaler dans un délai de 24 heures

NIS-2 

• Les institutions responsables varient selon les pays
• Déclaration des « incidents de sécurité significatifs » :
  • ≤ 24 h : alerte précoce
  • ≤ 72 h : notification d’incident
  • ≤ 1 mois : rapport final

LSI

• Une amende personnelle pouvant atteindre CHF 100'000 en cas de non-respect intentionnel des obligations.
• Des amendes jusqu'à CHF 20'000 peuvent également être appliquées aux entreprises.
• Le droit pénal administratif est également applicable (art. 74h).

NIS-2 

• Des amendes pouvant atteindre jusqu'à 10 M€ ou 2 % du chiffre d'affaires annuel global (pour les infrastructures particulièrement critiques).
• Un maximum de 7 M€ ou 1,4 % du chiffre d'affaires annuel global (pour les infrastructures importantes).
• Les membres de la direction et les cadres dirigeants des entreprises sont personnellement responsables avec leur patrimoine privé.