FrançaisDeutschItalianoEnglish

Défilement synchronisé

120.73 Ordonnance sur la protection contre les cyberrisques dans l’administration fédérale

(Ordonnance sur les cyberrisques, OPCy)

du 27 mai 2020 (Etat le 1^er janvier 2021)

Le Conseil fédéral suisse,

vu l’art. 30 de la loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure¹ et les art. 43, al. 2 et 3, 47, al. 2, et 55 de la loi du 21 mars 1997 sur l’organisation du gouvernement et de l’administration²,

arrête:

1 Chapitre 1 Dispositions générales

Art. 1 Objet

La présente ordonnance règle l’organisation de l’administration fédérale de manière à assurer la protection contre les cyberrisques de même que les tâches et les compétences des différents offices dans le domaine de la cybersécurité.

Art. 2 Champ d’application

La présente ordonnance s’applique:

a.: aux unités administratives de l’administration fédérale centrale au sens de l’art. 7 de l’ordonnance du 25 novembre 1998 sur l’organisation du gouvernement et de l’administration¹;
b.²: aux autorités, organisations et personnes visées à l’art. 2, al. 2, de l’ordonnance du 25 novembre 2020 sur la transformation numérique et l’informatique (OTNI)³ qui s’engagent à la respecter.

¹ RS 172.010.1
² Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).
³ RS 172.010.58

Art. 3 Définitions

Dans la présente ordonnance, on entend par:

a.: cybersécurité: la situation dans laquelle le traitement des données, notamment l’échange de données entre les personnes et les organisations par l’intermédiaire d’infrastructures d’information et de communication, fonctionnent comme prévu;
b.: cyberincident: tout événement nuisant à la confidentialité, à l’intégrité, à la disponibilité ou à la traçabilité des données ou pouvant occasionner des dysfonctionnements, qu’il soit accidentel ou provoqué intentionnellement par un tiers non autorisé;
c.: cyberrisque: le risque de survenance d’un cyberincident, son ampleur résultant du produit de la probabilité de survenance et de l’étendue des dommages;
d.: résilience: l’aptitude d’un système, d’une organisation ou d’une société à faire face à des perturbations internes ou externes et à maintenir son bon fonctionnement ou à le rétablir aussi rapidement et complètement que possible;
e.: sécurité informatique: l’aspect de la cybersécurité qui concerne les systèmes techniques;
f.: directives en matière de sécurité informatique: les exigences de sécurité concernant l’organisation, les processus, les prestations et la technique;
g.: infrastructures critiques: les processus, systèmes et installations indispensables au fonctionnement de l’économie et au bien-être de la population.

Chapitre 2 Principes régissant la protection contre les cyberrisques

Art. 4 Objectifs

¹ L’administration fédérale veille à ce que ses organes et ses systèmes présentent une résilience appropriée face aux cyberrisques.

² Elle collabore avec les cantons, les communes, les milieux économiques et scientifiques, la société et les partenaires internationaux, dans la mesure où cette collaboration est utile à la protection de ses intérêts en matière de sécurité; elle encourage l’échange d’informations.

Art. 5 Stratégie nationale de protection de la Suisse contre les cyberrisques

La stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) définie par le Conseil fédéral établit le cadre stratégique régissant la prévention et la détection précoce des cyberrisques, ainsi que la réaction et la résilience en cas de cyberincident.

Art. 6 Domaines

Les mesures de protection contre les cyberrisques sont subdivisées en trois domaines:

a.: domaine de la cybersécurité: ensemble des mesures visant à prévenir et à gérer les incidents et à améliorer la résilience face aux cyberrisques ainsi qu’à développer la coopération internationale à cet effet;
b.: domaine de la cyberdéfense: ensemble des mesures prises par les services de renseignement et l’armée dans le but de protéger les systèmes critiques dont dépend la défense nationale, de se défendre contre les cyberattaques, de garantir la disponibilité opérationnelle de l’armée dans toutes les situations ayant trait au cyberespace et de développer ses capacités et compétences afin qu’elle puisse apporter un appui subsidiaire aux autorités civiles; ce domaine inclut également des mesures visant à identifier les menaces et les attaquants ainsi qu’à entraver et à bloquer les attaques;
c.: domaine de la poursuite pénale de la cybercriminalité: ensemble des mesures prises par la police et les ministères publics de la Confédération et des cantons pour lutter contre la cybercriminalité.

Chapitre 3 Organisation et compétences

Section 1 Collaboration interdépartementale

Art. 7 Conseil fédéral

Le Conseil fédéral assume les fonctions suivantes:

a.: surveiller la mise en oeuvre de la SNPC au moyen du contrôle de gestion stratégique et adopter des mesures si nécessaire;
b.: décider, dans les limites de ses compétences, dans quels domaines il convient d’édicter ou de modifier des directives en matière de protection contre les cyberrisques;
c.: édicter des instructions sur la protection de l’administration fédérale contre les cyberrisques;
d.: autoriser des dérogations à ses directives.

Art. 8 Groupe Cyber

¹ Le Groupe Cyber se compose:

a.: du délégué à la cybersécurité (art. 6a de l’ordonnance du 17 février 2010 sur l’organisation du Département fédéral des finances¹), qui représente le Département fédéral des finances (DFF);
b.: d’un représentant du Département fédéral de la défense, de la protection de la population et des sports (DDPS);
c.: d’un représentant du Département fédéral de justice et police (DFJP);
d.: d’un représentant des cantons, désigné par la conférence des gouvernements cantonaux compétente.

² Il est présidé par le délégué à la cybersécurité.

³Il informe les représentants des autres unités administratives actives dans le domaine des cyberrisques sur les points inscrits à l’ordre du jour et peut les inviter à assister à certaines de ses séances. S’agissant des aspects de politique extérieure, il fait appel au Département des affaires étrangères (DFAE). Il peut également recourir à des experts des milieux économiques et des hautes écoles.

⁴ Le Groupe Cyber assume notamment les tâches suivantes:

a.: évaluer les cyberrisques et leur évolution probable au moyen d’informations relevant des domaines de la cybersécurité, de la cyberdéfense et de la poursuite pénale de la cybercriminalité;
b.: évaluer en permanence les dispositifs existants dans les domaines de la cybersécurité, de la cyberdéfense et de la poursuite pénale de la cybercriminalité et vérifier leur adéquation à la situation;
c.: accompagner, au besoin en collaboration avec d’autres services, la gestion interdépartementale des incidents;
d.: informer le Groupe Sécurité de la Confédération des cyberincidents et des développements relevant de la politique extérieure et de la politique de sécurité.

⁵ Les trois départements représentés au sein du Groupe Cyber mettent à disposition les informations permettant une évaluation commune de la situation.

⁶ Le Service de renseignement de la Confédération (SRC) fournit au Groupe Cyber une vue d’ensemble de la situation en matière de cybermenace.

¹ RS 172.215.1

Art. 9 Comité de pilotage de la stratégie nationale de protection de la Suisse contre les cyberrisques

¹ Le Conseil fédéral met en place un comité de pilotage de la stratégie nationale de protection de la Suisse contre les cyberrisques (CP SNPC).

² Le CP SNPC se compose du délégué à la cybersécurité, de représentants des cantons désignés par la conférence des gouvernements cantonaux compétente, de représentants des milieux économiques et des hautes écoles ainsi que de représentants des unités administratives qui ont la haute main sur la mise en oeuvre de mesures de la SNPC. Chaque département et la Chancellerie fédérale disposent au moins d’un représentant au sein du CP SNPC.

³ Le CP SNPC est présidé par le délégué à la cybersécurité.

⁴ Il assume les tâches suivantes:

a.: veiller à la cohérence stratégique lors de la mise en oeuvre des mesures de la SNPC et évaluer en permanence leur état d’avancement au moyen d’un contrôle de gestion stratégique;
b.: proposer des mesures d’urgence en cas de mise en oeuvre tardive ou incomplète des mesures de la SNPC;
c.: assurer le développement continu de la SNPC en suivant l’évolution de la menace en concertation avec le Groupe Cyber et proposer au besoin des ajustements de la SNPC;
d.: rendre compte chaque année au Conseil fédéral et au grand public de la mise en oeuvre de la SNPC;
e.: veiller à ce que les acteurs de la Confédération, des cantons, des milieux économiques et des hautes écoles adoptent une approche coordonnée dans la mise en oeuvre des mesures de la SNPC;
f.: veiller à ce que la mise en oeuvre des mesures de la SNPC tienne compte de la politique de gestion des risques menée par la Confédération, de la stratégie nationale de protection des infrastructures critiques et des stratégies informatiques du Conseil fédéral.

Art. 10 Comité pour la sécurité informatique

¹ Le comité pour la sécurité informatique (C-SI) se compose d’un représentant du Centre national pour la cybersécurité (NCSC¹), des délégués à la sécurité informatique des départements et de la Chancellerie fédérale et du délégué à la sécurité informatique des services standard.

² Il peut faire appel à d’autres personnes à titre consultatif.

³ Il est présidé par le représentant du NCSC.

⁴ Il est l’organe consultatif du NCSC pour les questions de sécurité informatique dans l’administration fédérale.

¹ National Cyber Security Centre

Art. 11 Délégué à la cybersécurité

¹ Le délégué à la cybersécurité assume les tâches suivantes:

a.: diriger le NCSC;
b.: veiller à une coordination optimale des travaux interdépartementaux des domaines de la cybersécurité, de la cyberdéfense et de la poursuite pénale de la cybercriminalité;
c.: assurer la visibilité des activités de la Confédération dans le domaine des cyberrisques, contribuer à la création de conditions favorables à l’innovation dans le secteur de la cybersécurité, assumer le rôle d’interlocuteur de référence de la Confédération en matière de cyberrisques et représenter celle-ci au sein des commissions et groupes de travail concernés; veiller à une coordination optimale des travaux des cantons et de la Confédération afin d’assurer la protection de la Suisse contre les cyberrisques;
d.: représenter le NCSC dans les états-majors de crise de la Confédération;
e.: édicter des directives en matière de sécurité informatique;
f.¹: décider de dérogations aux directives qu’il a édictées; si ces dérogations concernent également les directives de la Chancellerie fédérale concernant la transformation numérique et la gouvernance de l’informatique, il consulte cette dernière au préalable.

² Il informe régulièrement le DFF, à l’intention du Conseil fédéral, de l’état de la sécurité informatique au sein des départements et de la Chancellerie fédérale.

³ Il peut participer à l’élaboration de directives informatiques de l’administration fédérale qui concernent la cybersécurité et à des projets informatiques ayant une incidence sur la sécurité. Il peut notamment demander des informations, se prononcer à ce sujet et formuler des modifications.

⁴ Il peut demander, après consultation du Contrôle fédéral des finances, des vérifications de la sécurité informatique.

¹ Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

Section 2 Organes du domaine de la cybersécurité

Art. 12 Centre national pour la cybersécurité

¹ Le NCSC est le centre de compétences de la Confédération en matière de cyberrisques et coordonne les travaux de la Confédération dans le domaine de la cybersécurité. Il assume les tâches suivantes:

a.: exploiter le guichet unique suisse en matière de cyberrisques, qui centralise les notifications émanant de l’administration fédérale, des milieux économiques, des cantons et de la population, les analyse et peut émettre des recommandations;
b.: fournir, en collaboration avec les partenaires compétents au sein de l’administration fédérale, un appui subsidiaire aux exploitants d’infrastructures critiques et encourager entre eux l’échange d’informations concernant les cyberrisques;
c.: diriger l’équipe d’intervention en cas d’urgence informatique (Computer Emergency Response Team, GovCERT), qui est le service spécialisé national pour la gestion technique des cyberincidents, l’analyse des questions techniques, l’évaluation technique des menaces et l’appui technique au guichet unique suisse;
d.: diriger le service spécialisé de sécurité informatique de la Confédération, qui élabore des directives en matière de sécurité informatique, conseille les unités administratives lors de leur application et vérifie le niveau de sécurité informatique au sein des départements et de la Chancellerie fédérale;
e.: désigner les délégués à la sécurité informatique de la Confédération (DSIC);
f.: coordonner la mise en oeuvre de la SNPC, effectuer un contrôle de gestion stratégique de la SNPC et préparer les séances du Groupe Cyber et du CP SNPC;
g.: disposer d’un pool d’experts chargés d’assister les offices spécialisés dans la mise en oeuvre de mesures de la SNPC ainsi que dans le développement, la mise en oeuvre et l’évaluation de normes et de réglementations en matière de cybersécurité;
h.: contribuer à sensibiliser l’administration fédérale et le grand public aux cyberrisques au moyen d’informations ciblées, informer sur l’état de la situation et publier des instructions sur les mesures préventives ou réactives à prendre;
i.: exploiter une infrastructure d’analyse et de communication résiliente qui fonctionne indépendamment du reste de l’informatique de la Confédération;
j.: informer le Groupe Cyber des cyberincidents et, lorsque ceux-ci sont importants du point de vue de la politique extérieure et de la politique de sécurité, en informer également le Groupe Sécurité de la Confédération.

² Il peut traiter les données relatives aux cyberincidents et aux flux de communication correspondants pour autant que ce traitement soit utile, directement ou indirectement, à la protection de l’administration fédérale contre les cyberrisques. Il peut communiquer ces données à des équipes de sécurité publiques ou privées si:

a.: le fournisseur des données y consent; et
b.: aucune obligation légale de garder le secret n’est enfreinte.

³ La communication de données personnelles à l’étranger n’est autorisée que si la législation fédérale sur la protection des données est respectée.

⁴ Les données sensibles ne peuvent être traitées que si une base légale autorise leur traitement par des moyens informatiques de la Confédération.

⁵ En concertation avec les services concernés de l’administration fédérale, le NCSC prend la haute main sur la gestion des cyberincidents présentant une menace pour le bon fonctionnement de l’administration fédérale. Le cas échéant, il assume les tâches et compétences suivantes:

a.: il peut obtenir des fournisseurs et des bénéficiaires de prestations concernés toutes les informations nécessaires;
b.: il peut ordonner des mesures d’urgence;
c.: il informe de son action la direction des unités administratives concernées

⁶ Si les mesures prises à la suite d’un cyberincident ont permis de réduire à un niveau acceptable la menace pour la confidentialité ou le fonctionnement de l’administration fédérale et que les travaux de suivi nécessaires et leur financement ont été arrêtés, le NCSC rend la responsabilité de la gestion aux services concernés.

Art. 13 Départements et Chancellerie fédérale

¹ À la fin de chaque année, les départements et la Chancellerie fédérale informent le NCSC de l’état de la sécurité informatique.

² Les fournisseurs de prestations internes visés à l’art. 9 OTNI¹ rendent régulièrement compte au NCSC des failles de sécurité et des cyberincidents détectés ainsi que des mesures prises ou prévues pour y remédier.²

³ Les départements et la Chancellerie fédérale désignent chacun un délégué à la sécurité informatique (DSID).

¹ RS 172.010.58
² Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

Art. 14 Unités administratives et fournisseurs de prestations

¹ Les unités administratives désignent chacune un délégué à la sécurité informatique (DSIO). Le secteur Transformation numérique et gouvernance de l’informatique de la Chancellerie fédérale désigne par ailleurs un délégué à la sécurité informatique des services standard.¹

² Les unités administratives sont responsables de la protection de leurs systèmes informatiques, de leurs applications et de leurs données (éléments protégés). Elles assument les fonctions suivantes:

a.: examiner régulièrement les éléments protégés et prendre les mesures de sécurité nécessaires; veiller notamment à ce que ces mesures soient consignées sous une forme actualisée pour chaque élément protégé;
b.: s’assurer du respect des directives en matière de sécurité informatique et des décisions du Conseil fédéral, du NCSC et des départements ou de la Chancellerie fédérale dans leurs domaines de compétences respectifs;
c.: sous réserve de l’art. 12, al. 5, gérer tout cyberincident touchant les éléments protégés;
d.: s’assurer qu’en cas d’acquisition de prestations auprès d’un fournisseur externe, les directives en matière de sécurité informatique font partie intégrante du contrat;
e.: vérifier de manière appropriée que les directives en matière de sécurité informatique sont respectées par les fournisseurs externes.

³ Les fournisseurs veillent à disposer des capacités nécessaires pour gérer les cyberincidents qui se produisent chez eux et chez les destinataires des prestations.

⁴ Ils informent sans délai les destinataires des prestations des failles et des incidents de sécurité détectés.

⁵ Les destinataires des prestations définissent en collaboration avec les fournisseurs un processus de gestion des cyberincidents. Celui-ci règle en particulier les compétences décisionnelles dont relèvent les mesures d’urgence.

⁶ Si un cyberincident ne peut être géré dans le cadre du processus défini, les personnes concernées informent le NCSC afin de définir la marche à suivre.

⁷ Les unités administratives consultent le NCSC pour ce qui concerne les directives et projets informatiques ayant une incidence sur la sécurité.

⁸ Elles sont responsables du développement, de la mise en oeuvre et de l’évaluation de normes et de réglementations en matière de cybersécurité dans leurs secteurs respectifs. Le NCSC met à leur disposition, dans la mesure de ses possibilités, des experts du pool visé à l’art. 12, al. 1, let. g.

¹ Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

Chapitre 4 Dispositions finales

Art. 15 Modification d’autres actes

La modification d’autres actes est réglée en annexe.

Art. 16 Disposition transitoire relative à l’art. 2, let. b

¹ Les autorités et offices qui, avant l’entrée en vigueur de la présente ordonnance, se sont engagées par le biais d’un accord avec l’Unité de pilotage informatique de la Confédération (UPIC) à respecter les dispositions de l’ordonnance du 9 décembre 2011 sur l’informatique dans l’administration fédérale (OIAF)¹ sont soumises jusqu’au 31 décembre 2021 aux obligations de la présente ordonnance dans la mesure de l’ancien droit.²

² Ils sont soumis à la présente ordonnance à partir du 1^er janvier 2022 pour autant que l’accord n’ait pas été résilié avant cette date.

¹ [RO 2011 6093, 2015 4873 ch. III 2, 2016 1783 3445, 2018 1093 annexe 3 ch. II 1, 2020 2107 annexe ch. 1. RO 2020 5871 art. 35 al. 1]
² Nouvelle teneur selon l’annexe ch. 1 de l’O du 25 nov. 2020 sur la transformation numérique et l’informatique, en vigueur depuis le 1^erjanv. 2021 (RO 2020 5871).

Art. 17 Disposition transitoire relative à l’art. 11, al. 1, let. e

¹ Si l’UPIC a édicté des directives en matière de sécurité informatique et approuvé des dérogations à ces directives avant l’entrée en vigueur de la présente ordonnance, ces directives et dérogations conservent leur validité.

² Le NCSC décide des éventuelles modifications des directives et des dérogations à ces directives.

Art. 18 Entrée en vigueur

La présente ordonnance entre en vigueur le 1^er juillet 2020.

Annexe

(art. 15)

Modification d’autres actes

Les ordonnances suivantes sont modifiées comme suit:

...¹

¹ Les mod. peuvent être consultées au RO 2020 2107.

RO 2020 2107

¹ RS 120² RS 172.010

120.73 Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung

(Cyberrisikenverordnung, CyRV)

vom 27. Mai 2020 (Stand am 1. Januar 2021)

Der Schweizerische Bundesrat,

gestützt auf Artikel 30 des Bundesgesetzes vom 21. März 1997¹ über Massnahmen zur Wahrung der inneren Sicherheit und auf die Artikel 43 Absätze 2 und 3, 47 Absatz 2 und 55 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997²,

verordnet:

1. Kapitel: Allgemeine Bestimmungen

Art. 1 Gegenstand

Diese Verordnung regelt die Organisation der Bundesverwaltung zum Schutz vor Cyberrisiken sowie die Aufgaben und Zuständigkeiten der verschiedenen Stellen im Bereich Cybersicherheit.

Art. 2 Geltungsbereich

Diese Verordnung gilt für:

a.: die Verwaltungseinheiten der zentralen Bundesverwaltung nach Artikel 7 der Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 1998¹;
b.²: die Stellen, die sich gemäss Artikel 2 Absatz 2 der Verordnung vom 25. November 2020³ über die digitale Transformation und die Informatik (VDTI) dazu verpflichten, sie einzuhalten.

¹ SR 172.010.1
² Fassung gemäss Anhang Ziff. 1 der V vom 25. Nov. 2020 über die digitale Transformation und die Informatik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).
³ SR 172.010.58

Art. 3 Begriffe

In dieser Verordnung bedeuten:

a.: Cybersicherheit: anzustrebender Zustand, bei dem die Datenbearbeitung, insbesondere der Datenaustausch zwischen Personen und Organisationen, über Informations- und Kommunikationsinfrastrukturen wie beabsichtigt funktioniert;
b.: Cybervorfall: unbeabsichtigtes oder von Unbefugten beabsichtigtes Ereignis, das dazu führt, dass die Vertraulichkeit, Integrität, Verfügbarkeit oder Nachvollziehbarkeit von Daten beeinträchtigt ist oder es zu Funktionsstörungen kommen kann;
c.: Cyberrisiko: Gefahr eines Cybervorfalls, deren Grösse durch das Produkt der Eintrittswahrscheinlichkeit und des Schadensausmasses bestimmt ist;
d.: Resilienz: die Fähigkeit eines Systems, einer Organisation oder einer Gesellschaft, intern oder extern verursachten Störungen zu widerstehen und das ordnungsgemässe Funktionieren zu erhalten oder dieses möglichst rasch und vollständig wiederzuerlangen;
e.: Informatiksicherheit: der auf technische Systeme bezogene Aspekt der Cybersicherheit;
f.: Informatiksicherheitsvorgaben: Sicherheitsanforderungen an die Organisation, die Prozesse, die Dienstleistungen und die Technik;
g.: kritische Infrastrukturen: Prozesse, Systeme und Einrichtungen, die für das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung essenziell sind.

2. Kapitel: Grundsätze für den Schutz vor Cyberrisiken

Art. 4 Ziele

¹ Die Bundesverwaltung sorgt für eine angemessene Resilienz ihrer Organe und Systeme gegenüber Cyberrisiken.

² Sie arbeitet mit den Kantonen, den Gemeinden, der Wirtschaft, der Gesellschaft, der Wissenschaft und den internationalen Partnern zusammen, soweit dies dem Schutz der eigenen Sicherheitsinteressen dient, und fördert den Informationsaustausch.

Art. 5 Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken

Der Bundesrat legt in der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) den strategischen Rahmen für die Verbesserung der Prävention, Früherkennung, Reaktion und Resilienz zum Schutz vor Cyberrisiken fest.

Art. 6 Bereiche

Die Massnahmen zum Schutz vor Cyberrisiken sind in folgende drei Bereiche unterteilt:

a.: Bereich Cybersicherheit: Gesamtheit der Massnahmen, die der Prävention, der Bewältigung von Vorfällen und der Verbesserung der Resilienz gegenüber Cyberrisiken dienen und die internationale Zusammenarbeit zu diesem Zweck stärken;
b.: Bereich Cyberdefence: Gesamtheit der nachrichtendienstlichen und militärischen Massnahmen, die dem Schutz der für die Landesverteidigung kritischen Systeme, der Abwehr von Cyberangriffen, der Gewährleistung der Einsatzbereitschaft der Armee in allen Lagen und dem Aufbau von Kapazitäten und Fähigkeiten zur subsidiären Unterstützung ziviler Behörden dienen; dazu zählen auch aktive Massnahmen zur Erkennung von Bedrohungen, zur Identifikation von Angreifern und zur Störung und Unterbindung von Angriffen;
c.: Bereich Cyberstrafverfolgung: Gesamtheit aller Massnahmen der Polizei und der Staatsanwaltschaft von Bund und Kantonen zur Bekämpfung der Cyberkriminalität.

3. Kapitel: Organisation und Zuständigkeiten

1. Abschnitt: Departementsübergreifende Zusammenarbeit

Art. 7 Bundesrat

Der Bundesrat nimmt folgende Funktionen wahr:

a.: Er überwacht die Umsetzung der NCS anhand des strategischen Controllings und beschliesst bei Bedarf Massnahmen.
b.: Er legt im Rahmen seiner Zuständigkeiten fest, in welchen Bereichen Vorgaben zum Schutz vor Cyberrisiken nötig sind oder angepasst werden sollen.
c.: Er erlässt Weisungen über den Schutz der Bundesverwaltung vor Cyberrisiken.
d.: Er bewilligt Abweichungen von seinen Vorgaben.

Art. 8 Kerngruppe Cyber

¹ Die Kerngruppe Cyber (KGCy) setzt sich zusammen aus:

a.: der oder dem Delegierten für Cybersicherheit (Art. 6a der Organisationsverordnung vom 17. Febr. 2010¹ für das Eidgenössische Finanzdepartement) als Vertreterin oder Vertreter des Eidgenössischen Finanzdepartements (EFD);
b.: einer Vertreterin oder einem Vertreter des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS);
c.: einer Vertreterin oder einem Vertreter des Eidgenössischen Justiz- und Polizeidepartements (EJPD);
d.: einer Vertreterin oder einem Vertreter der Kantone, die oder der durch die zuständige Konferenz der Kantonsregierungen bestimmt wird.

² Die oder der Delegierte für Cybersicherheit hat den Vorsitz.

³ Die KGCy informiert Vertreterinnen und Vertreter weiterer Verwaltungseinheiten des Bundes, die im Bereich Cyberrisiken tätig sind, über die Traktanden und kann sie für einzelne Sitzungen beiziehen. Bei Belangen mit aussenpolitischem Bezug involviert sie das Eidgenössische Departement für auswärtige Angelegenheiten (EDA). Zudem kann sie Expertinnen oder Experten aus Wirtschaft und Hochschulen beiziehen.

⁴ Die KGCy hat namentlich folgende Aufgaben:

a.: Sie beurteilt aktuelle Cyberrisiken sowie deren mögliche Entwicklung anhand von Informationen aus den Bereichen Cybersicherheit, -defence und -strafverfolgung.
b.: Sie bewertet laufend die bestehenden Dispositive in den Bereichen Cybersicherheit, -defence und -strafverfolgung und prüft, ob diese der Bedrohungslage angepasst sind.
c.: Sie begleitet, wenn nötig unter Einbezug weiterer Stellen, die interdepartementale Vorfallbewältigung.
d.: Sie informiert die Kerngruppe Sicherheit des Bundes (KGSi) über aussen- und sicherheitspolitisch relevante Cybervorfälle und Entwicklungen.

⁵ Die drei in der KGCy vertretenen Departemente stellen Informationen für die gemeinsame Lagebeurteilung zur Verfügung.

⁶ Der Nachrichtendienst des Bundes ist für die Darstellung der gesamtheitlichen Cyberbedrohungslage zuhanden der KGCy zuständig.

¹ SR 172.215.1

Art. 9 Steuerungsausschuss Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken

¹ Der Bundesrat setzt einen Steuerungsausschuss Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (StA NCS) ein.

² Der StA NCS setzt sich zusammen aus der oder dem Delegierten für Cybersicherheit, durch die zuständige Konferenz der Kantonsregierungen bestimmte Vertretungen der Kantone, Vertretungen der Wirtschaft und der Hochschulen sowie Vertreterinnen und Vertretern der Verwaltungseinheiten, welche die federführende Verantwortung für die Umsetzung einer NCS-Massnahme gemäss dem NCS-Umsetzungsplan haben. Jedes Departement und die Bundeskanzlei stellen mindestens eine Vertreterin oder einen Vertreter im StA NCS.

³ Die oder der Delegierte für Cybersicherheit hat den Vorsitz.

⁴ Der StA NCS hat folgende Aufgaben:

a.: Er sorgt für die strategische Kohärenz bei der Umsetzung der NCS-Massnahmen und prüft deren Fortschritt laufend mittels strategischem Controlling.
b.: Er definiert bei verzögerter oder unvollständiger Umsetzung der NCS-Massnahmen Vorschläge für Sondermassnahmen.
c.: Er sorgt für die laufende Weiterentwicklung der NCS; hierzu verfolgt er im Austausch mit der KGCy die Entwicklung der Bedrohungslage und erarbeitet bei Bedarf Anpassungsvorschläge für die NCS.
d.: Er erstattet dem Bundesrat und der Öffentlichkeit jährlich Bericht über die Umsetzung der NCS.
e.: Er sorgt für ein koordiniertes Vorgehen aller beteiligten Stellen aus Bund, Kantonen, Wirtschaft und Hochschulen bei der Umsetzung der NCS-Massnahmen.
f.: Er stellt sicher, dass bei der Umsetzung der NCS-Massnahmen die Risikopolitik des Bundes, die Nationale Strategie zum Schutz kritischer Infrastrukturen sowie die Strategien des Bundesrates im Informatikbereich berücksichtigt werden.

Art. 10 Ausschuss Informatiksicherheit

¹ Der Ausschuss Informatiksicherheit (A-IS) setzt sich aus einer Vertreterin oder einem Vertreter des Nationalen Zentrums für Cybersicherheit (NCSC¹), den Informatiksicherheitsbeauftragten der Departemente und der Bundeskanzlei sowie der oder dem Informatiksicherheitsbeauftragten der Standarddienste der Informations- und Kommunikationstechnik (IKT) zusammen.

² Fallweise können weitere Personen beratend beigezogen werden.

³ Die Vertreterin oder der Vertreter des NCSC hat den Vorsitz.

⁴ Der A-IS fungiert als Konsultativorgan für das NCSC betreffend Informatiksicherheitsfragen in der Bundesverwaltung.

¹ National Cyber Security Centre

Art. 11 Delegierte oder Delegierter für Cybersicherheit

a.: Sie oder er leitet das NCSC.
b.: Sie oder er sorgt für eine optimale Abstimmung der überdepartementalen Arbeiten der Bereiche Cybersicherheit, -defence und -strafverfolgung.
c.: Sie oder er sorgt für die Visibilität der Aktivitäten des Bundes im Bereich Cyberrisiken, trägt zu optimalen Rahmenbedingungen für eine innovative Cybersicherheitswirtschaft bei, ist die massgebende Ansprechperson des Bundes zu Cyberrisiken und vertritt diesen in den massgeblichen Kommissionen und Arbeitsgruppen; sie oder er sorgt für eine optimale Abstimmung der Arbeiten der Kantone und des Bundes zum Schutz der Schweiz vor Cyberrisiken.
d.: Sie oder er vertritt das NCSC in den Krisenstäben des Bundes.
e.: Sie oder er erlässt Informatiksicherheitsvorgaben.
f.¹: Sie oder er entscheidet über Abweichungen von den von ihr oder ihm erlassenen Vorgaben; betreffen die Abweichungen auch Weisungen der Bundeskanzlei betreffend die digitale Transformation und die IKT-Lenkung, so hört sie oder er vorgängig die Bundeskanzlei an.

² Sie oder er informiert das EFD zuhanden des Bundesrates regelmässig über den Stand der Informatiksicherheit in den Departementen und der Bundeskanzlei.

³ Sie oder er kann sich an der Erarbeitung von Informatikvorgaben der Bundesverwaltung mit Bezug zur Cybersicherheit und an sicherheitsrelevanten Informatikvorhaben beteiligen. Namentlich kann sie oder er Informationen verlangen, dazu Stellung nehmen und Änderungen verlangen.

⁴ Sie oder er kann nach Anhörung der Eidgenössischen Finanzkontrolle Überprüfungen der Informatiksicherheit verlangen.

¹ Fassung gemäss Anhang Ziff. 1 der V vom 25. Nov. 2020 über die digitale Transformation und die Informatik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

2. Abschnitt: Organe des Bereichs Cybersicherheit

Art. 12 Nationales Zentrum für Cybersicherheit

¹ Das NCSC ist das Kompetenzzentrum des Bundes für Cyberrisiken und koordiniert die Arbeiten des Bundes im Bereich Cybersicherheit. Es hat folgende Aufgaben:

a.: Es betreibt die nationale Anlaufstelle für Cyberrisiken; diese nimmt Meldungen aus der Bundesverwaltung, der Wirtschaft, den Kantonen und der Bevölkerung entgegen, analysiert sie und kann Empfehlungen dazu abgeben.
b.: Es sorgt mit den zuständigen Kooperationspartnern in der Bundesverwaltung für die subsidiäre Unterstützung der Betreiber kritischer Infrastrukturen und fördert unter diesen den Informationsaustausch zu Cyberrisiken.
c.: Es betreibt das «Computer Emergency Response Team» (GovCERT); dieses ist die nationale Fachstelle für die technische Vorfallbewältigung, die Analyse technischer Fragestellungen, die Einschätzungen der Bedrohungslage aus technischer Sicht und die technische Unterstützung der nationalen Anlaufstelle.
d.: Es betreibt eine Fachstelle für die Informatiksicherheit des Bundes; diese erarbeitet Informatiksicherheitsvorgaben, berät die Verwaltungseinheiten bei deren Umsetzung und erhebt den Stand der Informatiksicherheit in den Departementen und der Bundeskanzlei.
e.: Es stellt die Informatiksicherheitsbeauftragten des Bundes (ISBB).
f.: Es koordiniert die Umsetzung der NCS, führt ein strategisches Controlling durch und bereitet die Sitzungen der KGCy und des StA NCS vor.
g.: Es verfügt über einen Expertenpool, aus dem Expertinnen und Experten zur Unterstützung der Fachämter bei der Umsetzung von NCS-Massnahmen sowie bei der Entwicklung, Umsetzung und Prüfung von Standards und Regulierungen in Bezug auf die Cybersicherheit zur Verfügung gestellt werden.
h.: Es trägt mit gezielten Informationen zur Sensibilisierung der Bundesverwaltung und der Öffentlichkeit in Bezug auf Cyberrisiken bei, informiert über die aktuelle Lage und gibt Anleitungen für präventive und reaktive Massnahmen heraus.
i.: Es betreibt eine resiliente Analyse- und Kommunikationsinfrastruktur, die unabhängig von der restlichen Bundesinformatik funktionieren muss.
j.: Es informiert die KGCy sowie bei aussen- und sicherheitspolitischer Bedeutung die KGSi über relevante Cybervorfälle.

² Es kann, sofern dies direkt oder indirekt dem Schutz der Bundesverwaltung vor Cyberrisiken dient, Daten zu Cybervorfällen und damit verbundenen Kommunikationsflüssen bearbeiten. Es kann sie staatlichen und privaten Sicherheitsteams bekanntgeben, sofern:

a.: der Datenlieferant einverstanden ist; und
b.: keine gesetzlichen Geheimhaltungspflichten verletzt werden.

³ Eine Bekanntgabe von Personendaten ins Ausland ist nur zulässig, sofern die diesbezüglichen Vorgaben der Bundesgesetzgebung über den Datenschutz eingehalten werden.

⁴ Besonders schützenswerte Personendaten dürfen nur bearbeitet werden, soweit für deren Bearbeitung mit Mitteln der Bundesinformatik die erforderliche gesetzliche Grundlage besteht.

⁵ Das NCSC übernimmt in der Bundesverwaltung nach Rücksprache mit den betroffenen Dienststellen die Federführung bei der Bewältigung eines Cybervorfalls, wenn dieser das ordnungsgemässe Funktionieren der Bundesverwaltung gefährdet. Dabei hat es folgende Aufgaben und Kompetenzen:

a.: Es kann die betroffenen Leistungserbringer und -bezüger verpflichten, ihm alle nötigen Informationen zur Verfügung zu stellen.
b.: Es kann Sofortmassnahmen anordnen.
c.: Es informiert die Leitung der betroffenen Verwaltungseinheiten über den Verlauf.

⁶ Wurde nach einem Cybervorfall die Gefährdung der Vertraulichkeit oder der Funktionsfähigkeit der Bundesverwaltung durch die getroffenen Massnahmen genügend reduziert und sind die nötigen Folgearbeiten sowie deren Finanzierung definiert, so übergibt das NCSC die Verantwortung für die Weiterbearbeitung wieder an die betroffenen Stellen.

Art. 13 Departemente und Bundeskanzlei

¹ Die Departemente und die Bundeskanzlei berichten dem NCSC zum Jahresende über den Stand der Informatiksicherheit.

² Die internen Leistungserbringer nach Artikel 9 VDTI¹ erstatten dem NCSC regelmässig Bericht über entdeckte Schwachstellen und Cybervorfälle sowie über geplante und getroffene Massnahmen zu deren Behebung.²

³ Die Departemente und die Bundeskanzlei bestimmen je eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbeauftragten (ISBD).

¹ SR 172.010.58
² Fassung gemäss Anhang Ziff. 1 der V vom 25. Nov. 2020 über die digitale Transformation und die Informatik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

Art. 14 Verwaltungseinheiten und ihre Leistungserbringer

¹ Die Verwaltungseinheiten bestimmen je eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbeauftragten (ISBO). Der Bereich digitale Transformation und IKT-Lenkung der Bundeskanzlei bestimmt zusätzlich eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbeauftragten für die IKT-Standarddienste.¹

² Die Verwaltungseinheiten sind für den Schutz ihrer Informatiksysteme, Anwendungen und Daten (Schutzobjekte) verantwortlich. Sie nehmen folgende Funktionen wahr:

a.: Sie prüfen ihre Schutzobjekte regelmässig und ergreifen die notwendigen Sicherheitsmassnahmen; sie stellen namentlich sicher, dass diese für die einzelnen Schutzobjekte in aktueller Form dokumentiert sind.
b.: Sie sind für die Einhaltung der Informatiksicherheitsvorgaben und der Beschlüsse des Bundesrates, des NCSC und der Departemente beziehungsweise der Bundeskanzlei in ihrem Zuständigkeitsbereich verantwortlich.
c.: Sie sind unter Vorbehalt von Artikel 12 Absatz 5 verantwortlich für die Bewältigung von Cybervorfällen, die ihre Schutzobjekte betreffen.
d.: Sie stellen sicher, dass beim Bezug von Leistungen bei einem externen Leistungserbringer die Informatiksicherheitsvorgaben Teil des Vertragsverhältnisses mit diesem sind.
e.: Sie überprüfen die Einhaltung der Informatiksicherheitsvorgaben durch externe Leistungserbringer in geeigneter Weise.

³ Die Leistungserbringer stellen sicher, dass sie über die nötigen Kapazitäten zur Bewältigung von Cybervorfällen bei sich und ihren Leistungsbezügern verfügen.

⁴ Die Leistungserbringer melden den Leistungsbezügern entdeckte Schwachstellen und Sicherheitsvorfälle unverzüglich.

⁵ Die Leistungsbezüger definieren in Zusammenarbeit mit den Leistungserbringern einen Prozess für die Bewältigung von Cybervorfällen. Darin werden namentlich die Entscheidkompetenzen für Sofortmassnahmen geregelt.

⁶ Kann ein Cybervorfall nicht im Rahmen des definierten Prozesses bewältigt werden, so informieren die Betroffenen das NCSC, um das weitere Vorgehen zu bestimmen.

⁷ Die Verwaltungseinheiten konsultieren das NCSC bei sicherheitsrelevanten Informatikvorgaben sowie -vorhaben.

⁸ Die Verwaltungseinheiten sind für die Entwicklung, Umsetzung und Prüfung von Standards und Regulierungen in Bezug auf die Cybersicherheit in ihren Sektoren verantwortlich. Das NCSC stellt ihnen im Rahmen der Möglichkeiten Expertinnen und Experten aus dem Pool nach Artikel 12 Absatz 1 Buchstabe g zur Verfügung.

¹ Fassung gemäss Anhang Ziff. 1 der V vom 25. Nov. 2020 über die digitale Transformation und die Informatik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

4. Kapitel: Schlussbestimmungen

Art. 15 Änderung anderer Erlasse

Die Änderung anderer Erlasse ist im Anhang geregelt.

Art. 16 Übergangsbestimmung zu Artikel 2 Buchstabe b

¹ Behörden und Stellen, die sich vor Inkrafttreten dieser Verordnung durch Vereinbarung mit dem Informatiksteuerungsorgan des Bundes (ISB) verpflichtet haben, die Bestimmungen der Bundesinformatikverordnung vom 9. Dezember 2011¹ (BinfV) einzuhalten, unterstehen bis zum 31. Dezember 2021 den Verpflichtungen gemäss der vorliegenden Verordnung im Umfang des bisherigen Rechts.²

² Sie unterstehen ab dem 1. Januar 2022 dieser Verordnung, sofern die Vereinbarung nicht spätestens per 31. Dezember 2021 aufgelöst wurde.

¹ AS 2011 6093, 2015 4873, 2016 1783 3445, 2018 1093, 2020 2107
² Fassung gemäss Anhang Ziff. 1 der V vom 25. Nov. 2020 über die digitale Transformation und die Informatik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

Art. 17 Übergangsbestimmung zu Artikel 11 Absatz 1 Buchstabe e

¹ Vor dem Inkrafttreten dieser Verordnung durch das ISB erlassene IKT-Sicherheitsvorgaben und bewilligte Ausnahmen gelten weiter.

² Über Änderungen an Vorgaben und bewilligten Ausnahmen entscheidet das NCSC.

Art. 18 Inkrafttreten

Diese Verordnung tritt am 1. Juli 2020 in Kraft.

Anhang

(Art. 15)

Änderung anderer Erlasse

Die nachstehenden Verordnungen werden wie folgt geändert:

...¹

¹ Die Änderungen können unter AS 2020 2107 konsultiert werden.

AS 2020 2107

¹ SR 120² SR 172.010

120.73 Ordinanza sulla protezione contro i ciber-rischi nell’Amministrazione federale

(Ordinanza sui ciber-rischi, OCiber)

del 27 maggio 2020 (Stato 1° gennaio 2021)

Il Consiglio federale svizzero,

visto l’articolo 30 della legge federale del 21 marzo 1997¹ sulle misure per la salvaguardia della sicurezza interna; visti gli articoli 43 capoversi 2 e 3, 47 capoverso 2 e 55 della legge del 21 marzo 1997² sull’organizzazione del Governo e dell’Amministrazione,

ordina:

Capitolo 1: Disposizioni generali

Art. 1 Oggetto

La presente ordinanza disciplina l’organizzazione dell’Amministrazione federale volta alla protezione contro i ciber-rischi, nonché i compiti e le competenze dei diversi servizi nel settore della cibersicurezza.

Art. 2 Campo d’applicazione

La presente ordinanza si applica:

a.: alle unità amministrative dell’Amministrazione federale centrale di cui all’articolo 7 dell’ordinanza del 25 novembre 1998¹ sull’organizzazione del Governo e dell’Amministrazione;
b.²: alle autorità, organizzazioni e persone di cui all’articolo 2 capoverso 2 dell’ordinanza del 25 novembre 2020³ sulla trasformazione digitale e l’informatica (OTDI) che s’impegnano a rispettarla.

¹ RS 172.010.1
² Nuovo testo giusta l’all. n. 1 dell’O del 25 nov. 2020 sulla trasformazione digitale e l’informatica, in vigore dal 1° gen. 2021 (RU 2020 5871).
³ RS 172.010.58

Art. 3 Definizioni

Nella presente ordinanza s’intende per:

a.: cibersicurezza: lo stato auspicabile in cui il trattamento dei dati e in particolare lo scambio di dati tra persone e organizzazioni mediante infrastrutture di informazione e comunicazione funziona come previsto;
b.: ciberincidente: un evento non intenzionale o provocato intenzionalmente da persone non autorizzate, che compromette la confidenzialità, l’integrità, l’accessibilità o la tracciabilità di dati o che può causare disfunzioni;
c.: ciber-rischio: il pericolo di un ciberincidente, la cui entità corrisponde al prodotto della probabilità che si realizzi e della portata del danno;
d.: resilienza: la capacità di un sistema, di un’organizzazione o di una società di resistere a perturbazioni di origine interna o esterna e di mantenere il regolare funzionamento o di ripristinarlo il più rapidamente e completamente possibile;
e.: sicurezza informatica: l’aspetto della cibersicurezza che riguarda i sistemi tecnici;
f.: direttive in materia di sicurezza informatica: i requisiti di sicurezza che riguardano l’organizzazione, i processi, le prestazioni di servizi e la tecnica;
g.: infrastrutture critiche: i processi, i sistemi e le installazioni essenziali per il funzionamento dell’economia o il benessere della popolazione.

Capitolo 2: Principi per la protezione contro i ciber-rischi

Art. 4 Obiettivi

¹ L’Amministrazione federale provvede affinché i suoi organi e i suoi sistemi presentino un’adeguata resilienza ai ciber-rischi.

² Essa collabora con i Cantoni, i Comuni, il settore economico, la società, il mondo scientifico e i partner internazionali, nella misura in cui serva a proteggere i suoi interessi in materia di sicurezza, e promuove lo scambio di informazioni.

Art. 5 Strategia nazionale per la protezione della Svizzera contro i ciber-rischi

Nell’ambito della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC), il Consiglio federale definisce il quadro strategico per il miglioramento della prevenzione, dell’individuazione precoce, della reazione e della resilienza.

Art. 6 Settori

Le misure di protezione contro i ciber-rischi sono suddivise nei tre settori seguenti:

a.: settore della cibersicurezza: comprende tutte le misure volte a prevenire e gestire gli incidenti e a migliorare la resilienza ai ciber-rischi, intensificando a tale scopo la collaborazione internazionale;
b.: settore della ciberdifesa: comprende tutte le misure militari e del Servizio delle attività informative che servono a proteggere i sistemi critici per la difesa nazionale, a respingere i ciberattacchi, a garantire l’efficienza operativa dell’Esercito in ogni situazione e a creare le capacità e le competenze per fornire un supporto sussidiario alle autorità civili; vi rientrano anche le misure attive volte a individuare le minacce, identificare gli aggressori nonché ostacolare e bloccare gli attacchi;
c.: settore del perseguimento penale della cibercriminalità: comprende tutte le misure adottate dalla polizia e dai ministeri pubblici di Confederazione e Cantoni nella lotta contro la cibercriminalità.

Capitolo 3: Organizzazione e competenze

Sezione 1: Collaborazione interdipartimentale

Art. 7 Consiglio federale

Il Consiglio federale svolge le seguenti funzioni:

a.: vigilare sull’attuazione della SNPC mediante il controlling strategico e, all’occorrenza, ordinare provvedimenti;
b.: definire, nell’ambito delle sue competenze, in quali settori è necessario introdurre o adeguare direttive in materia di protezione contro i ciber-rischi;
c.: emanare istruzioni sulla protezione dell’Amministrazione federale contro i ciber-rischi;
d.: autorizzare deroghe alle sue direttive.

Art. 8 Comitato ristretto Ciber

¹ Il Comitato ristretto Ciber è composto:

a.: del delegato alla cibersicurezza (art. 6a dell’ordinanza del 17 febbraio 2010¹ sull’organizzazione del Dipartimento federale delle finanze) quale rappresentante del Dipartimento federale delle finanze (DFF);
b.: di un rappresentante del Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS);
c.: di un rappresentante del Dipartimento federale di giustizia e polizia (DFGP);
d.: di un rappresentante dei Cantoni designato dalla conferenza dei Governi cantonali competente.

² Il Comitato ristretto Ciber è presieduto dal delegato alla cibersicurezza.

³ Il Comitato ristretto Ciber informa i rappresentanti delle altre unità amministrative della Confederazione attive nel settore dei ciber-rischi sui punti all’ordine del giorno e può invitarli a singole sedute a scopo consultivo. Per le questioni di politica estera, il Comitato ristretto Ciber coinvolge il Dipartimento federale degli affari esteri (DFAE). Può inoltre ricorrere a esperti attivi nel settore economico e in quello delle scuole universitarie.

⁴ Il Comitato ristretto Ciber ha segnatamente i seguenti compiti:

a.: valutare gli attuali ciber-rischi nonché il loro possibile sviluppo in base a informazioni provenienti dai settori della cibersicurezza, della ciberdifesa e del perseguimento penale della cibercriminalità;
b.: valutare costantemente i dispositivi esistenti nei settori della cibersicurezza, della ciberdifesa e del perseguimento penale della cibercriminalità ed esaminare la loro adeguatezza alle minacce;
c.: coadiuvare, se necessario con il coinvolgimento di altri servizi, la gestione interdipartimentale degli incidenti;
d.: informare il Comitato ristretto Sicurezza della Confederazione sui ciberincidenti e sugli sviluppi rilevanti per la politica estera e la politica di sicurezza.

⁵ I tre dipartimenti rappresentati nel Comitato ristretto Ciber mettono a disposizione le informazioni necessarie per la valutazione congiunta della situazione.

⁶ Il Servizio delle attività informative della Confederazione illustra la situazione generale delle ciberminacce all’attenzione del Comitato ristretto Ciber.

¹ RS 172.215.1

Art. 9 Comitato direttivo della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi

¹ Il Consiglio federale istituisce un Comitato direttivo della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (CD SNPC).

² Il CD SNPC si compone del delegato alla cibersicurezza, di rappresentanti dei Cantoni designati dalla conferenza dei Governi cantonali competente, di rappresentanti del settore economico e delle scuole universitarie, nonché di rappresentanti delle unità amministrative a cui spetta la responsabilità principale nell’attuazione di una misura conformemente al piano di attuazione della SNPC. Ogni dipartimento e la Cancelleria federale dispongono di almeno un rappresentante nel CD SNPC.

³ Il CD SNPC è presieduto dal delegato alla cibersicurezza.

⁴ Il CD SNPC ha i seguenti compiti:

a.: assicurare la coerenza strategica nell’attuazione delle misure definite nella SNPC ed esaminarne costantemente l’avanzamento mediante un controlling strategico;
b.: proporre misure speciali in caso di attuazione tardiva o incompleta delle misure definite nella SNPC;
c.: assicurare lo sviluppo continuo della SNPC; a tal fine, in collaborazione con il Comitato ristretto Ciber, seguire l’evoluzione delle minacce e, se necessario, elaborare proposte per adeguare la SNPC;
d.: presentare ogni anno al Consiglio federale e al pubblico un rapporto sull’attuazione della SNPC;
e.: assicurare che i servizi coinvolti della Confederazione, dei Cantoni, del settore economico e delle scuole universitarie adottino una procedura coordinata per l’attuazione delle misure definite nella SNPC;
f.: garantire che, nell’attuazione delle misure definite nella SNPC, siano considerate la politica della Confederazione in materia di gestione dei rischi, la Strategia nazionale per la protezione delle infrastrutture critiche e le strategie del Consiglio federale nel settore informatico.

Art. 10 Comitato per la sicurezza informatica

¹ Il comitato per la sicurezza informatica (C-SI) si compone di un rappresentante del Centro nazionale per la cibersicurezza (NCSC¹), degli incaricati della sicurezza informatica dei dipartimenti e della Cancelleria federale nonché dell’incaricato della sicurezza informatica dei servizi standard delle tecnologie dell’informazione e della comunicazione (TIC).

² In casi specifici possono essere coinvolte altre persone con funzione consultiva.

³ Il C-SI è presieduto dal rappresentante del NCSC.

⁴ Il C-SI è l’organo consultivo del NCSC per tutte le questioni inerenti alla sicurezza informatica nell’Amministrazione federale.

¹ National Cyber Security Centre

Art. 11 Delegato alla cibersicurezza

¹ Il delegato alla cibersicurezza ha i seguenti compiti:

a.: dirigere il NCSC;
b.: assicurare un coordinamento ottimale dei lavori interdipartimentali nei settori della cibersicurezza, della ciberdifesa e del perseguimento penale della cibercriminalità;
c.: assicurare la visibilità delle attività della Confederazione nel settore dei ciber-rischi, contribuire alla creazione di condizioni quadro ottimali per un’economia innovativa della cibersicurezza, fungere da principale persona di riferimento della Confederazione per le questioni inerenti ai ciber-rischi e rappresentare la Confederazione nelle commissioni e nei gruppi di lavoro rilevanti; assicurare un coordinamento ottimale dei lavori dei Cantoni e della Confederazione volto a proteggere la Svizzera dai ciber-rischi;
d.: rappresentare il NCSC negli stati maggiori di crisi della Confederazione;
e.: emanare direttive in materia di sicurezza informatica;
f.¹: decidere sulle deroghe alle direttive che ha emanato; se queste deroghe riguardano anche le direttive della Cancelleria federale concernenti la trasformazione digitale e la governance delle TIC, il delegato alla cibersicurezza consulta previamente quest’ultima.

² Il delegato alla cibersicurezza informa regolarmente il DFF, all’attenzione del Consiglio federale, sullo stato della sicurezza informatica nei dipartimenti e nella Cancelleria federale.

³ Egli può partecipare all’elaborazione di direttive informatiche dell’Amministrazione federale che riguardano la cibersicurezza e a progetti informatici rilevanti dal profilo della sicurezza. Segnatamente può richiedere informazioni, pronunciarsi in merito ed esigere modifiche.

⁴ Egli può esigere verifiche della sicurezza informatica dopo aver sentito il Controllo federale delle finanze.

¹ Nuovo testo giusta l’all. n. 1 dell’O del 25 nov. 2020 sulla trasformazione digitale e l’informatica, in vigore dal 1° gen. 2021 (RU 2020 5871).

Sezione 2: Organi del settore della cibersicurezza

Art. 12 Centro nazionale per la cibersicurezza

¹ Il NCSC è il centro di competenza della Confederazione in materia di ciber-rischi che coordina i lavori della Confederazione nel settore della cibersicurezza. Esso ha i seguenti compiti:

a.: gestire il servizio nazionale di contatto per le questioni legate ai ciber-rischi; questo servizio riceve e analizza le segnalazioni dell’Amministrazione federale, del settore economico, dei Cantoni e della popolazione e, se necessario, formula raccomandazioni al riguardo;
b.: fornire, insieme ai partner competenti dell’Amministrazione federale, supporto sussidiario ai gestori di infrastrutture critiche e promuovere tra questi lo scambio di informazioni sui ciber-rischi;
c.: gestire il «Computer Emergency Response Team» (GovCERT); esso costituisce il servizio specializzato nazionale per la gestione tecnica degli incidenti, l’analisi di problematiche tecniche, la valutazione delle minacce dal profilo tecnico e il supporto tecnico del servizio nazionale di contatto;
d.: gestire il servizio specializzato per la sicurezza informatica della Confederazione; questo servizio elabora direttive in materia di sicurezza informatica, offre consulenza alle unità amministrative per la rispettiva attuazione e rileva lo stato della sicurezza informatica presso i dipartimenti e la Cancelleria federale;
e.: designare gli incaricati della sicurezza informatica della Confederazione (ISIC);
f.: coordinare l’attuazione della SNPC, eseguire il controlling strategico e preparare le sedute del Comitato ristretto Ciber e del CD SNPC;
g.: disporre di un pool di esperti incaricati di fornire supporto agli uffici specializzati nell’attuazione delle misure definite nella SNPC nonché nello sviluppo, nell’attuazione e nell’esame di standard e norme in materia di cibersicurezza;
h.: contribuire con informazioni mirate a sensibilizzare l’Amministrazione federale e il pubblico sui ciber-rischi, informare sulla situazione attuale ed emanare istruzioni per l’adozione di misure preventive e reattive;
i.: gestire un’infrastruttura di analisi e comunicazione resiliente in grado di funzionare indipendentemente dal resto dell’informatica della Confederazione;
j.: informare il Comitato ristretto Ciber sui ciberincidenti rilevanti e, se questi ultimi sono d’interesse per la politica estera e la politica di sicurezza, anche il Comitato ristretto Sicurezza della Confederazione.

² Il NCSC può trattare i dati sui ciberincidenti e sui relativi flussi di comunicazione, qualora ciò serva a proteggere direttamente o indirettamente l’Amministrazione federale dai ciber-rischi. Può comunicare i dati a gruppi statali o privati incaricati della sicurezza, sempre che:

a.: il fornitore di dati abbia dato il suo consenso; e
b.: non sia violato alcuno obbligo legale di mantenere il segreto.

³ La comunicazione di dati personali all’estero è ammessa soltanto se sono rispettate le pertinenti prescrizioni della legislazione federale sulla protezione dei dati.

⁴ I dati personali degni di particolare protezione possono essere trattati solo se esiste la necessaria base legale che autorizza il loro trattamento mediante i mezzi informatici della Confederazione.

⁵ Nel caso di un ciberincidente che minaccia il corretto funzionamento dell’Amministrazione federale, dopo aver consultato i servizi interessati il NCSC assume in seno all’Amministrazione federale la responsabilità principale della sua gestione. A tal fine, gli sono assegnati i compiti e le competenze seguenti:

a.: obbligare, se necessario, i fornitori e i beneficiari di prestazioni interessati a fornirgli tutte le informazioni necessarie;
b.: ordinare, se necessario, misure urgenti;
c.: informare la direzione delle unità amministrative interessate sugli sviluppi della situazione.

⁶ Se, dopo un ciberincidente, le misure adottate hanno permesso di ridurre sufficientemente la minaccia per la confidenzialità o il funzionamento dell’Amministrazione federale e i necessari lavori successivi nonché il loro finanziamento sono stati definiti, il NCSC trasmette la responsabilità del seguito dei lavori ai servizi interessati.

Art. 13 Dipartimenti e Cancelleria federale

¹ Alla fine dell’anno i dipartimenti e la Cancelleria federale riferiscono al NCSC in merito allo stato della sicurezza informatica.

² I fornitori di prestazioni interni di cui all’articolo 9 OTDI¹ informano regolarmente il NCSC sulle vulnerabilità scoperte e sui ciberincidenti, nonché sulle misure previste e adottate per porvi rimedio.²

³ I dipartimenti e la Cancelleria federale designano ciascuno un incaricato della sicurezza informatica (ISID).

¹ RS 172.010.58
² Nuovo testo giusta l’all. n. 1 dell’O del 25 nov. 2020 sulla trasformazione digitale e l’informatica, in vigore dal 1° gen. 2021 (RU 2020 5871).

Art. 14 Unità amministrative e i loro fornitori di prestazioni

¹ Ogni unità amministrativa designa il proprio incaricato della sicurezza informatica (ISIU). Il settore Trasformazione digitale e governance delle TIC della Cancelleria federale nomina inoltre un incaricato della sicurezza informatica per i servizi standard TIC.¹

² Le unità amministrative sono responsabili della protezione dei loro sistemi informatici, delle loro applicazioni e dei loro dati (oggetti da proteggere). Hanno le seguenti funzioni:

a.: esaminare regolarmente gli oggetti da proteggere e adottare le necessarie misure di sicurezza; provvedere segnatamente affinché la documentazione di queste misure sia aggiornata per ogni oggetto da proteggere;
b.: garantire il rispetto delle direttive in materia di sicurezza informatica, nonché delle decisioni del Consiglio federale, del NCSC e dei dipartimenti o della Cancelleria federale nel loro settore di competenza;
c.: fatto salvo l’articolo 12 capoverso 5, gestire i ciberincidenti che riguardano i loro oggetti da proteggere;
d.: in caso di acquisizione di prestazioni presso un fornitore esterno, garantire che le direttive in materia di sicurezza informatica siano parte integrante del rapporto contrattuale con il fornitore;
e.: verificare in modo appropriato che le direttive in materia di sicurezza informatica siano rispettate dai fornitori esterni.

³ I fornitori di prestazioni garantiscono di disporre delle capacità necessarie per gestire i ciberincidenti che potrebbero verificarsi a essi stessi o ai loro beneficiari di prestazioni.

⁴ I fornitori di prestazioni comunicano senza indugio ai beneficiari di prestazioni le vulnerabilità scoperte e gli incidenti in relazione alla sicurezza.

⁵ I beneficiari di prestazioni definiscono in collaborazione con i fornitori di prestazioni un processo di gestione dei ciberincidenti. Questo processo disciplina segnatamente le competenze decisionali per l’adozione di misure urgenti.

⁶ Se un ciberincidente non può essere gestito nell’ambito del processo definito, gli interessati informano il NCSC al fine di determinare l’ulteriore modo di procedere.

⁷ Le unità amministrative consultano il NCSC in merito a direttive e progetti informatici rilevanti dal profilo della sicurezza.

⁸ Le unità amministrative sono responsabili dello sviluppo, dell’attuazione e dell’esame di standard e norme in materia di cibersicurezza nei loro settori. Per quanto possibile, il NCSC mette loro a disposizione esperti del pool di cui all’articolo 12 capoverso 1 lettera g.

¹ Nuovo testo giusta l’all. n. 1 dell’O del 25 nov. 2020 sulla trasformazione digitale e l’informatica, in vigore dal 1° gen. 2021 (RU 2020 5871).

Capitolo 4: Disposizioni finali

Art. 15 Modifica di altri atti normativi

La modifica di altri atti normativi è disciplinata nell’allegato.

Art. 16 Disposizione transitoria dell’articolo 2 lettera b

¹ Le autorità, le organizzazioni e le persone di diritto pubblico o privato che, prima dell’entrata in vigore della presente ordinanza, si sono impegnate mediante un accordo con l’Organo direzione informatica della Confederazione (ODIC) a rispettare le disposizioni dell’ordinanza del 9 dicembre 2011¹ sull’informatica nell’Amministrazione federale sottostanno sino al 31 dicembre 2021 agli obblighi della presente ordinanza nella misura del regime precedente.²

² Sottostanno alla presente ordinanza a partire dal 1° gennaio 2022, sempre che l’accordo non sia stato sciolto al più tardi con effetto al 31 dicembre 2021.

¹ RU 2011 6093, 2015 4873, 2016 1783 3445, 2018 1093, 2020 2107
² Nuovo testo giusta l’all. n. 1 dell’O del 25 nov. 2020 sulla trasformazione digitale e l’informatica, in vigore dal 1° gen. 2021 (RU 2020 5871).

Art. 17 Disposizione transitoria dell’articolo 11 capoverso 1 lettera e

¹ Le direttive sulla sicurezza TIC emanate dall’ODIC e le deroghe da esso autorizzate prima dell’entrata in vigore della presente ordinanza rimangono applicabili.

² Il NCSC decide in merito a eventuali modifiche delle direttive e delle deroghe autorizzate.

Art. 18 Entrata in vigore

La presente ordinanza entra in vigore il 1° luglio 2020.

Allegato

(art. 15)

Modifica di altri atti normativi

Le ordinanze qui appresso sono modificate come segue:

...¹

¹ Le mod. possono essere consultate alla RU 2020 2107.

RU 2020 2107

¹ RS 120² RS 172.010

120.73

English is not an official language of the Swiss Confederation. This translation is provided for information purposes only, has no legal force and may not be relied on in legal proceedings.

Ordinance on Protection against Cyber Risks in the Federal Administration

(Cyber Risks Ordinance, CyRV)

of 27 May 2020 ( Status as of 1 July 2020)

The Swiss Federal Council,

on the basis of Article 30 of the Federal Act of 21 March 1997¹ on Measures to Safeguard Internal Security and on Articles 43 paragraphs 2 and 3, 47 paragraph 2 and 55 of the Government and Administration Organisation Act of 21 March 1997²,

ordains:

Chapter 1 General Provisions

Art. 1 Subject matter

This Ordinance regulates the organisation of the Federal Administration for its protection against cyber risks as well as the tasks and responsibilities of the various offices in the cyber security domain.

Art. 2 Scope of application

This Ordinance applies to:

a.: the administrative units of the central Federal Administration in accordance with Article 7 the Government and Administration Ordinance of 25 November 1998¹;
b.: the authorities and offices that undertake in accordance with Article 2 paragraphs 2 and 3 of the Federal Administration Information Technology Ordinance of 9 December 2011² (FAITO) to comply therewith.

¹ SR 172.010.1
² SR 172.010.58

Art. 3 Definitions

In this Ordinance:

a.: cyber security means the desired state in which data processing via information and communication infrastructures, in particular the exchange of data between persons and organisations, works as intended;
b.: cyber incident means an unintended or intended but unauthorised event that leads to the confidentiality, integrity, availability or comprehensibility of data being adversely affected or that may lead to malfunctions;
c.: cyber risk means the risk of a cyber incident, the extent of which is measured by the product of the probability of occurrence and the extent of the damage potentially caused;
d.: resilience means the ability of a system, organisation or society to withstand internal or external disruptions and to maintain proper functionality or restore it as quickly and completely as possible;
e.: information technology security means the aspect of cyber security that relates to technical systems;
f.: IT security directives means the security standards that apply to the organisational measures, processes, services and technology;
g.: critical infrastructures means processes, systems and facilities that are essential for the proper functioning of the economy or the well-being of the population.

Chapter 2 Principles governing Protection against Cyber Risks

Art. 4 Goals

¹ The Federal Administration shall ensure that its organs and systems are suitably resilient to cyber risks.

² It shall work with the cantons, the communes, the private sector, society, academia and international partners provided this serves to protect its own security interests, and shall encourage the exchange of information.

Art. 5 National strategy to protect Switzerland against cyber risks

The Federal Council shall set out in a national strategy to protect Switzerland against cyber risks (NCS) the strategic framework for improving the prevention and early detection of and the reaction and resilience to cyber risks.

Art. 6 Domains

The measures to protect against cyber risks are divided into the following three domains:

a.: cyber security domain: all measures that serve to prevent and manage incidents and to improve resilience against cyber risks and that strengthen international cooperation for this purpose;
b.: cyber defence domain: all intelligence and military measures designed to protect critical systems, defend against attacks in cyberspace, ensure the operational readiness of the Armed Forces in all situations, and build capacities and capabilities to provide subsidiary support to civilian authorities; they include active measures to recognise threats, to identify aggressors and to disrupt and stop attacks;
c.: cyber prosecution domain: all measures taken by the police and federal and cantonal prosecutors to combat cybercrime.

Chapter 3 Organisation and Responsibilities

Section 1 Cross-Departmental Cooperation

Art. 7 Federal Council

The Federal Council shall carry out the following tasks:

a.: It monitors the implementation of the NCS on the basis of the strategic controlling and decides on measures as required.
b.: It shall within the scope of its responsibilities specify the areas in which directives on protection against cyber risks are required or must be revised.
c.: It shall issue directives on protecting the Federal Administration against cyber risks.
d.: It shall authorise derogations from its directives.

Art. 8 Cyber Core Group

¹ The Cyber Core Group (CyCG) shall comprise:

a.: the Federal Cyber Security Delegate (Art. 6a of the Federal Department of Finance Organisation Ordinance of 17 Feb. 2010¹) as the representative of the Federal Department of Finance (FDF);
b.: a representative of the Federal Department of Defence, Civil Protection and Sport (DDPS);
c.: a representative of the Federal Department of Justice and Police (FDJP);
d.: a representative of the cantons appointed by the Conference of Cantonal Governments.

² The Federal Cyber Security Delegate chairs the Group.

³ The CyCG shall inform representatives of other federal administrative units that are active in connection with cyber risks about its agenda and may invite them to attend individual meetings. Where matters have a foreign policy dimension, it may involve the Federal Department of Foreign Affairs (FDFA). In addition it may involve experts from the private sector and the universities.

⁴ The CyCG has the following tasks in particular:

a.: It assesses current cyber risks and their potential development on the basis of information from the domains of cyber security, cyber defence and cyber prosecution.
b.: It continuously evaluates the existing systems in the domains of cyber security, cyber defence and cyber prosecution and checks whether these are adapted to the threat situation.
c.: It provides support, if necessary with other offices, for interdepartmental incident management.
d.: It informs the Federal Security Core Group (SCG) about cyber incidents and developments that are relevant to foreign and security-policy.

⁵ The three departments represented in the CyCG shall make information available for the joint assessment of a situation.

⁶ The Federal Intelligence Service is responsible for presenting the overall cyber threat situation to the CyCG.

¹ SR 172.215.1

Art. 9 Steering Committee for the National Strategy for the Protection of Switzerland against Cyber Risks

¹ The Federal Council shall appoint a Steering Committee for the National Strategy for the Protection of Switzerland against Cyber Risks (NCS StC).

² The NCS StC shall comprise the Federal Cyber Security Delegate, representatives from the cantons appointed by the Conference of Cantonal Governments, representatives of business and the universities and representatives of the administrative units that are responsible for implementing any NCS measures in accordance with the NCS implementation plan. Each department and the Federal Chancellery shall appoint at least one representative to the NCS StC.

³ The Federal Cyber Security Delegate chairs the Steering Committee.

⁴ The NCS StC has the following tasks:

a.: It ensures the strategic coherence of the implementation of NCS measures and checks their progress continuously by a process of strategic controlling.
b.: It draws up proposals for special measures in the event of the delayed or incomplete implementation of NCS measures.
c.: It ensures the ongoing further development of the NCS; to do so it monitors the development of the threat situation in consultation with the CyCG and devises proposals for the adjustment of the NCS as required.
d.: It prepares a report each year on the implementation of the NCS for the Federal Council and the public.
e.: It ensures all the offices concerned from the Confederation, cantons, business and universities take a coordinated approach to implementing the NCS measures.
f.: It ensures that in implementing the NCS measures account is taken of the risk policy of the Confederation, the national strategy to protect critical infrastructures and the Federal Council strategies in relation to information technology.

Art. 10 IT Security Committee

¹ The IT Security Committee (ITSC) comprises a representative of the National Cyber Security Centre (NCSC), the departmental and the Federal Chancellery IT security officers and the IT security officers for standard information and communication technology services (ICT).

² Additional persons may be included in an advisory capacity on a case-by-case basis.

³ The NCSC representative chairs the committee.

⁴ The ITSC acts as a consultative body for the NCSC on IT security issues in the Federal Administration.

Art. 11 The Cyber Security Delegate

a.: He or she chairs the NCSC.
b.: He or she ensures the best possible coordination of cross-departmental work in the domains of cyber security, cyber defence and cyber prosecution.
c.: He or she ensures the visibility of the activities of the Confederation related to cyber risks, contributes to achieving the best possible conditions for an innovative cyber security economy, is the relevant federal contact person for cyber risks and represents the Confederation in the relevant committees and working groups; he or she ensures the best possible coordination of the work of the cantons and of the Confederation to protect Switzerland against cyber risks.
d.: He or she represents the NCSC in the federal crisis units.
e.: He or she shall issue IT security directives.
f.: He or she decides on derogations from the directives that he or she issues; if the derogations also affect ICT directives issued by the Federal IT Steering Unit (FITSU), he or she shall consult the FITSU beforehand.

² He or she shall regularly inform the FDF on behalf of the Federal Council about the status of information technology security in the departments and the Federal Chancellery.

³ He or she may participate in the preparation of Federal Administration IT directives that relate to cyber security and in security-relevant IT projects. In particular he or she may request information, comment thereon and request changes.

⁴ He or she may, after consulting the Swiss Federal Audit Office, request audits of information technology security.

Section 2 Units in the Cyber Security Domain

Art. 12 National Cyber Security Centre

¹ The NCSC is the centre of excellence of the Confederation for cyber risks and coordinates the work of the Confederation in the cyber security domain. It has the following tasks:

a.: It runs the National Contact Point for cyber risks; this receives reports from the Federal Administration, the private sector, the cantons and the public, analyses them and may issue recommendations thereon.
b.: It ensures with its cooperation partners in the Federal Administration that subsidiary support is given to operators of critical infrastructures and encourages these operators to exchange information on cyber risks.
c.: It runs the Computer Emergency Response Team (GovCERT); this is the national specialist service responsible for technical aspects of incident management, analysing technical questions, assessing the threat situation from a technical viewpoint and providing technical support to the National Contact Point.
d.: It runs a specialist service for the federal information technology security; this shall draw up IT security directives, advise the administrative units on their implementation and monitor the status of information technology security in the departments and the Federal Chancellery.
e.: It provides the federal IT security officers (FITSOs).
f.: It coordinates the implementation of the NCS, conducts strategic controls and prepares the meetings of the CyCG and of the NCS StC.
g.: It has a pool of experts from which experts are provided to support the individual offices in implementing NCS measures and in developing, implementing and checking standards and regulations in relation to cyber security.
h.: It contributes with specific information to raising awareness of cyber risks in the Federal Administration and among the general public, provides information on the current situation and gives instructions on preventive and reactive measures.
i.: It runs a resilient analysis and communications infrastructure that must function independently of the other federal IT systems.
j.: It informs the CyCG and, on matters of importance to foreign and security policy, the SCG about relevant cyber incidents.

² It may, provided this directly or indirectly serves to protect the Federal Administration against cyber risks, process data on cyber incidents and associated communication flows. It may disclose such data to government and private security teams, provided:

a.: the data provider agrees; and
b.: no statutory duties of confidentiality are infringed.

³ A disclosure of personal data abroad is only permitted if the related requirements of the federal legislation on data protection are complied with.

⁴ Sensitive personal data may only be processed if there is a statutory basis for processing such data with the means available within the federal IT systems.

⁵ After consulting with the offices concerned, the NCSC shall assume overall responsibility within the Federal Administration for managing a cyber incident if the incident poses a risk to the proper functioning of the Federal Administration. In doing so, it has the following tasks and powers:

a.: It may require the service providers and recipients concerned to provide it with all necessary information.
b.: It may order immediate measures.
c.: It shall update the management of the administrative units concerned on the current situation.

⁶ If, following a cyber incident, the risk to the confidentiality or the efficiency of the Federal Administration is sufficiently reduced by the measures taken and if the required follow-up work and its funding have been defined, the NCSC shall reassign responsibility for the further processing to the offices concerned.

Art. 13 Departments and Federal Chancellery

¹ The departments and the Federal Chancellery shall report to the NCSC at the end of the year on the status of information technology security.

² The internal service providers in accordance with Articles 23 and 24 FAITO¹ shall submit regular reports to the NCSC on weaknesses and cyber incidents that have been detected and on measures planned and taken for their rectification.

³ The departments and the Federal Chancellery shall each appoint an IT security officer (ITSOD).

¹ SR 172.010.58

Art. 14 Administrative units and their service providers

¹ The administrative units shall each appoint an IT security officer (ITSOO). The FITSU shall also appoint an IT security officer for the ICT standard services.

² The administrative units are responsible for protecting their computer systems, applications and data (protected systems). They shall carry out the following tasks:

a.: They shall check their protected systems regularly and take the required security measures; they shall in particular ensure that these measures are documented for the individual protected systems in the current manner.
b.: They are responsible for compliance with the IT security directives and the decisions of the Federal Council, the NCSC and the departments or the Federal Chancellery within the scope of their responsibilities.
c.: They are responsible, subject to Article 12 paragraph 5, for managing cyber incidents that affect their protected systems.
d.: When obtaining services from an external service provider, they shall ensure that the IT security directives form part of the contractual relationship with that provider.
e.: They shall verify that external service providers are in compliance with the IT security directives requirements in a suitable manner.

³ The service providers shall ensure that they have the capacities required to manage cyber incidents that affect their own systems and those of their service procurers.

⁴ The service providers shall report any weaknesses and security incidents immediately to the service recipients.

⁵ The service recipients shall work with the service providers to define a process for managing cyber incidents. The process shall in particular regulate the decision-making powers in relation to immediate measures.

⁶ If it is not possible to manage a cyber incident in accordance with the defined process, the parties concerned shall inform the NCSC so that it can decide on what further action to take.

⁷ The administrative units shall consult the NCSC in connection with security-relevant IT directives as well as projects.

⁸ The administrative units are responsible for developing, implementing and checking standards and regulations in relation to cyber security in their sectors. The NCSC shall wherever possible provide them with experts from the pool mentioned in Article 12 paragraph 1 letter g.

Chapter 4 Final Provisions

Art. 15 Amendment of other legislation

The amendment of other legislation is regulated in the Annex.

Art. 16 Transitional provision to Article 2 letter b

¹ Authorities and offices that have undertaken by agreement with the FITSU to comply with the provisions of the FAITO¹ before this Ordinance comes into force shall be subject until 31 December 2021 to the obligations in accordance with this Ordinance to the extent of their current arrangement.

² They shall be subject to this Ordinance from 1 January 2022, unless the agreement is terminated on or before 31 December 2021.

¹ SR 172.010.58

Art. 17 Transitional provision to Article 11 paragraph 1 letter e

¹ ICT security directives and permitted exceptions issued by the FITSU before this Ordinance comes into force shall continue to apply.

² The NCSC shall decide on amendments to the directives and authorised exceptions.

Art. 18 Commencement

This Ordinance comes into force on 1 July 2020.

Annex

(Art. 15)

Amendment of other legislation

The ordinances below are amended as follows:

...¹

¹ The amendments may be consulted under AS 2020 2107.

AS 2020 2107

¹ SR 120² SR 172.010

120.73

Verordnung vom 27. Mai 2020 über den Schutz vor Cyberrisiken in der Bundesverwaltung (Cyberrisikenverordnung, CyRV)

120.73

Ordonnance du 27 mai 2020 sur la protection contre les cyberrisques dans l’administration fédérale (Ordonnance sur les cyberrisques, OPCy)

120.73

Ordinanza del 27 maggio 2020 sulla protezione contro i ciber-rischi nell’Amministrazione federale (Ordinanza sui ciber-rischi, OCiber)

120.73

Ordinance of 27 May 2020 on Protection against Cyber Risks in the Federal Administration (Cyber Risks Ordinance, CyRV)

120.73

Ordonnance sur la protection contre les cyberrisques dans l’administration fédérale

(Ordonnance sur les cyberrisques, OPCy)

120.73

Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung

(Cyberrisikenverordnung, CyRV)

120.73

Ordinanza sulla protezione contro i ciber-rischi nell’Amministrazione federale

(Ordinanza sui ciber-rischi, OCiber)

120.73

Ordinance on Protection against Cyber Risks in the Federal Administration

(Cyber Risks Ordinance, CyRV)