Cybersécurité
Avec l’avancée de la numérisation, les réseaux électriques sont de plus en plus contrôlés et surveillés par des technologies de l’information et de la communication intelligentes. Cela accroît le risque que la disponibilité, l’intégrité ou la confidentialité des données soient compromises. Dans les cas extrêmes, un cyberincident peut entraîner une panne de courant à grande échelle avec de graves conséquences. La cybersécurité est donc devenue un aspect central d’un approvisionnement électrique sûr.
Les gestionnaires de réseau sont responsables de la sûreté, de la performance et de l’efficacité du réseau (art. 8 LApEl) et doivent également se protéger de manière appropriée contre les cybermenaces (art. 8a LApEl et art. 5a de l’ordonnance sur l’approvisionnement en électricité ; OApEl ; RS 734.71). L’art. 8a LApEl et l’art. 5a OApEl s’adressent également à certains producteurs, agents de stockage et prestataires de services. Le fonctionnement sûr du réseau électrique suisse ne doit pas être menacé, même en cas de cyberincident.
Pour satisfaire aux prescriptions légales, l’ElCom attend donc des entreprises concernées qu’elles appliquent les documents de la branche « ICT Continuity », « Manuel protection de base pour les technologies opérationnelles de l’approvisionnement en électricité », « Directives pour la sécurité des données des systèmes de mesure intelligents » « Guide pour accroître la résilience des TIC dans le secteur de l’électricité » et de l’Association des entreprises électriques suisses. Cette mise en œuvre doit être efficace et tenir compte des risques.
En matière de surveillance, l’ElCom applique une approche basée sur les risques. L’objectif est de renforcer la résilience face aux cybermenaces. Les entreprises sont ainsi surveillées à différents niveaux, en fonction de leur pertinence et de leur situation de risque pour l’exploitation sûre et stable du réseau électrique suisse. L’ElCom peut ainsi évaluer si les mesures prises sont adaptées à la situation de risque de l’entreprise et si les prescriptions légales sont respectées. Si nécessaire, l’ElCom peut émettre des recommandations et/ou ordonner des mesures.