«Haben wir die Hard- und Softwarekomponenten bei unseren kritischen Infrastrukturen im Griff?», fragte Marcel Dobler (fdp, SG) mit einem im Frühjahr 2019 eingereichten Postulat. Damit griff Dobler Sorgen auf, die bei grösseren IT-Beschaffungen immer wieder geäussert werden. Unter anderem geht es dabei namentlich um ICT-Systeme, die in diversen sensiblen Bereichen eingesetzt werden und die von ausländischen Herstellern produziert und bereitgestellt werden. Solche «digitale[n] Lieferobjekte», die in ihrer Komplexität zu Cyberrisiken führen können, stehen im Fokus seines Vorstosses. Der Bundesrat sollte folglich beauftragt werden, zu prüfen, ob und wie nationale und internationale Standards angewendet werden können, um die Risiken zu vermindern.
Der Bundesrat zeigte sich mit der Stossrichtung des Postulats einverstanden und beantragte dessen Annahme, jedoch seien die Forderungen in einen Bericht aufzunehmen, der bereits mit der Annahme zweier anderer Postulate (Po. 18.3376 und Po. 18.3233) in Auftrag gegeben worden war, erklärte er.
Der Nationalrat sollte sich in der Sommersession 2019 damit befassen, da jedoch auf jegliche Wortmeldungen verzichtet wurde, überwies der Rat das Postulat stillschweigend.

Dossier: Schutz kritischer Infrastrukturen
Dossier: Cyber Defence

En exécution des postulats Dobler (19.3135) et (19.3136), le Conseil fédéral a fourni son rapport intitulé «Sécurité des produits et gestion des risques de la chaîne d'approvisionnement dans les domaines de la cybersécurité et de la cyberdéfense». Le rapport détaille les standards existants et les engagements de la Confédération et des exploitant.e.s d'infrastructures critiques y découlant en la matière. Si le domaine de la sécurité des produits est plutôt normé et appliqué, les directives relatives à la gestion des risques de la chaîne d'approvisionnement dans le domaine de la cybersécurité sont moins étoffées. La Confédération dispose d'une base légale pour appliquer les standards de sécurité des produits TIC et la gestion des risques de la chaîne d'approvisionnement. Les règles liées au respect des standards de sécurité des TIC pour les infrastructures critiques sont par contre «rares». Pour les standards de sécurité des produits, le rapport appelle à se concentrer sur la mise en œuvre globale et continue des directives. S'agissant des directives en matière de gestion des risques de la chaîne d'approvisionnement dans le domaine de la cybersécurité, les standards se révèlent être des recommandations plutôt que des normes contraignantes. Afin de remédier au manque de directives contraignantes pour les infrastructures critiques, le rapport expose plusieurs solutions: l'élaboration de directives juridiquement contraignantes, les références aux standards dans le domaine de la sécurité des produits ou des directives adressées aux exploitant.e.s d'infrastructures critiques pour une gestion sûre des produits TIC. Le rapport recommande également d'introduire des directives liées à des mesures régulatrices pour la gestion des risques de la chaîne d'approvisionnement.

Dossier: Schutz kritischer Infrastrukturen
Dossier: Cyber Defence

Après la publication du rapport traitant des deux motions 19.3135 et 19.3136 nommé «Sécurité des produits et gestion des risques de la chaîne d'approvisionnement dans les domaines de la cybersécurité et de la cyberdéfense», le Conseil fédéral a décrété que les objets devaient être classés. Ceci a été entrepris et finalisé le 7 juin 2022 dans le cadre de l'objet 22.006.

Dossier: Schutz kritischer Infrastrukturen
Dossier: Cyber Defence