Notes des comités parlementaires : Diapositives d’exposé
Projet de loi C-26 : Loi concernant la cybersécurité
Sécuriser les infrastructures critiques du Canada contre les cybermenaces croissantes
- Les infrastructures critiques (IC) du Canada jouent un rôle essentiel dans la fourniture des services essentiels et des nécessités de la vie quotidienne, tels que l'électricité, le transport, les services bancaires et l'internet
- L'IC du Canada est de plus en plus menacée par les cybermenaces et constitue une cible privilégiée pour les cybercriminels et les acteurs parrainés par l'État
- Les perturbations de l'infrastructure de communication pourraient entraîner la perte de services vitaux, des répercussions économiques pour les petites et moyennes entreprises, des préjudices pour le public, voire des pertes de vies humaines
- Comme nos alliés, nous devons agir maintenant pour protéger nos infrastructures essentielles, qui sont à la base de la sécurité économique du Canada.
Opportunités pour l'avancement de la cybersécurité au Canada
- Les ministres responsables de certains secteurs d'infrastructures essentielles, comme l'énergie, la finance, et les transports, ont déjà un mandat relatif à la sécurité. Le secteur des télécommunications bénéficierait aussi d'un mandat clair à cet égard
- Lors des consultations publiques de 2016, qui ont alimenté la Stratégie nationale de cybersécurité, l'industrie a souligné le besoin de réglementation en matière de cybersécurité
- Le gouvernement du Canada n'a pas de mécanisme juridique clair et explicite qui permet d'imposer que des mesures soient prises pour adresser des menaces ou vulnérabilités cybernétiques
- La déclaration obligatoire est l'occasion d'améliorer l'échange d'informations sur les cybermenaces entre le secteur privé et le gouvernement du Canada, dans l'intérêt de l'industrie et du gouvernement.
Contexte – ce que nous avons fait
- 2013 : Création du programme d'examen de la sécurité, par le Centre canadien pour la cybersécurité (CST)
- 2016 : Consultations relatives à la cybersécurité menées auprès du publique
- 2018 : Publication de la Stratégie nationale de cybersécurité. Le Centre canadien de cybersécurité du CST a été créé dans le cadre d'une initiative clé du NCSS.
- 2019 : Allocation de 144,9M de dollars dans le Budget 2019 pour l'élaboration d'un cadre visant les cybersystèmes essentiels
- 2021 : Achèvement de l'examen interministériel de la sécurité des systèmes de télécommunication 5G, lequel a recommandé un nouveau cadre pour sécuriser le système canadien de télécommunications
- Un des piliers du nouveau cadre est l'évolution du programme d'examen de la sécurité avec engagement continu auprès des fournisseurs de services téléphoniques canadiens ainsi que des fournisseurs d'équipement pour aider à assurer la sécurité des réseaux de télécommunications canadiens, y compris la 5G.
Projet de loi C-26: Loi concernant la cybersécurité, 2022
- À la suite de ce travail pluriannuel, pour adresser les préoccupations identifiées et pour améliorer l'approche du Canada en matière de cybersécurité, y compris dans la technologie 5G, nous introduisons la Loi concernant la cybersécurité afin de promouvoir la cybersécurité dans quatre secteurs d'infrastructures critiques réglementés par le gouvernement fédéral
- Le projet de loi comprend deux parties distinctes :
- La Partie 1 introduit des modifications à la Loi sur les télécommunications pour y ajouter la sécurité comme objectif de politique, et donner au gouvernement la capacité de prendre des mesures, au besoin, pour sécuriser le système de télécommunications;
- La Partie 2 introduit la Loi sur la protection des cybersystèmes essentiels, qui créerait un nouveau régime réglementaire exigeant que les exploitants désignés dans les secteurs de la finance, des télécommunications, de l'énergie et des transports protègent leurs cybersystèmes essentiels.
Partie 1: Loi sur les télécommunications
- Après l'examen en matière de sécurité des systèmes de télécommunication 5G, le gouvernement a proposé le renforcement de notre cadre législatif actuel pour promouvoir la sécurité du système de télécommunications du Canada, et ce, par le biais de modifications législatives apportées à la Loi sur les télécommunications:
Objectif de la politique
- La Loi sur les télécommunications serait modifié afin d'ajouter « promouvoir la sécurité du système canadien de télécommunication » comme objectif.
Outils législatifs
- Le gouverneur en conseil et le ministre de l'industrie seraient habilité à prendre des décret et arrêtés, respectivement, à cet objectif; ce pouvoir pourrait être utilisé pour obliger les fournisseurs de services de télécommunications à prendre des mesures si elles sont jugées nécessaires.
- Ces pouvoirs permettraient au gouvernement de prendre des mesures relatives à la sécurité, comme peuvent le faire les autres régulateurs fédéraux dans leurs secteurs d'infrastructures essentielles.
Pouvoirs d'application de la loi et conséquences
- Un régime de sanctions administratives pécuniaires et une infraction seraient établi pour promouvoir la conformité avec les décrets, arrêtés et règlements pris par le gouverneur en conseil et le ministre de l'industrie.
Partie 2 : Loi sur la protection des cybersystèmes essentiels
- La Loi sur la protection des cybersystèmes essentiels établirait par le biais d'un régime réglementaire intersectoriel un niveau de sécurité de base pour les exploitants désignés.
Nouveaux outils législatifs
- La loi permettrait d'améliorer le partage d'information relative aux cybermenaces et conférerait au gouverneur en conseil le pouvoir d'émettre des directives de cybersécurité aux exploitants désignés.
Obligations
Les exploitants désignés serait seraient tenus :
- De mettre en œuvre un programme de cybersécurité
- Prendre des mesures raisonnables pour atténuer les risques liés à la chaîne d'approvisionnement et aux services ou produits de tiers
- De signaler des incidents de cybersécurité au CST
- De mettre en œuvre des directives de cybersécurité
Pouvoirs d'application et conséquences
- La Loi conférerait aux organismes réglementaires les pouvoirs d'application nécessaires (comme les vérifications, les sanctions administratives pécuniaires) et établirait des conséquences en cas de non-conformité (p. ex. infraction punissable par procédure sommaire et par mise en accusation).
Comparaison : Partie 1 et Partie 2
Partie 1 : Loi sur les télécommunications |
Partie 2 : Loi sur la protection des cybersystèmes essentiels |
|
|---|---|---|
Ministre responsable |
Innovation, Science et Développement économique Canada |
Sécurité publique Canada |
Secteur(s) |
Télécommunications |
Télécommunications, finance, transports, énergie |
Organismes réglementaires |
Ministre de l'Industrie Canada |
Ministre de l'Industrie Canada, Surintendant des institutions financières, Banque du Canada, Ministre des Transports; Régie canadienne de l'énergie; Commission canadienne de sûreté nucléaire |
Sanctions administratives pécuniaires |
Oui |
Oui |
Pouvoir de rendre des ordonnances |
Le gouverneur en conseil et le ministre de l'Industrie |
Le gouverneur en conseil |
Conclusion
- Si adoptée, cette loi permettrait de mieux promouvoir la cybersécurité au Canada par les nouvelles mesures suivantes :
- Pouvoirs en matière de sécurité pour le gouverneur en conseil et le ministre de l'Industrie en vertu de la Loi sur les télécommunications
- Création de règlements intersectoriels relatifs à la cybersécurité
- Capacité d'imposer que des mesures soient prises en réponse aux cybermenaces
- Amélioration de l'échange d'information sur les cybermenaces
- De façon générale, la Loi sur la cybersécurité souligne l'engagement du gouvernement à accroître le niveau de cybersécurité de base au pays, et à veiller à la sécurité nationale et la sécurité publique.
- Date de modification :