aux hautes écoles au sens de l’art. 2, al. 2, de la loi du 30 septembre 2011 sur l’encouragement et la coordination des hautes écoles1;
aux autorités fédérales, cantonales et communales ainsi qu’aux organisations intercantonales, cantonales et intercommunales, à l’exception du Groupement Défense lorsque l’armée accomplit un service d’appui ou un service actif au sens des art. 67 et 76 de la loi du 3 février 1995 sur l’armée2;
aux organisations chargées de tâches de droit public dans les domaines de la sécurité et du sauvetage, de l’approvisionnement en eau potable, du traitement des eaux usées et de l’élimination des déchets;
aux entreprises œuvrant dans les domaines de l’approvisionnement énergétique au sens de l’art. 6, al. 1, de la loi du 30 septembre 2016 sur l’énergie3ainsi que du commerce, de la mesure et de la gestion de l’énergie, à l’exception des détenteurs d’une autorisation au sens de la loi du 21 mars 2003 sur l’énergie nucléaire4si une cyberattaque est lancée contre une installation nucléaire;
aux entreprises soumises à la loi du 8 novembre 1934 sur les banques5, à la loi du 17 décembre 2004 sur la surveillance des assurances6ou à la loi du 19 juin 2015 sur l’infrastructure des marchés financiers7;
aux établissements de santé figurant sur la liste hospitalière cantonale conformément à l’art. 39, al. 1, let. e, de la loi fédérale du 18 mars 1994 sur l’assurance-maladie8;
aux laboratoires médicaux titulaires d’une autorisation conformément à l’art. 16, al. 1, de la loi du 28 septembre 2012 sur les épidémies9;
aux entreprises titulaires d’une autorisation de fabriquer, de mettre sur le marché ou d’importer des médicaments conformément à la loi du 15 décembre 2000 sur les produits thérapeutiques10;
aux organisations qui fournissent des prestations destinées à couvrir les conséquences de la maladie, des accidents, de l’incapacité de travail et de gain, de la vieillesse, de l’invalidité et de l’impotence;
à la Société suisse de radiodiffusion et télévision;
aux agences de presse d’importance nationale;
aux prestataires de services postaux enregistrés auprès de la Commission de la poste conformément à l’art. 4, al. 1, de la loi du 17 décembre 2010 sur la poste11;
aux entreprises ferroviaires visées à l’art. 5 ou 8c de la loi fédérale du 20 décembre 1957 sur les chemins de fer12ainsi qu’aux entreprises d’installations à câbles, de trolleybus, d’autobus et de navigation concessionnaires au sens de l’art. 6 de la loi du 20 mars 2009 sur le transport de voyageurs13;
aux entreprises de l’aviation civile disposant d’une autorisation délivrée par l’Office fédéral de l’aviation civile et aux aéroports nationaux figurant dans le Plan sectoriel de l’infrastructure aéronautique;
aux entreprises qui transportent des marchandises sur le Rhin conformément à la loi fédérale du 23 septembre 1953 sur la navigation maritime sous pavillon suisse14et aux entreprises qui effectuent l’enregistrement, le chargement ou le déchargement de marchandises dans le port de Bâle;
aux entreprises qui approvisionnent la population en biens d’usage quotidien indispensables et dont la défaillance partielle ou complète entraînerait de graves difficultés d’approvisionnement;
aux fournisseurs de services de télécommunication enregistrés auprès de l’Office fédéral de la communication conformément à l’art. 4, al. 1, LTC15;
aux registres et aux registraires de domaines Internet au sens de l’art. 28b LTC;
aux fournisseurs et aux exploitants de services et d’infrastructures servant à l’exercice des droits politiques;
aux fournisseurs et aux exploitants d’informatique en nuage, de moteurs de recherche, de services numériques de sécurité ou de confiance ainsi que de centres de calcul, pour autant qu’ils aient un siège en Suisse;
aux fabricants de matériel informatique ou de logiciels dont les produits sont utilisés par des infrastructures critiques, si le matériel ou les logiciels concernés disposent d’un accès de télémaintenance ou sont utilisés à l’une des fins suivantes:
1. commande et surveillance de systèmes et de processus techniques,
2. garantie de la sécurité publique.
Les autorités et les organisations qui exercent également des activités ne relevant pas de l’al. 1 n’ont pas l’obligation designaler les cyberattaques qui ont un effet uniquement sur ces activités.
L’obligation de signaler visée à l’al. 1 s’applique aux cyberattaques qui ont un effet en Suisse, même si les moyens informatiques concernés se trouvent à l’étranger.