Le projet de loi fait deux choses. Premièrement, il modifie la Loi sur les télécommunications en ajoutant la promotion de la sécurité du système canadien de télécommunications comme objectif de la politique canadienne de télécommunications et il autorise le gouverneur en conseil et le ministre de l'Industrie à ordonner aux fournisseurs de services de télécommunications de faire ou de s'abstenir de faire tout ce qui est nécessaire pour sécuriser le système canadien de télécommunications. Ces ordonnances peuvent être rendues publiques, ou non, le gouverneur en conseil aura cette discrétion. S'ils ne le sont pas, la divulgation de leur existence entraînera des sanctions.

Ceux qui refusent de se conformer aux futures directives pourraient se voir infliger des sanctions pécuniaires, voire une peine de prison. Quant à l'indemnisation, le projet de loi indique clairement que personne n'aura droit à une indemnisation pour couvrir les pertes résultant d'une ordonnance prise en vertu de ces nouveaux pouvoirs.

Le projet de loi C-26 crée également le Loi sur la protection des systèmes cybernétiques critiquesOn nous dit qu'elle fournira un cadre pour la protection des cyber-systèmes critiques des services et des systèmes qui sont vitaux pour la sécurité nationale ou la sécurité publique et qui sont fournis ou exploités dans le cadre d'un travail, d'une entreprise ou d'un commerce qui relève de l'autorité législative du Parlement.

En vertu de cette nouvelle loi, le gouverneur en conseil pourra désigner tout service ou système comme étant un service vital ou un système vital. Il aura également le pouvoir d'établir des catégories d'opérateurs au sein d'un service ou d'un système d'importance vitale et d'exiger que ces opérateurs désignés établissent et mettent en œuvre des programmes de cybersécurité, atténuent les risques liés à la chaîne d'approvisionnement et aux tiers, signalent les incidents de cybersécurité et se conforment aux directives en matière de cybersécurité. Là encore, des conséquences sont prévues en cas de non-conformité.

Les opérateurs sont encore inconnus mais une première liste de services ou de systèmes vitaux a déjà été identifiée.  

Ils comprennent :

1.  Services de télécommunications ;
2.  Systèmes de pipelines et de lignes électriques interprovinciaux ou internationaux ;
3.  Systèmes d'énergie nucléaire ;
4.  Les systèmes de transport qui relèvent de l'autorité législative du Parlement ; 
5. Les systèmes bancaires ; et,
6. Systèmes de compensation et de règlement.

Ce projet de loi n'en est qu'à ses débuts et le secteur de la cybersécurité, sans parler de la liste actuelle des secteurs vitaux identifiés, n'a pas encore eu l'occasion de tout digérer. Beaucoup de choses pourraient changer à mesure que le projet de loi fait son chemin dans notre système parlementaire et dans le processus réglementaire. Attendez-vous à ce que le lobbying soit très intense. 

Cela dit, deux choses sont immédiatement claires. La demande de produits et de services de cybersécurité dans les secteurs critiques de l'économie canadienne va augmenter. De plus, les organismes de réglementation seraient bien avisés de continuer à consulter l'industrie de la cybersécurité pour s'assurer que les exigences réglementaires futures suivent le rythme de l'évolution constante de la surface des cyberattaques et des réponses novatrices à ces développements que le secteur privé produit. 

Si vous souhaitez en savoir plus sur la manière d'exprimer vos préoccupations auprès des principaux décideurs gouvernementaux et de contribuer à l'élaboration de politiques judicieuses et efficaces, contactez Fernando.