Retour aux projets de loi

Loi sur la transparence et la responsabilité en matière de cybersécurité des services publics

Titre complet:
Loi sur la transparence en matière de cybersécurité de Nova Scotia Power

Résumé#

Cette loi exige que Nova Scotia Power soit plus transparente sur la manière dont elle protège ses systèmes contre le piratage et d'autres menaces cybernétiques. Elle oblige le service public à déposer un rapport public annuel, à répondre à des questions lors d'une audience publique et à respecter les normes de cybersécurité qu'elle dit utiliser. Elle impose également des amendes pour non-respect de la loi et empêche le service public de facturer aux clients certains coûts s'il n'a pas respecté la loi.

  • Nova Scotia Power doit publier un rapport annuel sur la cybersécurité d'ici le 31 mai de chaque année.
  • Le rapport doit décrire les dépenses liées à la cybersécurité, les normes suivies, toute violation (avec dates, impacts et corrections), ainsi que les risques et plans futurs.
  • Les détails techniques sensibles peuvent être omis du rapport public avec l'approbation du ministre, mais une version complète et privée doit être remise à un comité législatif.
  • Un comité législatif tiendra une audience annuelle et pourra convoquer Nova Scotia Power pour répondre à des questions.
  • Le régulateur des services publics peut infliger une amende au service public allant jusqu'à 25 000 $ par jour pour non-respect de cette loi ou des normes déclarées.
  • Le service public ne peut pas facturer aux clients des amendes ou des coûts liés à un incident cybernétique s'il n'a pas respecté cette loi ou ses normes déclarées.

Ce que cela signifie pour vous#

  • Clients

    • Vous recevrez un résumé clair et annuel des menaces cybernétiques auxquelles le service public a été confronté, ce qui s'est passé et ce qui a été fait pour résoudre les problèmes.
    • Si le service public enfreint cette loi ou ses propres normes déclarées, il ne peut pas vous transférer les amendes ou certains coûts d'incidents par le biais des tarifs d'électricité.
    • Les dépenses de cybersécurité de routine peuvent encore apparaître dans les tarifs, comme pour d'autres investissements des services publics, sous réserve du régulateur.
    • Les résumés publics peuvent omettre des détails techniques très spécifiques qui pourraient créer de nouveaux risques.

  • Petites entreprises et grands utilisateurs d'électricité

    • Une plus grande transparence sur les risques systémiques et les corrections prévues peut aider à votre planification de la continuité des activités.
    • Protection contre le paiement des pénalités du service public ou de certains coûts d'incidents si le service public n'était pas en conformité.

  • Employés et contractuels de Nova Scotia Power

    • Attendez-vous à un plus grand accent sur le personnel, la formation et la réponse aux incidents en matière de cybersécurité.
    • Une plus grande surveillance et responsabilité envers la législature et le public.

  • Législateurs et public

    • Un comité permanent examinera le rapport complet en privé et tiendra une audience publique chaque année pour poser des questions et demander des améliorations.

Dépenses#

Coût public estimé : coût direct minimal pour la province ; la plupart des coûts incombent à Nova Scotia Power pour le reporting et la conformité.

  • Nova Scotia Power supporte le coût de la préparation des rapports, du respect des normes déclarées et de la réponse aux audiences.
  • Le régulateur peut infliger des amendes allant jusqu'à 25 000 $ par jour pour violations ; le service public ne peut pas récupérer ces amendes par le biais des tarifs des clients.
  • Si un incident cybernétique se produit et que le service public n'a pas respecté cette loi ou ses normes déclarées, il ne peut pas facturer aux clients les coûts associés.
  • Les audiences législatives et la surveillance peuvent nécessiter un certain temps de personnel mais ne créent pas un nouveau programme important.

Point de vue des partisans#

  • Une plus grande transparence renforce la confiance du public et maintient la pression sur le service public pour protéger le réseau et les données des clients.
  • Les audiences annuelles créent une véritable responsabilité, pas seulement de la paperasse.
  • Des amendes claires et des règles de "non-transfert" garantissent que les clients ne paient pas pour les échecs du service public.
  • L'exigence de divulgation des violations et des corrections encourage des réponses plus rapides et plus fortes.
  • Aligne les actions du service public avec les normes de cybersécurité reconnues et les meilleures pratiques.

Point de vue des opposants#

  • Les rapports publics, même avec des omissions, pourraient révéler des schémas qui aident les pirates informatiques.
  • Le nouveau travail de reporting et de conformité pourrait ajouter des coûts qui apparaissent dans les tarifs pour des activités conformes.
  • De fortes amendes quotidiennes pourraient détourner des fonds des véritables mises à niveau de sécurité vers le paiement de pénalités.
  • Lier les coûts à la conformité avec des normes auto-déclarées pourrait créer des disputes sur ce qui compte comme "conformité".
  • Les audiences annuelles risquent de politiser des questions de sécurité technique et peuvent décourager des évaluations internes franches.