Changements relatifs à la réglementation de la cybersécurité des installations et activités nucléaires canadiennes

Résumé de la présentation/du document technique présenté lors de la :
Conférence internationale sur la sécurité informatique dans le monde nucléaire : La sécurité au service de la sûreté
Du 19 au 23 juin 2023

Préparé par :
John Sladek
Justin Sigetich
Commission canadienne de sûreté nucléaire

Résumé :

En 2021, la CCSN a proposé des modifications [R-1] au Règlement sur la sécurité nucléaire (RSN) [R-2] afin de réglementer la sécurité nucléaire au moyen d’une approche fondée sur des objectifs de rendement, offrant ainsi aux titulaires de permis davantage de marge de manœuvre sur le plan des mesures et des approches qu’ils peuvent mettre à profit pour respecter les exigences en matière de sécurité nucléaire. La CCSN actualisera également les documents d’application de la réglementation (REGDOC) visant la sécurité nucléaire afin de fournir de l’orientation sur la manière de se conformer à ces exigences.
La CCSN a également proposé des modifications [R-3] visant à renforcer les exigences en vigueur et à créer de nouvelles exigences en vue de protéger les renseignements de nature délicate et les systèmes informatiques qui exécutent des fonctions de sûreté nucléaire, de sécurité nucléaire, de préparation aux situations d’urgence et de garanties (SSPUG) ou qui ont une incidence sur ceux-ci.
Les modifications proposées au Règlement comprennent les suivantes :

• Obliger tous les titulaires de permis assujettis à la RSN à évaluer leur vulnérabilité aux cybermenaces et à inclure les cybermenaces dans l’évaluation des menaces et des risques (EMR). Cette exigence vise à veiller à ce que les titulaires de permis soient en mesure de détecter des cyberattaques ciblant des renseignements de nature délicate et des fonctions de SSPUG, et d’y donner suite.
• Obliger les titulaires de permis assujettis à la RSN à établir des programmes de cybersécurité dans le cadre de leurs programmes de sécurité nucléaire et à mettre en œuvre des mesures visant à gérer les risques relevés dans leurs EMR.
• Établir des exigences en matière de sécurité informatique pour les titulaires de permis qui ne sont pas assujettis à la RSN, comme les titulaires de permis possédant des sources scellées de catégories 1 et 2.
• Élaborer des REGDOC établissant des exigences et de l’orientation à l’égard de la protection des renseignements de nature délicate.
• Élaborer des REGDOC établissant des exigences et de l’orientation à l’égard de la protection des fonctions de SSPUG.

Dans ce document, on décrira la manière dont la cybersécurité est réglementée au Canada ainsi que le processus de consultation permettant d’actualiser les règlements et les REGDOC, et fera le point sur les modifications proposées en cours d’examen.

• [R-1] Commission canadienne de sûreté nucléaire, Cybersécurité et protection des informations numériques (DIS 21-03), CCSN, Ottawa, Canada, 2021, https://www.parlonssuretenucleaire.ca/dis-21-03
• [R-2] Loi sur la sûreté et la réglementation nucléaires : Règlement sur la sécurité nucléaire (2015) DORS/2000/209, https://laws-lois.justice.gc.ca/PDF/SOR-2000-209.pdf
• [R-3] CCSN, Modifications proposées au Règlement sur la sécurité nucléaire (DIS 21‑02), CCSN, Ottawa, Canada, 2021, /fra/pdfs/Discussion-Papers/21-02/Document_de_travail_DIS-21-02_-_Modifications_proposées_au_Règlement_sur_la_sécurité_nucléaire_.pdf

Pour obtenir une copie du document correspondant au résumé, veuillez communiquer avec nous à cnsc.info.ccsn@cnsc-ccsn.gc.ca ou en composant le 613‑995‑5894 ou le 1‑800‑668‑5284 (au Canada). Veuillez nous indiquer le titre et la date du résumé.