Partner News

New Cyber Security Legislation affecting Transport Sector/ une nouvelle loi sur la cybersécurité qui aura une incidence sur le secteur des transports

June 24, 2022   |   Categories: Partner News

Last Updated on June 24, 2022

** Le texte français suit l’anglais **  

Dear Transportation Stakeholders,

This is to inform you of new legislation, the Critical Cyber Systems Protection Act (CCSPA), introduced in Parliament on June 14, 2022, alongside amendments to Securing Canada’s Telecommunications System (SCTS) resulting in the combined Act, An Act Respecting Cyber Security (ARCS), Bill C-26. 

This legislation responds to calls for regulation to compel action to address cyber threats as heard in industry and public consultations leading to the 2018 National Cyber Security Strategy. As critical infrastructure systems are increasingly digitized, automated and interconnected, and essential services are managed online, cyber incidents or attacks against these systems have the potential to compromise national security and public safety.

The purpose for the CCSPA is to protect Canada’s federally-regulated critical infrastructure against cyber threats, including ransomware. The CCSPA establishes a regulatory framework to protect cyber systems and services that underpin critical infrastructure in four key sectors: finance, telecommunications, energy and transportation. This includes specific measures for the Government to compel action against cyber threats and emphasizes the shared responsibility for a high-level of cyber security for services and systems upon which Canadians rely. These sectors were prioritized due to their importance to Canadians and their interconnectedness with other sectors.

For the transport sector, the CCSPA will apply to private sector entities within federal jurisdiction that are designated under the Act. If designated, owners and operators of federally-regulated services and systems will be required to protect their critical cyber systems through enhanced information sharing and other measures including: 

  • Establishing a Cyber Security Plan on how they will protect critical cyber systems;
  • Reporting cyber incidents to the Cyber Centre, permitting enhanced visibility of overall threats across sectors;
  • Mitigating supply chain or third party service or product risks; and,
  • Implementing Cyber Security Directions that may be issued and avoid non-compliance measures.

Designated owners and operators deemed applicable under the Act have yet to be identified. Classes of operators will be defined through consultations with transportation stakeholders. Regulations will follow standard timelines for regulatory development.

Transport Canada will act as the regulator for compliance with CCSPA requirements and ensure a consultative approach is taken across the various transportation modes for the development of associated regulations. Transport Canada officials will also ensure stakeholders are effectively informed of the requirements that may affect them in the future.

Further key updates on this legislation will be provided. Should you have any questions or concerns, please e-mail: mvs-sa@tc.gc.ca.

For more information on the new legislation, please also visit: https://www.canada.ca/en/public-safety-canada/news/2022/06/government-introduces-new-legislation-to-protect-canadas-cyber-security0.html

 ***************************************************************************************************************

Chers intervenants du secteur des transports,

La présente vise à vous informer qu’une nouvelle loi, la Loi sur la protection des cybersystèmes essentiels (LPCE) a été déposée au Parlement le 14 juin 2022, en même temps que des modifications ont été apportées afin d’assurer la sécurité du système de télécommunications du Canada (SCTS), ce qui a donné lieu à une loi combinée intitulée, Loi sur la cybersécurité, projet de loi C-26.

Cette loi se veut une réponse aux demandes de réglementation visant la prise de mesures pour contrer les cybermenaces. Ces demandes ont été entendues lors des consultations menées auprès de l’industrie et du public lesquelles ont mené à la Stratégie nationale de cybersécurité de 2018. Comme les systèmes d’infrastructures essentielles sont de plus en plus numérisés, automatisés et interconnectés et les services essentiels gérés en ligne, les incidents cybernétiques ou les attaques contre ces systèmes sont susceptibles de compromettre la sécurité nationale et la sécurité publique.

Le but de la LPCE est de protéger des cybermenaces, y compris des rançongiciels, les infrastructures canadiennes essentielles sous responsabilité fédérale. Cette loi établit un cadre réglementaire pour protéger les cybersystèmes et les services qui soutiennent les infrastructures essentielles de quatre secteurs clés :  les secteurs des finances, des télécommunications, de l’énergie et des transports. Il s’agit notamment de mesures précises permettant au gouvernement d’obliger que des mesures soient prises pour contrer les cybermenaces. Ces mesures soulignent la responsabilité partagée à l’égard d’un haut niveau de cybersécurité des services et des systèmes sur lesquels les Canadiens comptent. La priorité a été accordée à ces secteurs en raison de leur importance pour les Canadiens et de leur interconnectivité avec d’autres secteurs.

En ce qui concerne le secteur des transports, la LPCE s’appliquera aux entités du secteur privé relevant de la compétence fédérale et désignées aux termes de la Loi.  Pour toute entité désignée, les propriétaires et les exploitants de services et de systèmes relevant de compétence fédérale seront tenus de protéger leurs cybersystèmes essentiels au moyen d’un échange d’information amélioré et d’autres mesures, dont entre autres :

  • l’élaboration d’un plan de cybersécurité expliquant comment procéder pour protéger les cybersystèmes essentiels;
  • le signalement de tout incident cybernétique au Centre pour la cybersécurité, assurant ainsi une plus grande visibilité des menaces globales dans l’ensemble des secteurs;
  • l’atténuation des risques pour la chaîne d’approvisionnement, les services fournis par des tiers ou les produits;
  • la mise en œuvre des directives relatives à la cybersécurité et éviter les mesures de non-conformité.

Les propriétaires et les exploitants désignés auxquels la loi pourrait s’appliquer n’ont pas encore été identifiés. Les catégories d’exploitants seront définies à la suite de consultations menées auprès des intervenants du secteur des transports. La réglementation sera élaborée en suivant les échéanciers standards pour l’élaboration de règlements.

Transports Canada agira à titre d’organisme de réglementation en ce qui a trait à la conformité aux exigences de la LPCE et veillera à l’adoption d’une approche axée sur la consultation auprès des divers modes de transport lors de l’élaboration des règlements connexes. Les représentants de Transports Canada veilleront également à ce que les intervenants soient dûment informés des exigences qui pourraient les concerner à l’avenir.

D'autres mises à jour clés sur cette loi seront fournies. Si vous avez des questions ou des préoccupations, veuillez acheminer un courriel à : mvs-sa@tc.gc.ca.

Pour plus d'informations sur la nouvelle législation, veuillez également consulter le site :

https://www.canada.ca/fr/securite-publique-canada/nouvelles/2022/06/le-gouvernement-depose-une-nouvelle-loi-pour-proteger-la-cybersecurite-canadienne0.html