La LPCE constitue une évolution majeure de la législation canadienne en matière de cybersécurité. Les organisations qui fournissent et exploitent des services et systèmes essentiels auxquels s'appliquera la LPCE ont peut-être déjà des programmes de cybersécurité bien établis, mais si la LPCE est adoptée, elles seront confrontées à de nouvelles exigences ainsi qu'à des obligations de dépôt de leur programme de cybersécurité et de signalement des incidents. Les obligations de dépôt et de signalement sont en soi les éléments clés de la nouvelle loi, et s'alignent sur le type de politique gouvernementale que beaucoup considèrent comme essentiel pour lutter contre la cybercriminalité.

Pour ceux qui sont familiers avec la déclaration des atteintes à la vie privée en vertu notamment de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le signalement des cyberincidents en vertu de la LPCE sera très différent. Le signalement sera basé sur l'interférence avec les systèmes ou services essentiels, et non sur les informations contenues dans les systèmes ou les dossiers. Le signalement sera également requis en fonction du simple potentiel d'interférence, une question de risque et de probabilité qui sera laissée à l'interprétation des régulateurs et des tribunaux.

L'un des principaux objectifs de la LPCE est de préserver la continuité des services et systèmes vitaux en veillant à ce que les systèmes ne soient pas compromis et, dans la mesure où ils le sont, à ce que la compromission soit détectée et son impact minimisé 5 . En conséquence, la LPCE exigera des exploitants désignés qu'ils "signalent immédiatement un incident de cybersécurité concernant leurs systèmes essentiels", conformément au règlement. L'exploitant désigné devra signaler l'incident immédiatement à son organisme réglementaire, et le déclarer au Centre de la sécurité des télécommunications 6 . Sur demande de l'organisme réglementaire, l'exploitant devra lui remettre une copie du rapport d'incident.

