L'obbligo di segnalare gli attacchi informatici alle infrastrutture critiche si applica dal 1° aprile
Nella riunione del 7 marzo 2025, il Consiglio federale ha emanato l'obbligo di segnalazione degli attacchi informatici alle infrastrutture critiche a partire dal 1° aprile. I gestori di infrastrutture critiche saranno obbligati a segnalare gli attacchi informatici all'Ufficio federale per la sicurezza informatica (UFCL) 24 ore dopo il loro rilevamento. Queste segnalazioni consentiranno all'UFDC di sostenere le persone colpite nella gestione dei cyberattacchi e di avvertire tempestivamente gli operatori delle infrastrutture critiche.
A causa della crescente minaccia di incidenti informatici, in Svizzera è stato introdotto l'obbligo di segnalazione degli attacchi informatici alle infrastrutture critiche. Gli operatori di infrastrutture critiche sono tenuti a segnalare gli attacchi informatici all'Ufficio federale per la sicurezza informatica (UFSC).
Il Consiglio federale ha fatto entrare in vigore il 1° aprile la necessaria modifica della Legge federale sulla sicurezza dell'informazione nella Confederazione (Legge sulla sicurezza dell'informazione, ISG) del 29 settembre 2023. L'ISG stabilisce che le autorità e le organizzazioni soggette a obbligo di notifica, come i fornitori di energia e acqua potabile, le aziende di trasporto e le amministrazioni cantonali e comunali, devono segnalare i cyberattacchi all'UACS entro 24 ore dalla loro scoperta.
Un attacco informatico deve essere segnalato se, tra le altre cose, mette a rischio la funzionalità dell'infrastruttura critica interessata, se ha portato alla manipolazione o alla fuoriuscita di informazioni o se è associato a ricatti, minacce o coercizione. Se l'obbligo di segnalazione non viene rispettato, la legge prevede sanzioni pecuniarie.
Per dare agli interessati il tempo sufficiente per adattarsi al nuovo obbligo di segnalazione, il Consiglio federale ha deciso di non far entrare in vigore la base giuridica per le ammende fino al 1° ottobre 2025. L'obbligo di segnalazione si applicherà quindi per i primi 6 mesi, ma la mancata segnalazione non sarà ancora sanzionata.
Modulo di notifica BACS sulla piattaforma esistente
Per semplificare al massimo il processo di segnalazione, il BACS mette a disposizione un modulo di segnalazione sulla sua piattaforma esistente per lo scambio di informazioni con gli operatori di infrastrutture critiche. Le organizzazioni che non hanno accesso alla piattaforma possono in alternativa inviare le loro segnalazioni utilizzando un modulo di posta elettronica, che sarà disponibile sul sito web del BACS. Se non è possibile fornire tutte le informazioni entro 24 ore dalla notifica iniziale, è previsto un periodo di 14 giorni per completare la notifica.
L'ordinanza sulla cybersecurity regola le eccezioni
Il Consiglio federale ha inoltre approvato l'Ordinanza sulla sicurezza informatica (OSC), che è entrata in vigore il 1° aprile 2025. L'OSC contiene le disposizioni di attuazione dell'obbligo di comunicazione e disciplina in particolare le eccezioni ai sensi dell'art. 74c LIS. L'ordinanza contiene inoltre disposizioni sulla strategia nazionale in materia di cibernetica, sui compiti dell'ACS e sullo scambio di informazioni tra l'ACS e le autorità e le organizzazioni.
La consultazione sul CSV è stata condotta tra il 22 maggio e il 13 settembre 2024 e ha mostrato un ampio sostegno al rafforzamento della sicurezza informatica in Svizzera. La principale preoccupazione degli interessati era che l'obbligo di segnalazione fosse il più semplice possibile da adempiere e armonizzato con altri obblighi di segnalazione (ad esempio, obblighi di segnalazione in materia di protezione dei dati). Questa preoccupazione è stata presa in considerazione. Il modulo di segnalazione BACS consente di registrare rapidamente le informazioni necessarie e, se lo si desidera, di trasmetterle ad altre autorità soggette all'obbligo di segnalazione, come l'Autorità federale di vigilanza sui mercati finanziari o l'Incaricato federale della protezione dei dati e delle informazioni.
Un'altra ordinanza riguarda il cambiamento di nome in relazione al trasferimento del Centro nazionale di sicurezza informatica (NCSC) a un ufficio federale all'interno del DDPS. Al fine di riflettere questo cambiamento di nome nella base giuridica, il Consiglio federale ha emanato un'ordinanza corrispondente con effetto dal 1° aprile 2025.
Una pietra miliare per la sicurezza informatica in Svizzera
L'introduzione dell'obbligo di segnalazione come prima normativa intersettoriale è una pietra miliare per la sicurezza informatica in Svizzera. Il rafforzamento dello scambio di informazioni è fondamentale per contrastare il rapido sviluppo delle minacce informatiche con misure adeguate. L'introduzione dell'obbligo di segnalazione dei cyberattacchi in Svizzera è in linea con gli standard internazionali. Dal 2018, tutti gli Stati membri dell'UE hanno l'obbligo di segnalare gli incidenti informatici in conformità alla direttiva NIS.
