Concetto per la gestione coordinata degli incidenti informatici

Gli incidenti informatici possono avere conseguenze di vasta portata. Oltre alle conseguenze immediate di guasti funzionali e interruzioni operative per le stesse parti colpite, possono anche mettere a rischio la sicurezza informatica di terzi. Ciò accade quando vengono colpiti dati o risorse informatiche utilizzate da più parti interessate. In questi casi, è fondamentale che tutte le organizzazioni interessate siano coinvolte nella gestione degli incidenti. Le aziende, il governo federale e i cantoni devono collaborare rapidamente e in modo coordinato. La chiarezza delle responsabilità e un approccio trasparente giocano un ruolo fondamentale in questo caso, poiché quanto prima è chiaro chi è responsabile di quali compiti, tanto meglio si possono limitare i danni. Con l'entrata in vigore della Legge sulla sicurezza delle informazioni (ISG) nel 2024 e dell'Ordinanza sulla sicurezza informatica (CSV) e dell'Ordinanza sull'organizzazione di crisi dell'Amministrazione federale (KOBV) nel 2025, è stata creata una base legale per chiarire compiti e responsabilità.

Il modello di valutazione in quattro fasi fa chiarezza

Sulla base di questi fondamenti giuridici, il BACS ha sviluppato un concetto che mostra come viene organizzata la gestione coordinata degli incidenti. L'elemento centrale del concetto è un modello a quattro fasi per la classificazione degli incidenti informatici: basso, moderato, significativo e critico. La valutazione viene effettuata dal punto di vista della società nel suo complesso. Il fattore decisivo è il numero di organizzazioni colpite in Svizzera e l'impatto dell'incidente informatico sull'economia e sulla popolazione. A seconda della classificazione, vengono attivati diversi processi di coordinamento e vengono coinvolte organizzazioni specifiche nella gestione degli incidenti. Per gli incidenti di livello «basso» non è previsto alcun coordinamento da parte del BACS. Nel caso di incidenti di livello «moderato», il BACS fornisce un supporto sussidiario alle organizzazioni colpite e, nel caso di incidenti di livello «grave», assume un ruolo attivo nel coordinamento. Per gli incidenti che raggiungono il livello «critico», viene infine richiesta al Consiglio federale l'istituzione di un'unità di crisi secondo le procedure previste dalla CEDO. Il sistema di categorizzazione degli incidenti informatici garantisce che le misure siano adeguate alla portata effettiva dell'incidente e che le risorse siano impiegate in modo mirato. La categorizzazione rimane flessibile e può cambiare nel corso di un incidente, poiché la portata degli attacchi informatici spesso diventa pienamente evidente solo nel corso dell'analisi.

Implementazione di una gestione coordinata degli incidenti

I processi di gestione coordinata degli incidenti sono già attivi. Gli incidenti di livello «minore» e «moderato» fanno parte della vita quotidiana e la collaborazione tra il BACS e i gestori di infrastrutture critiche e le autorità federali e cantonali è ben consolidata. I processi per gli incidenti di livello «maggiore» e «critico» sono definiti grazie alla base giuridica esistente. Tuttavia, le responsabilità e i compiti non sono noti a tutti gli stakeholder nella stessa misura e i processi devono ancora essere definiti meglio. Il presente concetto intende contribuire a questo obiettivo. Il BACS lo utilizzerà per fornire informazioni trasparenti sui compiti e le responsabilità coinvolti nella gestione coordinata degli incidenti.

Concetto per la gestione coordinata degli incidenti informatici