Piano per la gestione coordinata dei ciberincidenti

27.10.2025 - L’interconnessione globale dei sistemi digitali fa sì che i ciberincidenti possano avere riper-cussioni immediate su un gran numero di organizzazioni. Per gestire con successo gli inci-denti che coinvolgono più organizzazioni è necessario un approccio coordinato da parte di tutti gli attori interessati dell'economia, dei Cantoni e della Confederazione. L'Ufficio federale della cibersicurezza (UFCS) ha elaborato un concetto che illustra come la Confederazione si organizza per garantire una gestione coordinata degli incidenti.

I ciberincidenti possono avere conseguenze di vasta portata. Oltre alle conseguenze immediate dei malfunzionamenti e delle perturbazioni d’esercizio per le persone direttamente coinvolte, possono anche compromettere la cibersicurezza di terzi. Ciò si verifica quando sono interessati dati o mezzi informatici utilizzati da più attori. In questi casi è fondamentale che tutte le parti interessate siano coinvolte nella gestione dell'incidente. Le aziende, la Confederazione e i Cantoni devono collaborare in modo rapido e coordinato. In questo contesto, la chiarezza delle competenze e la trasparenza delle procedure rivestono un ruolo centrale, poiché quanto più rapidamente si chiarisce chi assume quali compiti, tanto meglio è possibile limitare i danni. Con l'entrata in vigore della legge sulla sicurezza delle informazioni (LSIn) nel 2024 nonché dell'ordinanza sulla cibersicurezza (OCS) e dell'ordinanza sull'organizzazione di crisi dell'Amministrazione federale (OCAF) nel 2025, sono state create le basi giuridiche per chiarire i compiti e le competenze.

Fondandosi su queste basi giuridiche, l’UFCS ha elaborato un concetto che illustra come viene orga-nizzata la gestione coordinata degli incidenti. L'elemento centrale del concetto è un modello a quattro livelli per la classificazione dei ciberincidenti: lieve, moderato, rilevante e critico. La valutazione viene effettuata adottando una prospettiva sociale globale. Sono determinanti il numero di organizzazioni coinvolte in Svizzera e le ripercussioni del ciberincidente sull'economia e sulla popolazione. A seconda della classificazione, vengono attivati diversi processi di coordinamento e coinvolte organizzazioni specifiche nella gestione dell'incidente. Per gli incidenti di livello «lieve» non è previsto alcun coordi-namento da parte dell’UFCS. In caso di incidenti di livello «moderato», l’UFCS fornisce un sostegno sussidiario alle organizzazioni interessate, mentre in caso di incidenti di livello «rilevante» assume un ruolo attivo nel coordinamento. Infine, in caso di incidenti che raggiungono il livello «critico», viene presentata una richiesta al Consiglio federale per l'istituzione di uno stato maggiore di crisi secondo i processi previsti dall'OCAF. La sistematica della classificazione dei ciberincidenti garantisce che le misure siano adeguate all'effettiva portata dell'incidente e che le risorse siano utilizzate in modo mira-to. La classificazione rimane flessibile e può cambiare nel corso di un incidente, poiché spesso la portata dei ciberattacchi diventa completamente visibile solo nel corso dell'analisi.

I processi della gestione coordinata degli incidenti sono già applicati. Gli incidenti di livello «lieve» e «moderato» fanno parte della quotidianità e la collaborazione tra l’UFCS, i gestori delle infrastrutture critiche e le autorità federali e cantonali è ben rodata. I processi relativi agli incidenti di livello «rilevan-te» e «critico» sono definiti grazie alle basi giuridiche ora esistenti. Tuttavia, non tutti gli attori cono-scono nella stessa misura le competenze e i compiti, mentre i processi devono ancora essere conso-lidati. Il presente concetto intende contribuire a questo obiettivo. L’UFCS lo utilizzerà per informare in modo trasparente sui compiti e sulle competenze nella gestione coordinata degli incidenti.