Il Parlamento ha deciso di introdurre un obbligo di notifica per i ciberattacchi a infrastrutture critiche. L’obbligo di notifica consentirà all’UFCS di disporre di una visione d’insieme dei ciberattacchi perpetrati in Svizzera e delle modalità di volta in volta adottate dai cibercriminali. L’attuazione dell’obbligo di notifica sarà definita nell’ordinanza sulla cibersicurezza (OCS), attualmente in fase di consultazione: la consultazione durerà fino al 13 settembre 2024.
Il successo di un ciberattacco può comportare conseguenze di vasta portata per l’economia svizzera a livello di sicurezza e disponibilità. La popolazione, le autorità e le aziende sono quotidianamente esposte al rischio di ciberattacchi. Poiché le segnalazioni all’UFCS hanno luogo soltanto su base volontaria, manca attualmente una visione d’insieme degli attacchi perpetrati e degli obiettivi. L’obbligo di notifica consentirà all’UFCS di disporre di una visione d’insieme dei ciberattacchi perpetrati in Svizzera e delle modalità di volta in volta adottate dai cibercriminali. L’Ufficio sarà in grado di valutare con maggiore precisione la situazione di minaccia e di allertare in tempo utile i gestori di infrastrutture critiche.
L’obbligo di notifica è sancito nella LSIn
La richiesta di verificare le possibilità di introdurre un obbligo di notifica era già stata formulata nel quadro della «Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC) per gli anni 2018‒2022». Nel 2021 il Consiglio federale ha deciso di creare le basi legali per l’introduzione di un obbligo di notifica procedendo a una modifica della legge sulla sicurezza delle informazioni (LSIn). La modifica della LSIn è stata posta in consultazione il 12 gennaio 2022. Durante la procedura di consultazione il progetto è stato accolto in linea di principio favorevolmente dagli ambienti economici, dagli istituti di ricerca e dai Cantoni. Il messaggio concernente la modifica della legge sulla sicurezza delle informazioni (Introduzione dell’obbligo di segnalare ciberattacchi a infrastrutture critiche) è stato approvato dal Consiglio federale il 2 dicembre 2022. Il Parlamento ha approvato la modifica della LSIn il 29 settembre 2023.
Procedura di consultazione per l’ordinanza sulla cibersicurezza
Le modalità di attuazione del futuro obbligo di notifica e le relative eccezioni per determinati organi sono state definite dal Consiglio federale nell’ordinanza sulla cibersicurezza (OCS). L’atto normativo stabilisce quali autorità e organizzazioni sono esentate dall’obbligo di notifica, quali ciberattacchi vanno obbligatoriamente notificati, i contenuti delle segnalazioni, le procedure da seguire per ottemperare all’obbligo di notifica nonché i termini vincolanti e le modalità di conclusione della procedura di segnalazione.
La procedura di consultazione per l’OCS è stata avviata dal Consiglio federale il 22 maggio 2024. La consultazione durerà fino al 13 settembre 2024.
Per illustrare agli interessati come sarà attuato l’obbligo di notifica, l’UFCS ha elaborato una bozza del formulario di notifica. Il formulario evidenzia i contenuti e la forma delle indicazioni richieste. Attualmente è disponibile sotto forma di documento: con l’entrata in vigore dell’obbligo di notifica sarà disponibile sotto forma di formulario online nel Cyber Security Hub dell’UFCS.
Entwurf des Meldeformulars (PDF, 328 kB, 21.05.2024)(disponibile in tedesco e francese)
Prossimi passi
Dopo la procedura di consultazione l’OCS sarà sottoposta al Consiglio federale. L’obbligo di notifica per i ciberattacchi alle infrastrutture critiche sarà probabilmente introdotto durante il primo semestre del 2025.
Ulteriori informazioni
Ultima modifica 07.08.2024