Avvio della consultazione concernente l’introduzione dell’obbligo di notifica dei ciberattacchi

12.01.2022 - Oggi il Consiglio federale ha avviato la procedura di consultazione concernente l’introduzione dell’obbligo di notifica dei ciberattacchi per i gestori di infrastrutture critiche. Il progetto pone le basi legali necessarie per l’obbligo di notifica e definisce i compiti del Centro nazionale per la cibersicurezza (NCSC), che fungerà da servizio centrale per la notifica dei ciberattacchi. La procedura di consultazione termina il 14 aprile 2022.

I ciberattacchi sono diventati una seria minaccia per la sicurezza e l’economia della Svizzera. Imprese e autorità sono oggetto di attacchi ogni giorno. In media ogni settimana giungono al NCSC oltre 300 segnalazioni di ciberattacchi, tentati o riusciti. Le segnalazioni provenienti da imprese, autorità e privati avvengono su base volontaria e permettono alle competenti autorità federali di valutare le minacce e individuare tempestivamente il tipo di attacco. Il Consiglio federale intende rafforzare il sistema di notifica obbligando i gestori di infrastrutture critiche a segnalare i ciberattacchi al NCSC. L’obbligo di notifica ha lo scopo di garantire a quest’ultimo la possibilità di avere un quadro della situazione più chiaro grazie alle informazioni complete ricevute e informare tempestivamente altri gestori di infrastrutture critiche.

Obbligo di notifica per le infrastrutture critiche

L’obbligo di notifica per i gestori di infrastrutture critiche deve applicarsi ai ciberattacchi che possono arrecare notevoli danni, in particolare a quelli che rischiano di compromettere il funzionamento delle infrastrutture critiche o connessi al reato di estorsione, minaccia o coazione. La funzione di servizio centrale di notifica verrebbe assunta dal NCSC. Per semplificare la notifica il più possibile, il NCSC metterà a disposizione un modulo elettronico che permetterà, se lo si desidera, di trasmettere la notifica direttamente ad altri servizi.

Obbligo di sostegno della Confederazione in caso di ciberattacchi

Il progetto non soltanto obbliga le imprese a collaborare nella protezione dai ciberattacchi, ma definisce anche i compiti della Confederazione a sostegno dell’economia e della popolazione. A tal fine, il NCSC è incaricato di avvertire il pubblico riguardo alle ciberminacce e di sensibilizzarlo sui rischi. Inoltre, deve ricevere le notifiche di ciberincidenti e vulnerabilità, elaborare analisi tecniche e fornire raccomandazioni sul modo di procedere alle persone che notificano incidenti. Il NCSC sostiene i gestori di infrastrutture critiche (incluse le autorità cantonali e comunali) nella gestione di ciberincidenti. Questo sostegno è inteso come un servizio di pronto intervento e non deve entrare in concorrenza con altri servizi disponibili sul mercato.

Finora i compiti di protezione dai ciber-rischi sono stati adempiuti dalla Confederazione sulla base dei mandati esistenti, ma non erano ancora stati sanciti a livello di legge. Con l’introduzione dell’obbligo di notifica nella legge sulla sicurezza delle informazioni (LSIn), ora si devono definire nella stessa LSIn anche i compiti del NCSC, in particolare la sua competenza in qualità di servizio di notifica.

La procedura di consultazione termina il 14 aprile 2022.

Documenti

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2022/vernehmlassung-meldepflicht.html