Obbligo di segnalare ciberattacchi a infrastrutture critiche in vigore dal 1° aprile 2025

07.03.2025 - Nella sua seduta del 7 marzo 2025 il Consiglio federale ha posto in vigore l’obbligo di segnalare ciberattacchi a infrastrutture critiche valido a partire dal 1° aprile. I gestori di infrastrutture critiche saranno tenuti a segnalare ciberattacchi all’Ufficio federale della cibersicurezza (UFCS) entro le 24 ore successive alla loro individuazione. Queste segnalazioni consentiranno all’UFCS di sostenere gli interessati nel far fronte ai ciberattacchi e di avvisare i gestori di infrastrutture critiche.

Data la crescente minaccia dovuta ai ciberincidenti, in Svizzera verrà introdotto un obbligo di segnalazione dei ciberattacchi a infrastrutture critiche. I gestori di infrastrutture critiche saranno tenuti a segnalare i ciberattacchi all’Ufficio federale della cibersicurezza (UFCS).

Il Consiglio federale ha posto in vigore dal 1° aprile la modifica del 29 settembre 2023 necessaria a tale scopo della legge federale sulla sicurezza delle informazioni in seno alla Confederazione (legge sulla sicurezza delle informazioni, LSIn). La LSIn stabilisce che le autorità e le organizzazioni assoggettate all’obbligo di segnalazione, come ad esempio nel settore dell’approvvigionamento energetico e idrico, le imprese di trasporto e le amministrazioni cantonali e comunali, sono tenute a segnalare i ciberattacchi all’UFCS entro 24 ore dal momento in cui sono stati individuati.

Un ciberattacco dev’essere segnalato, tra l’altro, se rischia di compromettere il funzionamento dell’infrastruttura critica interessata, ha comportato una manipolazione o una fuga d’informazioni oppure è correlato ai reati di estorsione, minaccia o coazione. La legge prevede delle multe nell’ipotesi in cui non venga dato seguito all’obbligo di segnalazione.

Affinché gli interessati abbiano tempo a sufficienza per prepararsi in vista del nuovo obbligo di segnalazione, il Consiglio federale ha deciso di porre in vigore le basi legali per le multe solo a partire dal 1° ottobre 2025. Pertanto nei primi sei mesi vi è l’obbligo di segnalazione, ma chi omette di effettuare segnalazioni non incorre ancora in sanzioni.

Modulo di segnalazione dell’UFCS sulla piattaforma esistente

Per rendere il processo di segnalazione il più semplice possibile, sulla sua piattaforma esistente l’UFCS mette a disposizione un modulo di segnalazione per lo scambio di informazioni con i gestori di infrastrutture critiche. In alternativa, le organizzazioni che non hanno accesso alla piattaforma possono effettuare segnalazioni anche tramite un modulo da spedire via e-mail che sarà disponibile sul sito web dell’UFCS. Se in occasione della prima segnalazione da effettuare entro 24 ore non è ancora possibile fornire tutte le informazioni necessarie, vige un termine di 14 giorni per completare la segnalazione.

L’ordinanza sulla cibersicurezza disciplina le eccezioni

Il Consiglio federale ha inoltre approvato l’ordinanza sulla cibersicurezza (OCS) e l’ha posta in vigore dal 1° aprile 2025. L’OCS contiene le disposizioni esecutive relative all’obbligo di segnalazione e disciplina in particolare le eccezioni di cui all’articolo 74c della LSIn. In più, l’ordinanza contiene anche disposizioni relative alla Ciberstrategia nazionale, ai compiti dell’UFCS e allo scambio di informazioni tra UFCS e autorità e organizzazioni.

La procedura di consultazione concernente l’OCS si è svolta tra il 22 maggio e il 13 settembre 2024: nel corso della procedura è emerso l’ampio sostegno a favore del rafforzamento della cibersicurezza in Svizzera. La richiesta più importante degli interessati era che l’adempimento dell’obbligo di segnalazione venisse reso il più semplice possibile e coordinato con altri obblighi di segnalazione (ad es. obblighi di notifica in materia di protezione dei dati). È stato possibile tenere conto di tale richiesta. Il modulo di segnalazione dell’UFCS consente di inserire le informazioni richieste in modo rapido e di inoltrare su relativa richiesta il modulo ad altre autorità nei confronti delle quali vi è anche un obbligo di segnalazione, ad esempio all’Autorità federale di vigilanza sui mercati finanziari o all’Incaricato federale della protezione dei dati e della trasparenza.

Un’altra ordinanza riguarda il cambio di denominazione nel contesto del trasferimento del Centro nazionale per la cibersicurezza (NCSC) a un ufficio federale nel DDPS. Per adeguare le basi legali in modo tale che rechino la nuova denominazione, il Consiglio federale ha emanato una relativa ordinanza che entrerà in vigore il 1° aprile 2025.

Pietra miliare per la cibersicurezza in Svizzera

L’introduzione dell’obbligo di segnalazione come prima regolamentazione intersettoriale rappresenta una pietra miliare per la cibersicurezza in Svizzera. Consolidare lo scambio di informazioni è fondamentale per far fronte alla rapida evoluzione delle ciberminacce adottando misure adeguate. L’introduzione dell’obbligo di segnalazione per ciberattacchi in Svizzera è conforme agli standard internazionali. Dal 2018 in tutti i Paesi membri dell’UE è in vigore un obbligo di segnalazione per incidenti informatici secondo la direttiva NIS.