31.03.2025 - Dal 1° aprile 2025 entra in vigore l’obbligo di segnalare ciberattacchi a infrastrutture critiche in Svizzera. Da domani, quindi, i gestori di infrastrutture critiche sono tenuti a segnalare ciberattacchi all’Ufficio federale della cibersicurezza (UFCS) entro le 24 ore successive alla loro individuazione.
Data la crescente minaccia dovuta ai ciberincidenti e per avere una migliore panoramica della situazione relativa alle ciberminacce, il 7 marzo 2025 il Consiglio federale ha posto in vigore l’obbligo di segnalare ciberattacchi a infrastrutture critiche a partire dal 1° aprile. I gestori di infrastrutture critiche sono quindi tenuti a segnalare ciberattacchi all’UFCS entro le 24 ore successive alla loro individuazione. L’obbligo di segnalazione ha lo scopo di rafforzare la cibersicurezza in Svizzera, consentendo all’UFCS di sostenere gli interessati nel far fronte ai ciberattacchi e di avvisare i gestori di infrastrutture critiche.
L’obbligo di segnalazione si applica alle autorità e alle organizzazioni, come ad esempio nel settore dell’approvvigionamento energetico e idrico, le imprese di trasporto e le amministrazioni cantonali e comunali. Un attacco deve essere segnalato qualora metta a repentaglio la funzionalità dell’infrastruttura critica interessata, causi una manipolazione o una fuga di informazioni oppure sia associato a ricatti, minacce o coazioni.
Modulo di segnalazione dell’UFCS sulla piattaforma esistente
Sulla sua piattaforma esistente l’UFCS mette a disposizione un modulo di segnalazione per lo scambio di informazioni. In alternativa, le organizzazioni che non hanno accesso alla piattaforma possono effettuare segnalazioni anche tramite un modulo da spedire via e-mail, disponibile sul sito web dell’UFCS. Entro le 24 ore successive all’individuazione del ciberattacco occorre effettuare una prima segnalazione. Se non è possibile fornire subito tutte le informazioni necessarie, vige un termine di 14 giorni per completare la segnalazione. Nei primi sei mesi, quindi fino al 1° ottobre 2025, chi omette di effettuare segnalazioni non incorre in sanzioni; al termine di questo periodo transitorio, entreranno in vigore le norme relative alle multe.
Video esplicativi
L’UFCS ha pubblicato due video esplicativi che illustrano in dettaglio tutto ciò che riguarda l’obbligo di segnalazione. Il primo video, «Obbligo di segnalare ciberattacchi a infrastrutture critiche» («Obbligo di segnalare ciberattacchi a infrastrutture critiche»), spiega i retroscena e gli obiettivi dell’obbligo di segnalazione, mentre il secondo video, «Come segnalare un attacco informatico alle infrastrutture critiche» («Come posso segnalare un ciberattacco a infrastrutture critiche»), fornisce una guida passo passo per la segnalazione.
Ulteriori informazioni
Ultima modifica 31.03.2025
