Il Parlamento ha deciso di introdurre un obbligo di notifica per i ciberattacchi a infrastrutture critiche. L’obbligo di notifica consentirà all’UFCS di disporre di una visione d’insieme dei ciberattacchi perpetrati in Svizzera e delle modalità di volta in volta adottate dai cibercriminali. L’attuazione dell’obbligo di notifica sarà definita nell’ordinanza sulla cibersicurezza (OCS), attualmente in fase di consultazione: la consultazione durerà fino al 13 settembre 2024.
Il successo di un ciberattacco può comportare conseguenze di vasta portata per l’economia svizzera a livello di sicurezza e disponibilità. La popolazione, le autorità e le aziende sono quotidianamente esposte al rischio di ciberattacchi. Poiché le segnalazioni all’UFCS hanno luogo soltanto su base volontaria, manca attualmente una visione d’insieme degli attacchi perpetrati e degli obiettivi. L’obbligo di notifica consentirà all’UFCS di disporre di una visione d’insieme dei ciberattacchi perpetrati in Svizzera e delle modalità di volta in volta adottate dai cibercriminali. L’Ufficio sarà in grado di valutare con maggiore precisione la situazione di minaccia e di allertare in tempo utile i gestori di infrastrutture critiche.
L’obbligo di notifica è sancito nella LSIn
La richiesta di verificare le possibilità di introdurre un obbligo di notifica era già stata formulata nel quadro della «Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC) per gli anni 2018‒2022». Nel 2021 il Consiglio federale ha deciso di creare le basi legali per l’introduzione di un obbligo di notifica procedendo a una modifica della legge sulla sicurezza delle informazioni (LSIn). La modifica della LSIn è stata posta in consultazione il 12 gennaio 2022. Durante la procedura di consultazione il progetto è stato accolto in linea di principio favorevolmente dagli ambienti economici, dagli istituti di ricerca e dai Cantoni. Il messaggio concernente la modifica della legge sulla sicurezza delle informazioni (Introduzione dell’obbligo di segnalare ciberattacchi a infrastrutture critiche) è stato approvato dal Consiglio federale il 2 dicembre 2022. Il Parlamento ha approvato la modifica della LSIn il 29 settembre 2023.
Procedura di consultazione per l’ordinanza sulla cibersicurezza
Le modalità di attuazione del futuro obbligo di notifica e le relative eccezioni per determinati organi sono state definite dal Consiglio federale nell’ordinanza sulla cibersicurezza (OCS). L’atto normativo stabilisce quali autorità e organizzazioni sono esentate dall’obbligo di notifica, quali ciberattacchi vanno obbligatoriamente notificati, i contenuti delle segnalazioni, le procedure da seguire per ottemperare all’obbligo di notifica nonché i termini vincolanti e le modalità di conclusione della procedura di segnalazione.
La procedura di consultazione per l’OCS è stata avviata dal Consiglio federale il 22 maggio 2024. La consultazione a durata fino al 13 settembre 2024.
Per illustrare agli interessati come sarà attuato l’obbligo di notifica, l’UFCS ha elaborato una bozza del formulario di notifica. Il formulario evidenzia i contenuti e la forma delle indicazioni richieste. Attualmente è disponibile sotto forma di documento: con l’entrata in vigore dell’obbligo di notifica sarà disponibile sotto forma di formulario online nel Cyber Security Hub dell’UFCS.
Entwurf des Meldeformulars (PDF, 328 kB, 21.05.2024)(disponibile in tedesco e francese)
Prossimi passi
Dopo la procedura di consultazione l’OCS sarà sottoposta al Consiglio federale. L’obbligo di notifica per i ciberattacchi alle infrastrutture critiche sarà probabilmente introdotto durante il primo semestre del 2025.
Ulteriori informazioni
Ultima modifica 24.09.2024
