Base giuridica dell'obbligo di notifica

Service navigation

Ricerca

Navigazione

Base giuridica dell'obbligo di notifica

Il 7 marzo 2025, il Consiglio federale ha posto in vigore l’obbligo di segnalare ciberattacchi contro le infrastrutture critiche valido a partire dal 1° aprile 2025. I gestori di infrastrutture critiche saranno tenuti a segnalare ciberattacchi all’Ufficio federale della cibersicurezza (UFCS) entro le 24 ore successive alla loro individuazione. L'obbligo di segnalazione è disciplinato dalla legge sulla sicurezza delle informazioni (LSI) e dall'ordinanza sulla cybersicurezza (OSC).

Legge sulla sicurezza delle informazioni (LSI) 

La richiesta di verificare le possibilità di introdurre un obbligo di notifica era già stata formulata nel quadro della «Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC) per gli anni 2018‒2022». Nel 2021 il Consiglio federale ha deciso di creare le basi legali per l’introduzione di un obbligo di notifica procedendo a una modifica della legge sulla sicurezza delle informazioni (LSIn).

  • La modifica della LSIn è stata posta in consultazione il 12 gennaio 2022. Durante la procedura di consultazione il progetto è stato accolto in linea di principio favorevolmente dagli ambienti economici, dagli istituti di ricerca e dai Cantoni.

  • Il messaggio concernente la modifica della legge sulla sicurezza delle informazioni (Introduzione dell’obbligo di segnalare ciberattacchi a infrastrutture critiche) è stato approvato dal Consiglio federale il 2 dicembre 2022.

  • Il Parlamento ha approvato la modifica della LSIn il 29 settembre 2023.

  • Il Consiglio federale ha posto in vigore dal 1° aprile 2025 la modifica della legge sulla sicurezza delle informazioni LSIn) il 7 marzo 2025.

La LSIn stabilisce che le autorità e le organizzazioni assoggettate all’obbligo di segnalazione, come ad esempio nel settore dell’approvvigionamento energetico e idrico, le imprese di trasporto e le amministrazioni cantonali e comunali, sono tenute a segnalare i ciberattacchi all’UFCS entro 24 ore dal momento in cui sono stati individuati.

Ordinanza sulla cybersicurezza (OSC)

Le modalità di attuazione del futuro obbligo di notifica e le relative eccezioni per determinati organi sono state definite dal Consiglio federale nell’ordinanza sulla cibersicurezza (OCS). L’atto normativo stabilisce quali autorità e organizzazioni sono esentate dall’obbligo di notifica, quali ciberattacchi vanno obbligatoriamente notificati, i contenuti delle segnalazioni, le procedure da seguire per ottemperare all’obbligo di notifica nonché i termini vincolanti e le modalità di conclusione della procedura di segnalazione.

  • La procedura di consultazione per l’OCS è stata avviata dal Consiglio federale il 22 maggio 2024. La consultazione a durata fino al 13 settembre 2024.
  • Il 7 marzo 2025 Consiglio federale ha approvato l’ordinanza sulla cibersicurezza (OCS) e l’ha posta in vigore dal 1° aprile 2025. L’OCS contiene le disposizioni esecutive relative all’obbligo di segnalazione e disciplina in particolare le eccezioni.

Ordinanza_sulla_cibersicurezza.pdf (PDF, 268 kB, 07.03.2025)

Ulteriori informazioni

Il Consiglio federale avvia la procedura di consultazione relativa all’ordinanza sulla cibersicurezza

22.11.2023 - Segreteria di Stato della politica di sicurezza e Ufficio federale della cibersicurezza: il Consiglio federale adotta le relative basi legali

02.12.2022 - Il Consiglio federale trasmette al Parlamento il messaggio concernente l’introduzione dell’obbligo di segnalare ciberattacchi a infrastrutture critiche

12.05.2022- L’obbligo di notifica dei ciberattacchi gode di ampio sostegno da parte degli ambienti economici e dei Cantoni

Ultima modifica 07.03.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/meldepflicht/gesetzliche-grundlagen-mp.html