Il 7 marzo 2025, il Consiglio federale ha posto in vigore l’obbligo di segnalare ciberattacchi contro le infrastrutture critiche valido a partire dal 1° aprile 2025. I gestori di infrastrutture critiche saranno tenuti a segnalare ciberattacchi all’Ufficio federale della cibersicurezza (UFCS) entro le 24 ore successive alla loro individuazione. Se in occasione della prima segnalazione da effettuare entro 24 ore non è ancora possibile fornire tutte le informazioni necessarie, vige un termine di 14 giorni per completare la segnalazione.
Autorità e organizzazioni assoggettate all’obbligo di segnalazione
Il Consiglio federale ha posto in vigore dal 1° aprile la modifica del 29 settembre 2023 necessaria a tale scopo della legge federale sulla sicurezza delle informazioni in seno alla Confederazione (legge sulla sicurezza delle informazioni, LSIn). La LSIn stabilisce che le autorità e le organizzazioni assoggettate all’obbligo di segnalazione, come ad esempio nel settore dell’approvvigionamento energetico e idrico, le imprese di trasporto e le amministrazioni cantonali e comunali, sono tenute a segnalare i ciberattacchi all’UFCS entro 24 ore dal momento in cui sono stati individuati.
Il Consiglio federale ha inoltre approvato l’ordinanza sulla cibersicurezza (OCS) e l’ha posta in vigore dal 1° aprile 2025. L’OCS contiene le disposizioni esecutive relative all’obbligo di segnalazione e disciplina in particolare le eccezioni di cui all’articolo 74c della LSIn.
Ciberattacchi da segnalare
Un ciberattacco dev’essere segnalato, tra l’altro, se rischia di compromettere il funzionamento dell’infrastruttura critica interessata, ha comportato una manipolazione o una fuga d’informazioni oppure è correlato ai reati di estorsione, minaccia o coazione. La legge prevede delle multe nell’ipotesi in cui non venga dato seguito all’obbligo di segnalazione.
Affinché gli interessati abbiano tempo a sufficienza per prepararsi in vista del nuovo obbligo di segnalazione, il Consiglio federale ha deciso di porre in vigore le basi legali per le multe solo a partire dal 1° ottobre 2025. Pertanto nei primi sei mesi vi è l’obbligo di segnalazione, ma chi omette di effettuare segnalazioni non incorre ancora in sanzioni.
Semplice procedura di segnalare
Per rendere il processo di segnalazione il più semplice possibile, sulla sua piattaforma esistente l’UFCS mette a disposizione un modulo di segnalazione per lo scambio di informazioni con i gestori di infrastrutture critiche.
Eventi online sull’obbligo di notifica dei ciberattacchi contro le infrastrutture critiche
Eventi online per i Comuni
| Data | Orario | Lingua | Link per l’iscrizione |
|---|---|---|---|
| 13.03.2025 | 12.00 – 13.00 | Tedesco | Iscrizione |
| 27.03.2025 | 12.00 – 13.00 | Francese | Iscrizione |
Eventi online per le aziende
| Data | Orario | Lingua | Link per l’iscrizione |
|---|---|---|---|
| 20.03.2025 | 12.00 – 13.00 | Tedesco | Iscrizione |
Ultima modifica 13.03.2025
