L’obbligo di segnalare cyberattacchi entra in vigore dal primo aprile

Lo ha deciso oggi il Consiglio federale, precisando che i vari gestori di imprese energetiche, idriche e di trasporto saranno tenuti a comunicare attacchi informatici all’Ufficio federale della cybersicurezza (UFCS) entro le 24 ore successive alla loro individuazione.

Queste segnalazioni consentiranno all’UFCS di sostenere gli interessati nel far fronte ai cyberattacchi e di avvisare altri gestori di infrastrutture critiche, indica una nota governativa odierna.

L’introduzione in Svizzera dell’obbligo di segnalazione è dovuta alla crescente minaccia legata ai cyberincidenti. La Legge sulla sicurezza delle informazioni (LSIn) stabilisce che le autorità e le organizzazioni assoggettate all’obbligo – come ad esempio quelle del settore dell’approvvigionamento energetico e idrico le imprese di trasporto e le amministrazioni cantonali e comunali – sono tenute a segnalare i cyberattacchi all’UFCS entro un giorno dal momento in cui sono stati individuati, precisa il comunicato.

Quando segnalare?

Un cyberattacco dovrà essere segnalato, tra l’altro, se rischia di compromettere il funzionamento dell’infrastruttura critica interessata, ha comportato una manipolazione o una fuga d’informazioni oppure è correlato ai reati di estorsione, minaccia o coazione. La legge prevede delle multe nell’ipotesi in cui non venga dato seguito all’obbligo di segnalazione.

Tuttavia, affinché gli interessati abbiano tempo a sufficienza per prepararsi in vista del nuovo obbligo, il Consiglio federale ha deciso di porre in vigore le basi legali per le multe solo a partire dal primo ottobre 2025. Pertanto nei primi sei mesi vi sarà l’obbligo di segnalazione, ma chi ometterà di effettuarle non incorrerà ancora in sanzioni.

Modulo segnalazione su piattaforma esistente

Per rendere il processo di segnalazione il più semplice possibile, sulla sua piattaforma esistente l’UFCS mette a disposizione un modulo per lo scambio di informazioni con i gestori di infrastrutture critiche. In alternativa, le organizzazioni che non hanno accesso alla piattaforma possono effettuare segnalazioni anche tramite un modulo da spedire via e-mail che sarà disponibile sul sito web dell’UFCS.

Qualora in occasione della prima notifica da effettuare entro 24 ore non fosse ancora possibile fornire tutte le informazioni necessarie, vige un termine di 14 giorni per completare la segnalazione.

Ordinanza disciplina le eccezioni

Il Consiglio federale ha inoltre approvato l’ordinanza sulla cybersicurezza (OCS) e l’ha pure posta in vigore dal primo aprile 2025. L’OCS contiene le disposizioni esecutive relative all’obbligo di segnalazione e disciplina in particolare le eccezioni. Inoltre, l’ordinanza contiene anche disposizioni relative alla Cyberstrategia nazionale, ai compiti dell’UFCS e allo scambio di informazioni tra questo ufficio e autorità e organizzazioni.

La procedura di consultazione concernente l’OCS si è svolta tra il 22 maggio e il 13 settembre 2024: nel corso della consultazione è emerso un ampio sostegno a favore del rafforzamento della cybersicurezza in Svizzera.

La richiesta più importante degli interessati era che l’adempimento dell’obbligo di segnalazione venisse reso il più semplice possibile e coordinato con altri obblighi di segnalazione (ad esempio obblighi di notifica in materia di protezione dei dati). È stato possibile tenere conto di tale richiesta, precisa ancora la nota.