POLITICHE PUBBLICHE | Obbligo di segnalazione degli attacchi informatici a partire dal prossimo anno
Gli attacchi informatici sono ormai una realtà diffusa. I fornitori di servizi per le persone bisognose di assistenza gestiscono spesso dati sensibili, solitamente in formato elettronico. Sono tra le infrastrutture critiche per le quali presto vigerà un obbligo di segnalare qualsiasi attacco informatico. Qui di seguito illustriamo i punti chiave già noti. Le disposizioni attuative definitive saranno pubblicate nella prima metà del 2025.
Un quadro di riferimento e un obbligo in tempi di aumento del rischio informatico
La nuova legge federale sulla sicurezza delle informazioni e le sue quattro ordinanze attuative sono in vigore da quasi un anno. Nella prima metà del 2025, queste disposizioni saranno integrate dall'introduzione d’un obbligo di segnalare gli attacchi informatici alle infrastrutture critiche. Le «infrastrutture critiche» si riferiscono a sistemi di servizi e forniture essenziali per l'economia e il sostentamento delle persone. La data di entrata in vigore dell'obbligo di segnalazione non è ancora stata fissata, ma si prevede che sarà nella prima metà del 2025.
Perché un obbligo di segnalare?
Il scopo del obbligo di segnalazioni sarà di rafforzare la sicurezza informatica in Svizzera:
- Consentirà all'Ufficio federale della cibersicurezza (UFCS) di identificare per tempo i modi di attacco contro le infrastrutture critiche e di avvertire le aziende e gli enti amministrativi che potrebbero essere colpiti.
- I rapporti consentiranno inoltre all'UFSC di raccomandare alle aziende e agli enti amministrativi misure di prevenzione e protezione adeguate.
Molti fornitori di servizi per le persone bisognose di assistenza fanno parte delle infrastrutture critiche
L'obbligo di segnalazioni si applicherà alle istituzioni per persone bisognose di assistenza quando:
- forniscono servizi sanitari e come tali fanno parte delle infrastrutture critiche della Svizzera;
- hanno sottoscritto contratti di servizio con le autorità cantonali e sono considerati, in base al diritto cantonale, organi esecutivi delle autorità cantonali;
- forniscono servizi per proteggersi dalle conseguenze di malattie, vecchiaia, invalidità o incapacità.
Il nuovo obbligo di segnalamento in breve
I punti di forza dell'obbligo di segnalazioni degli attacchi informatici sono i seguenti:
- l'UFCS sarà l'organo a cui dovranno essere segnalati gli attacchi informatici;
- la segnalazione deve avvenire entro 24 ore dalla scoperta dell'attacco informatico;
- con la segnalazione di un attacco informatico, l'azienda interessata avrà diritto al supporto dell'UFCS nella gestione dell'incidente;
- la segnalazione potrà essere effettuata per via elettronica attraverso il sito web dell'UFCS, come avviene già oggi;
- gli incidenti potranno non essere segnalati se riguardano solo malfunzionamenti minori.
Su richiesta, l'OFCS informerà le imprese se sono soggette all'obbligo di segnalazione; in ogni caso, qualsiasi attacco potrà essere segnalato volontariamente, come già avviene oggi.
UFCS-Portale con sezione di segnalazione
UFCS: informazioni per imprese