POLITICHE PUBBLICHE | L'obbligo di segnalazione di un attacco informatico entra in vigore il 1° aprile
Gli attacchi informatici sono ormai una realtà diffusa. I fornitori di servizi per le persone bisognose di assistenza trattano spesso dati sensibili, solitamente in formato elettronico. Alcuni di essi fanno parte delle infrastrutture critiche, per le quali dal 1° aprile 2025 vigerà l'obbligo di segnalare qualsiasi attacco informatico. Qui ne descriviamo i punti essenziali.
Un quadro di riferimento e un obbligo in tempi di aumento del rischio informatico
La nuova legge federale sulla sicurezza delle informazioni e le sue quattro ordinanze attuative sono in vigore da quasi un anno. Dal 1° aprile 2025, queste disposizioni saranno integrate dall'introduzione d’un obbligo di segnalare gli attacchi informatici alle infrastrutture critiche. Le «infrastrutture critiche» si riferiscono a sistemi di servizi e forniture essenziali per l'economia e il sostentamento delle persone.
Perché un obbligo di segnalare?
Il scopo del obbligo di segnalazioni sarà di rafforzare la sicurezza informatica in Svizzera:
- Consentirà all'Ufficio federale della cibersicurezza (UFCS) di identificare per tempo i modi di attacco contro le infrastrutture critiche e di avvertire le aziende e gli enti amministrativi che potrebbero essere colpiti.
- I rapporti consentiranno inoltre all'UFSC di raccomandare alle aziende e agli enti amministrativi misure di prevenzione e protezione adeguate.
Alcuni fornitori di servizi per le persone bisognose di assistenza fanno parte delle infrastrutture critiche
L'obbligo di segnalazioni si applicherà alle istituzioni per persone bisognose di assistenza quando:
- sono stati inclusi dalle autorità cantonali nell'elenco degli ospedali e altri istituti medichi: come tali fanno parte delle infrastrutture critiche della Svizzera;
- se sono considerate, in base al diritto cantonale, come organi esecutivi delle autorità, ad esempio perché hanno firmato un contratto di prestazioni con le autorità cantonali.
Il nuovo obbligo di segnalamento in breve
I punti di forza dell'obbligo di segnalazioni degli attacchi informatici sono i seguenti:
- l'UFCS sarà l'organo a cui dovranno essere segnalati gli attacchi informatici;
- la segnalazione deve avvenire entro 24 ore dalla scoperta dell'attacco informatico;
- con la segnalazione di un attacco informatico, l'azienda interessata avrà diritto al supporto dell'UFCS nella gestione dell'incidente;
- la segnalazione potrà essere effettuata per via elettronica attraverso il sito web dell'UFCS, come avviene già oggi;
- gli incidenti potranno non essere segnalati se riguardano solo malfunzionamenti minori.
Piattaforma ad hoc per uno scambio di informazioni sicuro
Le istituzioni soggette all'obbligo di segnalamento hanno inoltre accesso a una piattaforma elettronica creata dall'UFSC per consentire uno scambio sicuro di informazioni. Per accedervi, le istituzioni devono registrarsi. L'UFSC raccomanda alle istituzioni di registrarsi il prima possibile. In questo modo potranno accedere a informazioni aggiornate sulle minacce informatiche e segnalare rapidamente ed efficacemente qualsiasi attacco informatico.
Su richiesta, l'OFCS informerà le aziende se sono soggette all'obbligo di segnalazione; in ogni caso, qualsiasi attacco potrà essere segnalato volontariamente, come già avviene oggi.
- UFCS-Portale con sezione di segnalazione
- UFCS: informazioni per imprese
- Piattaforma dell'UFCS per uno scambio sicuro di informazioni
indietro