Cultura, arte, economia, scienza, ambiente, religione, sport, salute

Tv, radio, web

Il Consiglio federale è favorevole all’obbligo di notifica dei ciberattacchi per i gestori di infrastrutture critiche

Il Consiglio federale è favorevole all’obbligo di notifica dei ciberattacchi per i gestori di infrastrutture critiche

Nella sua seduta dell’11 dicembre 2020, il Consiglio federale ha incaricato il Dipartimento federale delle finanze (DFF) di elaborare un progetto da porre in consultazione sull’introduzione di un obbligo di notifica dei ciberattacchi per i gestori di infrastrutture critiche. L’Esecutivo ha stabilito i criteri per l’impostazione di tale obbligo.

In Svizzera esiste un obbligo di notificare gli incidenti legati alla perdita della capacità di funzionamento soltanto in singoli settori, ma non vige alcun obbligo generale per quanto riguarda i ciberattacchi. Lo scambio di informazioni sui ciberattacchi che interessano le infrastrutture critiche in ambiti quali l’approvvigionamento energetico, la telecomunicazione e il settore finanziario e assicurativo avviene su base volontaria tramite il Centro nazionale sulla cibersicurezza (NCSC), aggregato al DFF. Secondo la Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) occorre valutare la possibilità di introdurre un obbligo di notificare i ciberincidenti. Inoltre, con l’adozione del rapporto in adempimento del postulato Graf-Litscher 17.3475 «Obbligo di segnalazione di gravi incidenti legati alla sicurezza delle infrastrutture critiche», il 13 dicembre 2019 il Consiglio federale ha conferito i relativi mandati di verifica.

Con il coinvolgimento delle autorità cantonali e federali competenti nonché del mondo economico, il NCSC ha esaminato l’opportunità di introdurre un obbligo di notifica dei ciberattacchi e quale forma esso potrebbe assumere. L’Ufficio federale della protezione della popolazione (UFPP) ha verificato in che misura debbano essere introdotti o estesi gli obblighi di notifica degli incidenti legati alla perdita della capacità di funzionamento delle infrastrutture critiche e se tali segnalazioni debbano essere trasmesse a un servizio centrale. Nella seduta odierna il Consiglio federale ha preso atto dei risultati degli accertamenti e, su questa base, ha deciso l’ulteriore modo di procedere.

Criteri concernenti l’obbligo di notifica

Il Consiglio federale ha incaricato il DFF di elaborare, entro la fine del 2021, un progetto da porre in consultazione che crei le basi legali per l’introduzione di un obbligo di notifica applicabile alle infrastrutture critiche quando si verificano ciberattacchi e si scoprono falle di sicurezza. La legge designerà un servizio centrale di notifica e criteri uniformi per tutti i settori, al fine di determinare chi deve segnalare quali incidenti ed entro quale periodo di tempo. Le disposizioni concrete concernenti l’obbligo di notifica saranno definite in atti normativi adeguati alla situazione specifica dei settori interessati. Tale obbligo dovrà essere compatibile con gli obblighi di notifica esistenti nei settori e con quelli previsti dal diritto sulla protezione dei dati.

Le segnalazioni ricevute dal servizio centrale e i dati raccolti saranno utilizzati per diffondere allarmi precoci. L’identificazione tempestiva dei metodi di attacco e le allerte permetteranno di rafforzare la sicurezza della Svizzera e valutare meglio la minaccia. I dati relativi alle persone che segnalano un attacco non vengono trasmessi. I dati relativi alle persone che segnalano un attacco non verranno trasmessi.

I dipartimenti, coordinati dall’UFPP, elaboreranno proposte su come stabilire o estendere, nel quadro giuridico esistente, gli obblighi di notifica relativi agli incidenti legati alla perdita della capacità di funzionamento delle infrastrutture critiche.

Link Consiglio Federale svizzero.