Ciberattacchi, obbligo di segnalazione dal 1° aprile 2025

Post del: 10.03.2025

Il Consiglio federale ha ufficializzato l’entrata in vigore, a partire dal 1° aprile 2025, dell’obbligo di segnalazione dei ciberattacchi per i gestori di infrastrutture critiche. L’obiettivo di questa misura è rafforzare la cibersicurezza in Svizzera e migliorare la risposta coordinata agli attacchi informatici.

Ciberattacchi | Obbligo di segnalazione e tempistiche

Secondo la nuova regolamentazione, i gestori di infrastrutture critiche sono tenuti a segnalare ogni ciberattacco all’Ufficio federale della cibersicurezza (UFCS) entro 24 ore dalla sua individuazione. Questo obbligo si applica a settori fondamentali come l’approvvigionamento energetico e idrico, i trasporti e le amministrazioni cantonali e comunali.

La segnalazione tempestiva consentirà all’UFCS di supportare le organizzazioni colpite e di avvisare altri operatori di infrastrutture critiche. Un ciberattacco deve essere segnalato se:

• Minaccia il funzionamento dell’infrastruttura critica interessata;
• Ha comportato una fuga o manipolazione di dati;
• È legato a reati di estorsione, minaccia o coazione.

In caso di mancata segnalazione, la legge prevede multe, che entreranno in vigore dal 1° ottobre 2025. Nei primi sei mesi, pur essendo obbligatorio segnalare gli attacchi, non sono previste sanzioni per eventuali omissioni.

Ciberattacchi | Modulo di segnalazione e procedure semplificate

Per agevolare le organizzazioni, l’UFCS ha predisposto un modulo di segnalazione online sulla propria piattaforma esistente. In alternativa, le segnalazioni potranno essere inviate anche via e-mail tramite un modulo scaricabile dal sito ufficiale dell’UFCS.

Se entro le prime 24 ore non è possibile fornire tutte le informazioni necessarie, la segnalazione potrà essere completata entro 14 giorni.

L’ordinanza sulla cibersicurezza e le eccezioni

Contestualmente, il Consiglio federale ha approvato e posto in vigore, sempre dal 1° aprile 2025, l’ordinanza sulla cibersicurezza (OCS), che disciplina gli aspetti esecutivi dell’obbligo di segnalazione, incluse eventuali eccezioni previste dall’articolo 74c della legge sulla sicurezza delle informazioni (LSIn).

L’ordinanza stabilisce anche modalità di coordinamento con altri obblighi di segnalazione, ad esempio in materia di protezione dei dati, permettendo alle organizzazioni di inoltrare le informazioni alle autorità competenti con un’unica procedura.

Una pietra miliare per la cibersicurezza in Svizzera

L’introduzione dell’obbligo di segnalazione dei ciberattacchi rappresenta un passo cruciale per la sicurezza digitale della Svizzera, allineandosi agli standard internazionali. Già dal 2018, i Paesi membri dell’UE hanno adottato un obbligo analogo per gli incidenti informatici secondo la direttiva NIS.

Consolidare lo scambio di informazioni tra le infrastrutture critiche sarà essenziale per affrontare le crescenti minacce informatiche e migliorare la resilienza del sistema digitale svizzero.