L'obbligo di segnalare i ciberattacchi è in vigore dal 1° aprile

Data la crescente minaccia dovuta ai ciberincidenti e per avere una migliore panoramica della situazione relativa alle ciberminacce, il Consiglio federale ha introdotto l’obbligo di segnalare ciberattacchi a infrastrutture critiche a partire dal 1° aprile 2025. I gestori di infrastrutture critiche, compresi i comuni, sono quindi tenuti a segnalare ciberattacchi all’Ufficio federale della cibersicurezza (UFCS) entro le 24 ore successive alla loro individuazione. L’obbligo di segnalazione ha lo scopo di rafforzare la cibersicurezza in Svizzera, consentendo all’UFCS di sostenere gli interessati nel far fronte ai ciberattacchi e di avvisare i gestori di infrastrutture critiche.

L’obbligo di segnalazione si applica alle autorità e alle organizzazioni, come ad esempio nel settore dell’approvvigionamento energetico e idrico, le imprese di trasporto e le amministrazioni cantonali e comunali. Un attacco deve essere segnalato qualora metta a repentaglio la funzionalità dell’infrastruttura critica interessata, causi una manipolazione o una fuga di informazioni oppure sia associato a ricatti, minacce o coazioni.

Modulo di segnalazione dell’UFCS sulla piattaforma esistente
Sulla sua piattaforma esistente l’UFCS mette a disposizione un modulo di segnalazione per lo scambio di informazioni. In alternativa, le organizzazioni che non hanno accesso alla piattaforma possono effettuare segnalazioni anche tramite un modulo da spedire via e-mail, disponibile sul sito web dell’UFCS. Entro le 24 ore successive all’individuazione del ciberattacco occorre effettuare una prima segnalazione. Se non è possibile fornire subito tutte le informazioni necessarie, vige un termine di 14 giorni per completare la segnalazione. Nei primi sei mesi, quindi fino al 1° ottobre 2025, chi omette di effettuare segnalazioni non incorre in sanzioni; al termine di questo periodo transitorio, entreranno in vigore le norme relative alle multe.

Ulteriori informazioni sono disponibili qui.