Il Consiglio federale avvia la procedura di consultazione relativa all’ordinanza sulla cibersicurezza

Berna, 22.05.2024 - Nella sua seduta del 22 maggio 2024 il Consiglio federale ha avviato la procedura di consultazione relativa all’ordinanza sulla cibersicurezza. L’ordinanza indica in che modo dovrà essere attuato l’obbligo di segnalare ciberattacchi a infrastrutture critiche, disciplina l’organizzazione per l’attuazione della ciberstrategia nazionale e specifica i compiti del nuovo Ufficio federale della cibersicurezza (UFCS). L’ordinanza stabilisce inoltre quali autorità e imprese sono esentate dall’obbligo di segnalazione. La consultazione si concluderà il 13 settembre 2024.

Il 29 settembre 2023 il Parlamento ha approvato le modifiche della legge sulla sicurezza delle informazioni (LSIn) con le quali è stato introdotto un obbligo di segnalare ciberattacchi a infrastrutture critiche. La LSIn stabilisce quali autorità e organizzazioni in futuro saranno obbligate a segnalare ciberincidenti. Inoltre la legge determina che l’Ufficio federale della cibersicurezza (UFCS) funge da servizio di segnalazione.

Con l’ordinanza sulla cibersicurezza (OCS), il Consiglio federale stabilisce in che modo intende attuare in futuro l’obbligo di segnalazione e quali organi ne saranno esentati. L’ordinanza disciplina il campo d’applicazione dell’obbligo di segnalazione per le autorità e le organizzazioni, definisce i ciberattacchi soggetti all’obbligo di segnalazione e specifica quali contenuti devono essere segnalati. Inoltre, prescrive le procedure per l’adempimento dell’obbligo di segnalazione e stabilisce il termine e la conclusione della segnalazione.

Eccezioni all’obbligo di segnalazione

Le disposizioni relative alle eccezioni all’obbligo di segnalazione costituiscono l’elemento centrale dell’OCS. Sono esentate tutte le autorità e le imprese per le quali un ciberattacco non ha ripercussioni dirette sul funzionamento dell’economia o sul benessere della popolazione. In diversi settori, quali l’approvvigionamento energetico, i trasporti e le autorità, sono stati fissati valori soglia specifici per definire tali eccezioni. Tutte le autorità o le organizzazioni che non raggiungono tali valori soglia non sono soggette all’obbligo di segnalazione. Inoltre, un’eccezione generale è applicata alle imprese che occupano meno di 50 persone e se la loro cifra d’affari annua o il loro totale di bilancio annuo non supera i 10 milioni di franchi, come pure alle autorità responsabili di meno di 1000 abitanti.

Rafforzamento della cibersicurezza della Svizzera

L’OCS disciplina inoltre la gestione strategica della cibersicurezza in Svizzera e stabilisce i compiti, il mandato e la composizione del Comitato direttivo della Ciberstrategia nazionale. Specifica altresì i compiti dell’UFCS e disciplina lo scambio di informazioni tra i gestori di infrastrutture critiche. Attuando l’obbligo di segnalare ciberattacchi, la Svizzera rafforza la propria cibersicurezza ed è più resiliente nei confronti delle ciberminacce.

La consultazione si concluderà il 13 settembre 2024.

Indirizzo cui rivolgere domande

Comunicazione UFCS
+41 58 465 53 56
media@ncsc.admin.ch