(19.03.2025) Dal 1° aprile 2025, i gestori di infrastrutture critiche sono tenuti a segnalare ogni ciberattacco all’Ufficio federale della cibersicurezza (UFCS) entro le 24 ore successive alla loro individuazione.
L’obiettivo delle segnalazioni è di consentire all’UFCS (ex Centro nazionale per la cibersicurezza, NCSC) di fornire un migliore supporto alle imprese vittime di ciberattacchi. L’infrastruttura critica comprende nove settori di attività: autorità, energia, smaltimento, finanze, sanità, informazione e comunicazione, alimentazione, sicurezza pubblica e trasporti.
È disponibile un modulo online per la segnalazione degli incidenti all’UFCS. Per accedervi, le imprese devono registrarsi al Cyber Security Hub. Le organizzazioni che non desiderano iscriversi alla piattaforma possono inoltrare la propria notifica di incidente via e-mail all’indirizzo notification@ncsc.ch.
Se non è possibile fornire tutte le informazioni relative al ciberattacco entro 24 ore, vige un termine di 14 giorni per completare la segnalazione. Affinché le imprese abbiano tempo a sufficienza per adeguarsi, le inadempienze non vengono sanzionate nel corso dei primi sei mesi. Tuttavia, dal 1° ottobre 2025, i trasgressori dell’obbligo di segnalazione sono passibili di multa.
Ciononostante, alcune imprese del settore sono esentate dall’obbligo di segnalazione. Questo vale per le società con meno di 50 dipendenti e con un fatturato annuo o un bilancio annuale inferiore a 10 milioni di franchi nel settore dell’infrastruttura critica.
Tuttavia, anche le imprese non soggette all’obbligo di segnalazione sono invitate a informare le autorità a titolo volontario attraverso il modulo di segnalazione, contribuendo così alla sicurezza informatica complessiva.
Ultima modifica 19.03.2025
