Nella sua seduta del 13 dicembre 2019 il Consiglio federale ha approvato il rapporto sulle varianti per l’attuazione di un obbligo di notifica in caso di gravi incidenti legati alla sicurezza delle infrastrutture critiche. Il rapporto descrive le questioni centrali inerenti all’introduzione dell’obbligo di notifica e indica possibili modelli per la sua attuazione. Sulla base dei risultati di tale rapporto, entro la fine del 2020 il Consiglio federale intende prendere delle decisioni di principio in merito all’introduzione dell’obbligo di notifica.

In Svizzera non vige un obbligo di notifica generale per i ciberincidenti. Lo scambio di informazioni riguardo ai ciberincidenti che interessano le infrastrutture critiche in ambiti quali l’approvvigionamento energetico, la telecomunicazione e il settore finanziario e assicurativo avviene su base volontaria tramite la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI). Considerando la rapida evoluzione dei ciberrischi ci si chiede se questo scambio di informazioni facoltativo sia sufficiente per individuare le minacce in modo tempestivo e trasversale a diversi settori. La Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) ha pertanto stabilito che è necessario valutare la possibilità di introdurre un obbligo di notifica. Inoltre, il Parlamento ha trasmesso un postulato (17.3475 Graf-Litscher) che chiede al Consiglio federale di indicare in che modo può essere introdotto un simile obbligo di notifica per gli incidenti legati alla sicurezza delle infrastrutture critiche.

Varianti per l’attuazione dell’obbligo di notifica

Il rapporto sulle varianti per l’attuazione di un obbligo di notifica in caso di gravi incidenti legati alla sicurezza delle infrastrutture critiche presenta i primi risultati di questa verifica. Il rapporto riassume i risultati dei lavori finora effettuati ed elabora delle varianti per l’introduzione dell’obbligo di notifica basandosi su quello già esistente per gli incidenti legati alla sicurezza, sulle conclusioni tratte dalle interviste con esperti e sulle analisi degli obblighi di notifica vigenti in altri Paesi. Nell’ambito delle possibili varianti è fondamentale chiarire se i ciberincidenti devono essere segnalati a una centrale separata o se è necessario incrementare le centrali d’annuncio in parte già esistenti nei diversi settori. A seconda di questa struttura organizzativa occorre valutare gli incidenti da segnalare, le scadenze applicabili per la notifica, la possibilità di effettuare notifiche anonime e l’opportunità di definire delle sanzioni per le omissioni.

Decisione di principio entro fine 2020

Il Consiglio federale ha incaricato il nuovo Centro nazionale per la cibersicurezza in seno al Dipartimento federale delle finanze (DFF) e l’Ufficio federale della protezione della popolazione (UFPP) di chiarire questi aspetti coinvolgendo le autorità competenti dei Cantoni e della Confederazione nonché dell’economia. Inoltre, va anche esaminata la possibilità di estendere l’obbligo di notifica generale agli incidenti legati alla perdita della capacità di funzionamento delle infrastrutture critiche. Al più tardi entro la fine del 2020 dovrà essere presentato un progetto che permetta al Consiglio federale di prendere le decisioni di principio in merito all’obbligo di notifica delle infrastrutture critiche.

Pubblicità