Ciberattacchi: per i gestori di infrastrutture critiche vi sarà l’obbligo di notifica

governo

Il Consiglio federale ha posto in consultazione oggi fino al 14 aprile il progetto di legge che introduce le basi legali per l’obbligo di segnalazione - Ogni settimana la Centro nazionale per la cibersicurezza arrivano in media oltre 300 segnalazioni

Ciberattacchi: per i gestori di infrastrutture critiche vi sarà l’obbligo di notifica
© Shutterstock

Ciberattacchi: per i gestori di infrastrutture critiche vi sarà l’obbligo di notifica

© Shutterstock

I gestori di infrastrutture critiche in futuro avranno l’obbligo di notificare i ciberattacchi al Centro nazionale per la cibersicurezza (NCSC). Il Consiglio federale ha posto in consultazione oggi fino al 14 aprile il progetto di legge che introduce le basi legali per l’obbligo di segnalazione.

Ogni settimana giungono al NCSC in media oltre 300 segnalazioni di ciberattacchi, tentati o riusciti. Attualmente le segnalazioni di imprese, autorità e privati avvengono su base volontaria. Il Consiglio federale intende rendere la notifica obbligatoria per i gestori di infrastrutture critiche in modo che il NCSC possa avere un quadro della situazione più chiaro e informare tempestivamente altri gestori.

«Dal momento che gli hacker spesso ricorrono a strategie e modalità simili per sferrare attacchi a svariate infrastrutture critiche operanti in settori diversi, l’obbligo di notifica, permettendo la rapida individuazione dei metodi d’attacco e la diffusione di informazioni a riguardo, potrebbe aumentare notevolmente la cibersicurezza delle infrastrutture critiche», precisa il rapporto esplicativo.

L’obbligo si applicherà ai ciberattacchi che possono arrecare notevoli danni, in particolare a quelli che rischiano di compromettere il funzionamento delle infrastrutture critiche o connessi al reato di estorsione, minaccia o coazione. I ciberattacchi provocati per errore, ad esempio da un’operazione sbagliata di un collaboratore, non sono invece sottoposti all’obbligo. Esentate anche le vulnerabilità riscontrate negli strumenti informatici. Indipendentemente dell’obbligo di notifica, chiunque potrà continuare a segnalare volontariamente ciberincidenti e vulnerabilità, aggiunge il rapporto.

La legge sulla sicurezza delle informazioni (LSIn), oltre ad introdurre l’obbligo di notifica, definisce anche i futuri compiti del NCSC. Il NCSC, che gestisce già oggi un servizio di contatto che raccoglie le segnalazioni volontarie, avrà la funzione di servizio centrale di notifica. Per semplificare la procedura sarà introdotto un modulo elettronico che permetterà, se lo si desidera, di trasmettere la notifica direttamente ad altri servizi.

Il progetto definisce anche i compiti della Confederazione a sostegno dell’economia e della popolazione. Il NCSC dovrà avvertire il pubblico riguardo alle ciberminacce e di sensibilizzarlo sui rischi. Inoltre, dovrà raccogliere le segnalazioni di ciberincidenti e vulnerabilità, elaborare analisi tecniche e fornire raccomandazioni sul modo di procedere a chi notifica. Il NCSC avrà anche il compito di sostenere i gestori di infrastrutture critiche sotto attacco, incluse le autorità cantonali e comunali, con un servizio di pronto intervento, che non sarà in concorrenza con altri servizi disponibili sul mercato.

©CdT.ch - Riproduzione riservata

In questo articolo:

Ultime notizie: Svizzera
  • 1
  • 1