L’UFCS garantisce che le vulnerabilità a livello di hardware e di software siano comunicate in modo coordinato; al riguardo tiene conto degli standard riconosciuti a livello internazionale.
Fissa al produttore dell’hardware o del software interessato un termine di 90 giorni per eliminare le vulnerabilità.
Può accorciare questo termine se una vulnerabilità:
a. mette a rischio il corretto funzionamento di infrastrutture critiche;
b. concerne sistemi molto diffusi; o
c. è impiegata per un ciberattacco o può essere sfruttata in modo particolarmente semplice per un ciberattacco.
Può prolungare il termine fissato se l’eliminazione della vulnerabilità si rivela particolarmente complessa.
Può già informare i gestori di infrastrutture critiche prima che le vulnerabilità vengano comunicate o eliminate.
Informa immediatamente l’Ufficio federale delle comunicazioni (UFCOM) delle vulnerabilità rilevate negli impianti di telecomunicazione di cui all’articolo 3 lettera d della legge del 30 aprile 1997 sulle telecomunicazioni.
I capoversi 1–4 non si applicano alle vulnerabilità che l’UFCOM constata e segnala all’UFCS nell’ambito dei suoi controlli di vigilanza (art. 36–40 dell’ordinanza del 25 novembre 2015 sugli impianti di telecomunicazione).