Legge sulla sicurezza delle informazioni. Modifica (Introduzione dell’obbligo di segnalare ciberattacchi a infrastrutture critiche)
22.073 · Oggetto del Consiglio federale · 2022-12-02
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Zusammenfassung
Messaggio del 2 dicembre 2022 concernente la modifica della legge sulla sicurezza delle informazioni (Introduzione dell’obbligo di segnalare ciberattacchi a infrastrutture critiche)
Ausgangslage
Comunicato stampa del Consiglio federale del 02.12.2022
Il Consiglio federale trasmette al Parlamento il messaggio concernente l'introduzione dell'obbligo di segnalare ciberattacchi a infrastrutture critiche
Il Consiglio federale intende introdurre l'obbligo di segnalare ciberattacchi a infrastrutture critiche. Nella seduta del 2 dicembre 2022 ha quindi approvato il messaggio concernente la modifica della legge sulla sicurezza delle informazioni e lo ha licenziato all'attenzione del Parlamento. Il progetto pone le basi legali necessarie affinché i gestori di infrastrutture critiche siano assoggettati all'obbligo di segnalare e definisce i compiti del Centro nazionale per la cibersicurezza (NCSC), designato come servizio centrale di segnalazione di ciberattacchi.
I ciberattacchi riusciti possono avere gravi ripercussioni sulla disponibilità e sulla sicurezza dell'economia svizzera. La popolazione, le autorità e le imprese sono esposte quotidianamente al rischio di un ciberattacco. Oggi manca una panoramica che consenta di determinare quali attacchi sono stati sferrati e dove, poiché le segnalazioni all'NCSC vengono effettuate soltanto su base volontaria. L'introduzione dell'obbligo di segnalare consentirà all'NCSC di ottenere una panoramica dei ciberattacchi perpetrati in Svizzera e delle modalità operative degli hacker. Ciò garantirà una migliore valutazione della situazione di minaccia e i gestori di infrastrutture critiche potranno essere avvertiti tempestivamente. Con l'obbligo di segnalare, l'Esecutivo intende garantire che tutti i gestori di infrastrutture critiche partecipino allo scambio di informazioni e contribuiscano così al servizio di preallerta informativa.
Procedura di consultazione: ampi consensi sull'obbligo di segnalare
Nella seduta del 2 dicembre 2022 il Consiglio federale ha inoltre preso atto del risultato della procedura di consultazione sul disegno di legge. Sono pervenuti complessivamente 99 pareri, formulati da Cantoni, gestori di infrastrutture critiche e rappresentanti della ricerca e dell'economia. Nella consultazione il progetto ha raccolto ampi consensi. L'introduzione dell'obbligo di segnalare e la creazione dell'NCSC quale servizio nazionale di segnalazione sono considerate un passo essenziale per migliorare la cibersicurezza della Svizzera. Un'altra importante richiesta menzionata nella consultazione riguarda l'obbligo di segnalare, che si auspica sia attuato nel modo più semplice possibile e senza oneri supplementari significativi.
Sostegno da parte dell'NCSC in caso di ciberattacchi
Affinché la segnalazione possa essere redatta nel modo più facile possibile, l'NCSC metterà a disposizione un modulo elettronico. Questo consente di registrare rapidamente le segnalazioni e, su richiesta, di trasmetterle subito ad altri servizi. Il progetto di legge obbliga sia le imprese a collaborare per proteggersi dai ciberattacchi, sia l'NCSC a fornire un sostegno sussidiario alle persone che hanno effettuato una segnalazione a seguito di un ciberattacco. La legge definisce anche il modo in cui l'NCSC sostiene l'economia e la popolazione nella protezione dalle ciberminacce. A tal fine, essa disciplina in particolare la funzione dell'NCSC quale servizio di contatto per le questioni legate alle ciberminacce e quale servizio centrale per segnalare vulnerabilità.
Verhandlungen
Notizia ATS
Dibattito al Consiglio nazionale, 16.03.2023
Obbligo di segnalare i ciberattacchi gravi
I ciberattacchi gravi a infrastrutture critiche vanno obbligatoriamente segnalati. Lo pensa il Consiglio nazionale, che oggi, per 132 voti a 55, ha approvato una modifica in questo senso della legge sulla sicurezza delle informazioni (LSIn). L'oggetto passa agli Stati.
Attualmente può essere difficile stilare una panoramica delle intrusioni informatiche sferrate perché le notifiche vengono effettuate su base volontaria, un sistema che, visto l'intensificarsi di tale minaccia, ora si vuole cambiare.
"L'obbligo di segnalazione varrà comunque solo nel caso di conseguenze serie, come la messa in pericolo del funzionamento dell'infrastruttura colpita", ha spiegato il relatore commissionale François Pointet (PVL/VD). La revisione sancisce anche i compiti del Centro nazionale per la cibersicurezza (NCSC), creato nel 2019. In particolare, dovrà funzionare come servizio centrale a cui segnalare gli attacchi degli hacker.
Nelle intenzioni, questa modifica di legge consentirà all'NCSC di farsi un miglior quadro generale dei ciberattacchi perpetrati in Svizzera e delle modalità operative dei pirati informatici. Ciò garantirà una migliore valutazione della situazione di pericolo e i gestori di infrastrutture critiche potranno essere avvertiti tempestivamente.
L'idea inoltre è che, grazie a tale novità, le organizzazioni vittime degli hacker saranno meno tentate a non denunciarli e a risolvere il problema pagando un riscatto. "La sfida è che questi criminali continuano a cambiare modo di agire: serve quindi essere informati rapidamente", ha detto la consigliera federale Viola Amherd.
Il Nazionale non si è limitato ad accettare il disegno governativo, ma si è spinto oltre il progetto originale. Ha infatti introdotto anche l'obbligo di notificare le vulnerabilità dei sistemi informatici.
Contro la revisione si è espressa l'UDC, ma non per ragioni di principio. I deputati democentristi erano d'accordo sul fondo della questione, tuttavia non hanno digerito la possibilità di multare fino a 100'000 franchi chi non rispetta l'obbligo di segnalazione.
"Si tratta di uno stimolo negativo che va contro l'auspicata collaborazione fra le parti", ha dichiarato David Zuberbühler (UDC/AR). "Chi è stato colpito non ha fatto niente di male, è una vittima, non il responsabile", ha cercato di convincere il plenum l'appenzellese. "Una sanzione impedisce che l'obbligo resti teorico", ha ribattuto Amherd. Il Nazionale ha seguito la ministra per 130 voti a 55.
Un'altra minoranza UDC che voleva estendere la scadenza per la segnalazione da 24 a 72 ore considerando il termine di un giorno troppo limitante è stata respinta per 129 voti a 52. "Non c'è bisogno di dare più tempo, basta un avviso, non serve mica un dottorato", ha replicato commentando questa proposta Gerhard Andrey (Verdi/FR).
Notizia ATS
Dibattito al Consiglio degli Stati, 01.06.2023
Ciberattacchi, si va verso obbligo di segnalazione
La Svizzera deve rafforzare la propria resistenza ai ciberattacchi. Seguendo il Consiglio nazionale, stamane anche gli Stati hanno approvato all'unanimità l'obbligo di segnalare le intrusioni contro le infrastrutture critiche. Tuttavia, tale obbligo non deve includere le vulnerabilità dei sistemi informatici. Il dossier ritorna alla Camera del popolo.
Gli attacchi informatici sono diventati una delle principali minacce alla sicurezza e all'economia della Svizzera. Tra il 2020 e il 2022, il loro numero è triplicato, passando da quasi 11 mila a oltre 34 mila. Simili episodi colpiscono sia le aziende che le amministrazioni pubbliche.
Attualmente manca una visione d'insieme del problema, poiché le segnalazioni al Centro nazionale per la sicurezza informatica (NCSC) avvengono su base volontaria. L'obbligo di segnalazione dovrebbe consentire di individuare rapidamente i nuovi modi di operare, ha dichiarato in aula la consigliera federale Viola Amherd. "L'obiettivo è rafforzare lo scambio di informazioni", ha spiegato la "ministra" della difesa.
La segnalazione sarà obbligatoria se un attacco informatico mette a repentaglio il funzionamento dell'infrastruttura critica colpita. Il Consiglio nazionale ha esteso l'obbligo di segnalazione anche alle vulnerabilità delle apparecchiature informatiche. Ma su questo aspetto del progetto di modifica legislativa il Consiglio degli Stati ha preferito fare dietrofront. A nome della commissione, Hans Wicki (PLR/NW) ha giudicato tale disposizione non sufficientemente precisa e assai burocratica.
Il NCSC, istituito nel 2019, dovrà funzionare come sportello unico per le segnalazioni. Per semplificare al massimo, i soggetti coinvolti dovranno compilare un modulo elettronico. Inoltre, il NCSC dovrà offrire una valutazione tecnica e fornire un supporto sussidiario nella gestione dell'attacco. Se un operatore viola l'obbligo di segnalazione, sarà passibile di una multa fino a 100 mila franchi. Questa disposizione dovrebbe applicarsi solo se il soggetto attaccato si rifiuta attivamente di segnalare un grave problema.
Per garantire un allarme tempestivo, la segnalazione dovrà essere effettuata entro 24 ore dal rilevamento dell'attacco informatico o della vulnerabilità digitale, ha dichiarato Andrea Gmür-Schönenberger (Centro/LU).
Il ventaglio delle aree di attività soggette all'obbligo è assai ampio. Per infrastrutture critiche, il progetto elenca autorità, ospedali, aziende energetiche, università, organizzazioni con compiti pubblici (servizi di soccorso, trattamento delle acque), banche e compagnie di assicurazione.
Sono inclusi anche i servizi informatici e di telecomunicazione, la SSR e le agenzie di stampa, i fornitori di medicinali, i servizi postali e i trasporti pubblici, l'aviazione, l'approvvigionamento alimentare, i registri dei domini Internet, i servizi digitali e le aziende informatiche.
Notizia ATS
Dibattito al Consiglio nazionale, 11.09.2023
Cibersicurezza, obbligo segnalazione va esteso
La Svizzera deve rafforzare la propria resistenza ai ciberattacchi. Le due Camere del parlamento sono d'accordo su questo principio, ma non hanno ancora trovato un'intesa in merito all'obbligo di segnalazione. Oggi il Nazionale ha ribadito - con 102 voti a 80 - la volontà che si annuncino non solo gli attacchi a infrastrutture sensibili, ma anche le vulnerabilità delle apparecchiature informatiche. Il dossier torna agli Stati.
La Camera del popolo ha comunque compiuto un passo nella direzione di quella dei cantoni, proponendo quale compromesso di escludere dall'obbligo le vulnerabilità dovute agli sviluppi interni delle imprese interessate.
La sicurezza informatica riguarda tutti, ha fatto notare Fabien Fivaz (Verdi/NE). Alle sue parole si sono aggiunte quelle di Ida Glanzmann-Hunkeler (Centro/LU), per la quale questo sforzo aggiuntivo è giustificato dalla volontà di migliorare la sicurezza. Non si tratta di un aumento sconsiderato dei costi, ha da parte sua rilevato François Pointet (PVL/VD) a nome della commissione.
Per Doris Fiala (PLR/ZH) le misure previste sono invece sufficienti, mentre David Zuberbühler (UDC/AR) ha criticato quello che ai suoi occhi è un eccessivo onere amministrativo per le aziende e lo Stato. La consigliera Viola Amherd ha tentato invano di combattere la proposta, affermando che non è chiaramente definita e non apporta un valore aggiunto sufficiente.
Gli attacchi informatici sono diventati una delle principali minacce alla sicurezza e all'economia della Svizzera. Tra il 2020 e il 2022, il loro numero è triplicato, passando da quasi 11 mila a oltre 34 mila. Simili episodi colpiscono sia le aziende che le amministrazioni pubbliche.
Attualmente manca una visione d'insieme del problema, poiché le segnalazioni al Centro nazionale per la sicurezza informatica (NCSC) avvengono su base volontaria. Con le nuove norme, il NCSC, istituito nel 2019, dovrà funzionare come sportello unico per le segnalazioni.
Inoltre, il NCSC dovrà offrire una valutazione tecnica e fornire un supporto sussidiario nella gestione dell'attacco. Se un operatore viola l'obbligo di segnalazione, sarà passibile di una multa fino a 100 mila franchi. Questa disposizione dovrebbe applicarsi solo se il soggetto attaccato si rifiuta attivamente di segnalare un grave problema.
Per garantire un allarme tempestivo, la segnalazione dovrà essere effettuata entro 24 ore dal rilevamento dell'attacco informatico o della vulnerabilità digitale. Il ventaglio delle aree di attività soggette all'obbligo è assai ampio: autorità, ospedali, aziende energetiche, università, organizzazioni con compiti pubblici (servizi di soccorso, trattamento delle acque), banche e compagnie di assicurazione.
Sono inclusi anche i servizi informatici e di telecomunicazione, la SSR e le agenzie di stampa, i fornitori di medicinali, i servizi postali e i trasporti pubblici, l'aviazione, l'approvvigionamento alimentare, i registri dei domini Internet, i servizi digitali e le aziende informatiche.
Notizia ATS
Dibattito al Consiglio degli Stati, 19.09.2023
Sicurezza dati informatici, ci vuole base legale
È necessario migliorare la sicurezza dei principali dati digitali delle autorità mediante una base legale ad hoc. Lo chiede una mozione approvata oggi tacitamente dal Consiglio nazionale e trasmessa così al Consiglio federale.
Il disegno di legge stabilirà i criteri per determinare quali dati in possesso di quali autorità (federali, cantonali e comunali) e quali operatori di infrastrutture critiche debbano beneficiare di una speciale protezione digitale.
Verranno anche stabiliti degli standard per la gestione della sicurezza di queste informazioni. Per quanto possibile, le infrastrutture di archiviazione saranno progettate da aziende svizzere, in collaborazione con le università del Paese.
Notizia ATS
Dibattito al Consiglio nazionale, 21.09.2023
CN: ciberattacchi, legge pronta per votazioni finali
L'obbligo di segnalare le intrusioni contro le infrastrutture informatiche critiche non concernerà le vulnerabilità dei sistemi. Lo ha deciso oggi il Consiglio nazionale con 98 voti contro 54, allineandosi su questo punto alle richieste degli Stati. Il dossier è pronto per le votazioni finali.
Nelle passate sedute, i due rami del Parlamento si sono già detti d'accordo sul fatto che la Svizzera debba rafforzare la propria resistenza ai ciberattacchi. Quest'ultimi sono diventati una delle principali minacce alla sicurezza e all'economia della Svizzera. Tra il 2020 e il 2022, il loro numero è triplicato, passando da quasi 11 mila a oltre 34 mila. Simili episodi colpiscono sia le aziende che le amministrazioni pubbliche.
Attualmente manca una visione d'insieme del problema, poiché le segnalazioni al Centro nazionale per la sicurezza informatica (NCSC) avvengono su base volontaria. L'obbligo di segnalazione dovrebbe consentire di individuare rapidamente i nuovi modi di operare.
La segnalazione sarà obbligatoria se un attacco informatico mette a repentaglio il funzionamento dell'infrastruttura critica colpita. Il NCSC, istituito nel 2019, dovrà funzionare come sportello unico per le segnalazioni. Per semplificare al massimo, i soggetti coinvolti dovranno compilare un modulo elettronico. Inoltre, il NCSC dovrà offrire una valutazione tecnica e fornire un supporto sussidiario nella gestione dell'attacco.
Il ventaglio delle aree di attività soggette all'obbligo è assai ampio. Per infrastrutture critiche, il progetto elenca autorità, ospedali, aziende energetiche, università, organizzazioni con compiti pubblici (servizi di soccorso, trattamento delle acque), banche e compagnie di assicurazione.
Sono inclusi anche i servizi informatici e di telecomunicazione, la SSR e le agenzie di stampa, i fornitori di medicinali, i servizi postali e i trasporti pubblici, l'aviazione, l'approvvigionamento alimentare, i registri dei domini Internet, i servizi digitali e le aziende informatiche.