Aquesta mesura es deu a l’ingent nombre d’incidents de ciberseguretat que viu el país a les seves infraestructures crítiques.

El Centre Nacional de Ciberseguretat de Suïssa (NCSC) ha anunciat una nova norma per la qual les organitzacions d’infraestructures crítiques estaran obligades a informar de ciberatacs a l’agència en un període de 24 hores des del seu descobriment.

Entre els ciberatacs que han de ser posats en coneixement del centre hi ha els que posen en perill aquestes infraestructures, els que impliquen manipulació, xifratge o exfiltració de dades, els que suposen extorsió, amenaces i coacció, els de codi maliciós instal·lat en els sistemes i els que porten aparellats un accés no autoritzat. 

Aquest nou requeriment ha estat introduït en resposta al nombre creixent d’incidents de ciberseguretat i el seu impacte al país, segons revela el comunicat del centre.

L’obligació s’estén a un ampli nombre d’entitats i sectors que inclouen universitats, autoritats federals, de cantons i municipals, organitzacions amb tasques públiques en àrees com ara la seguretat i el rescat, o el subministrament, el tractament i la distribució d’aigua, els proveïdors d’energia, les instal·lacions nuclears, etc. 

També laboratoris mèdics, institucions de salut i gent gran, agències de notícies i de mitjans, serveis postals, companyies d’aviació civil, aquelles que proporcionin béns essencials diàriament a la població civil, proveïdors de telecomunicacions i de cloud computing, fabricants de maquinari o programari, operadors i registradors de dominis d’Internet, cercadors, data centers, etc. 

Quan cal informar

El mandat arriba a través d’una esmena a la Llei de Seguretat de la Informació (ISA) que entrarà en vigor l’1 d’abril. És una modificació d’aquesta regulació del 29 de setembre del 2023. 

La nova normativa estableix que els ciberatacs s’han d’informar si la funcionalitat de la infraestructura crítica queda malmesa, hi ha una manipulació o alliberament d’informació, si es mantenen sense ser detectats durant un llarg període de temps o si impliquen amenaces o coaccions. 

En avisar sobre un ciberincident les autoritats i les organitzacions obligades a informar tenen dret a l’assistència de l’NCSC en la gestió d’incidents de conformitat amb l’article 74.