Legge sulla sicurezza delle informazioni.
Modifica (Introduzione dell’obbligo di segnalare ciberattacchi a infrastrutture critiche)
In Consiglio nazionale - lunedì 11 settembre 2023
Posizione delle banche cantonali
Le banche cantonali sono in linea di massima favorevoli alla modifica della Legge federale sulla sicurezza delle informazioni presso la Confederazione, ma rilevano due aspetti da adeguare sostanzialmente:
- Le banche cantonali criticano non solo l’introduzione di un obbligo di segnalare i ciberattacchi, ma anche l'ampliamento del progetto alla segnalazione di vulnerabilità. Dal punto di vista delle banche cantonali, tale estensione non presenta alcun vantaggio. Il termine «vulnerabilità» deve essere stralciato in tutto il progetto, fatta eccezione per l’art. 73b cpv. 3 D-LSIn, dove il contesto («venir segnalato») è sensato.
- Le banche cantonali criticano inoltre il fatto che il progetto regolamenta troppe aziende. Le aziende toccate e il numero dei casi ragionevolmente soggetti all’obbligo di segnalare potrebbero essere ridotti se fossero disciplinati soltanto i ciberattacchi che hanno notevoli ripercussioni sulla funzionalità di infrastrutture critiche. Questa proposta corrisponde alla posizione espressa dalla FINMA nella comunicazione sulla vigilanza 5/2020, secondo la quale l’onere derivante dall’obbligo di notifica deve essere orientato agli obiettivi. L’articolo 73d D-LSIn va adeguato di conseguenza.
Spiegazioni in merito all'oggetto
22.073: Oggetto del Consiglio federale.
La Legge sulla sicurezza delle informazioni deve essere completata con l’obbligo di segnalare i ciberattacchi alle infrastrutture critiche. I gestori di infrastrutture critiche sarebbero tenuti a segnalare i ciberincidenti al Centro nazionale per la cibersicurezza (NCSC).
Stato dell'oggetto
Nel dicembre del 2022 il Consiglio federale ha pubblicato il messaggio, in base al quale la Commissione della politica di sicurezza del Consiglio nazionale (CPS-CN) raccomandava al proprio Consiglio di accettare l’obbligo di segnalare e di estenderlo alle vulnerabilità. Il Consiglio nazionale ha seguito la sua Commissione incaricata dell'esame preliminare e nel corso della sessione primaverile 2023 ha approvato l’estensione, respinta dal Consiglio degli Stati. La maggioranza della CPS-CN raccomanda ora, come compromesso, di limitare l’obbligo di segnalare e di escludere da esso gli sviluppi propri delle imprese interessate.