El Consejo Federal de Suiza ha establecido una nueva obligación de reportar ciberataques que afecten a infraestructuras críticas. Esta medida entrará en vigor el 1 de abril de 2025 y representa un hito importante para la ciberseguridad en el país.

Nueva Obligación de Reporte

Según la decisión tomada el 7 de marzo, los operadores de infraestructuras críticas deberán informar al Centro Nacional de Ciberseguridad (NCSC) sobre cualquier ciberataque dentro de las 24 horas posteriores a su descubrimiento. Esta obligación afecta a:

• Proveedores de energía y agua potable
• Empresas de transporte
• Administraciones cantonales y comunales
• Otras organizaciones consideradas infraestructura crítica

Casos que Requieren Reporte Obligatorio

Un ciberataque deberá ser reportado cuando:

• Amenace el funcionamiento de una infraestructura crítica
• Haya resultado en la manipulación o filtración de información
• Implique chantaje, amenazas o coerción

Implementación Gradual de Sanciones

El Consejo Federal ha decidido implementar la legislación relevante para multas a partir del 1 de octubre, proporcionando a los afectados tiempo suficiente para prepararse. Esto significa que la obligación de reportar se aplicará durante seis meses antes de que el incumplimiento sea sancionable con multas.

Proceso de Reporte Simplificado

Para facilitar el proceso, el formulario de reporte estará disponible en la plataforma Cyber Security Hub del NCSC. Las organizaciones no registradas en esta plataforma podrán enviar informes por correo electrónico utilizando un formulario disponible en el sitio web del NCSC.

Tras el reporte inicial dentro de las 24 horas del descubrimiento del incidente, las organizaciones dispondrán de 14 días para completar su informe.

Ordenanza de Ciberseguridad y Excepciones

El Consejo Federal también ha aprobado la Ordenanza de Ciberseguridad, que entrará en vigor el 1 de abril. Esta ordenanza contiene las disposiciones de implementación para la obligación de informar y regula las excepciones contempladas en el Art. 74c de la Ley de Seguridad de la Información (ISA).

La consulta sobre esta ordenanza, realizada entre mayo y septiembre de 2020, mostró un amplio apoyo para fortalecer la ciberseguridad en Suiza.

Armonización con Otras Obligaciones de Reporte

Una preocupación importante expresada durante la consulta fue que la obligación de informar debería ser fácil de cumplir y estar armonizada con otras obligaciones de reporte, como las obligaciones de protección de datos. Estas inquietudes han sido consideradas.

El formulario de reporte del NCSC permite recopilar la información necesaria rápidamente y, si es necesario, reenviarla a otras autoridades ante las que también existe una obligación de informar, como la Autoridad Supervisora del Mercado Financiero Suizo (FINMA) o el Comisionado Federal de Protección de Datos e Información.

Alineación con Estándares Internacionales

La introducción de este requisito de reporte que incluye múltiples sectores representa un hito para la ciberseguridad en Suiza. Mejorar el intercambio de información es crucial para poder responder a las ciberamenazas en rápida evolución con medidas apropiadas.

Esta iniciativa está en línea con los estándares internacionales. Desde 2018, todos los estados miembros de la UE han estado obligados a reportar incidentes cibernéticos de acuerdo con la Directiva NIS.