Szwajcaria wprowadza nowe prawo dotyczące zgłaszania cyberataków

Szwajcaria postanowiła nie zostawać w tyle za innymi państwami, które już wprowadziły lub wprowadzają właśnie nowe regulacje dotyczące cyberbezpieczeństwa. 1 kwietnia na szwajcarskie firmy został nałożony nowy obowiązek informowania o cyberatakach w konkretnym czasie od wykrycia zdarzenia. 

W Szwajcarii w 2023 roku przyjęto nowelizację Information Security Act (ISA), która weszła w życie 1 kwietnia 2025 roku. Nakłada ona na podmioty infrastruktury krytycznej obowiązek informowania o wystąpieniu cyberataku NCSC (National Cyber Security Centre – Szwajcarskie Centrum Cyberbezpieczeństwa) w ciągu 24 godzin od wykrycia. Mowa tu m.in. o firmach z takich sektorów jak dostawcy energii, wody, transport, administracja komunalna i kantonalna.

O ataku należy powiadomić NCSC, jeśli zagraża on funkcjonowaniu infrastruktury krytycznej, spowodował wyciek danych lub manipulację informacji lub wiąże się z szantażem, groźbą lub przymusem. Nowy akt prawny zakłada, że operatorzy, którzy takiego ataku nie zgłoszą, zostaną ukarani karą grzywny. Niemniej kara grzywny nie obowiązuje od 1 kwietnia, a od 1 października. Pół roku to czas, w którym podmioty infrastruktury krytycznej mogą przygotować się do nowego obowiązku sprawozdawczego. Potem kary za nieprzestrzeganie przepisów mogą skutkować grzywnami w wysokości do 100 000 CHF (czyli około 460 000 zł). 

W zamyśle raportowanie ma być proste, dlatego przygotowano specjalną platformę – NCSC Cyber Security Hub, która już służy do wymiany informacji z operatorami infrastruktury krytycznej. Firmy, które nie mają konta na platformie wciąż mogą zgłosić raport poprzez e-mail, używając odpowiedniego formularza na stronie Centrum Cyberbezpieczeństwa. Na zgłoszenie są co prawda wspomniane 24 godziny od wykrycia, jednak później operatorzy mają jeszcze 14 dni na skończenie raportu i podanie wszystkich niezbędnych informacji. 

Konsultacje w sprawie rozporządzenia wykazały, że główną obawą podmiotów, których dotyczą nowe przepisy, jest to żeby sposób zgłaszania, był możliwie uproszczony. Dlatego zdecydowano się na scentralizowaną ankietę udostępnioną przez Centrum Cybebezpieczeństwa, która ma umożliwić szybkie zebranie niezbędnych informacji i przekazanie ich innym organom jak np. szwajcarski organ nadzoru rynku finansowego czy federalny komisarz ds. ochrony danych i informacji. 

Oprócz wspomnianego ISA, władze uchwaliły również Cybersecurity Ordinance – ten akt również wszedł w życie 1 kwietnia br. To rozporządzenie zawiera przepisy dotyczące obowiązku sprawozdawczego i reguluje wyjątki. Ponadto znaleźć w nim można przepisy dotyczące cyber-strategii Szwajcarii, zadań NCSC i wymiany informacji pomiędzy NCSC a innymi organami i organizacjami. 

To wprowadzenie wymogu raportowania Szwajcaria nazywa kamieniem milowym:

The introduction of a reporting requirement that includes multiple sectors is a milestone for cybersecurity in Switzerland. Improving the exchange of information is crucial in order to be able to respond to rapidly evolving cyberthreats with appropriate measures.

Szwajcaria zwraca uwagę, że nowe regulacje są zgodne ze standardami międzynarodowymi, przywołują m.in. dyrektywę NIS. Należy tu wspomnieć, że inne kraje na świecie również wdrażają podobny wymóg raportowania dla operatorów infrastruktury krytycznej: 

• Australia – Australian Cyber Security Centre wymaga od organizacji, które dowiedziały się o wystąpieniu incydentu cyberbezpieczeństwa, mającego znaczący wpływ na dostępność zasobów, aby zgłosiły go do ACSC w ciągu 12 godzin od wykrycia
• kraje Unii Europejskiej – dyrektywa NIS2 wdraża wieloetapowe podejście do zgłaszania incydentów
• Japonia – wymogi dotyczące zgłaszania incydentów cyberbezpieczeństwa różnią się w zależności od sektora, ponadto 7 lutego 2025 roku japoński rząd zatwierdził ustawę o cyberbezpieczeństwie, która wprowadza obowiązek raportowania dla operatorów infrastruktury krytycznej, ustawa została przedłożona sejmowi, 
• Singapur – ustanowiono kompleksowe wymogi dotyczące raportowania w zakresie cyberbezpieczeństwa, ustanawiając kilka ram prawnych i koncentrując się głównie na ochronie infrastruktury krytycznej i powiadamianiu o naruszeniach danych,
• Korea Południowa – od 14 sierpnia 2024 roku Korea Południowa zmieniła swoje prawo, aby zobowiązać dostawców usług do zgłaszania incydentów cyberbezpieczeństwa w ciągu 24 godzin od wykrycia i przesyłania dodatkowych raportów w ciągu 24 godzin od potwierdzenia kolejnych szczegółów
• Wielka Brytania – Wielka Brytania opracowuje właśnie zmiany w swoim systemie cyberbezpieczeństwa, wkrótce ma zostać przedstawiona w parlamencie nowa ustawa, która uaktualni kwestie ochrony infrastruktury krytycznej i zgłaszania incydentów.

Warto poświęcić chwilę i obserwować zmiany w zakresie podejścia do cyberbezpieczeństwa oraz ochrony infrastruktury krytycznej na świecie. Z naszej perspektywy – cieszy fakt, że najważniejsze sektory rozpatrują poważnie cyberzagrożenia. Przemyślane wymagania względem operatorów infrastruktury krytycznej, edukacja i rozwój zespołów bezpieczeństwa oraz sensowne narzędzia pozwalające na wdrożenie organów państwowych w obsługę incydentów mogą być kluczowe do powstrzymania daleko idących skutków ataków. I chociaż chcielibyśmy się nie przekonywać o skuteczności wprowadzanych regulacji, to obecne trendy raczej wskazują na nadchodzące sprawdziany w tej materii.

~Black Hat Logan