O Centro Nacional de Cibersegurança da Suíça (NCSC) anunciou uma nova obrigação de relato para organizações de infraestrutura crítica no país, requerendo que relatem cyberattacks à agência dentro de 24 horas após sua descoberta.
De acordo com o anúncio do NCSC, esse novo requisito é introduzido como resposta ao número crescente de incidentes de cibersegurança e seu impacto no país.
Exemplos de tipos de cyberattacks que terão que ser relatados incluem:
- Cyberattacks que colocam em risco a operação de infraestrutura crítica
- Manipulação, criptografia ou exfiltração de dados
- Extorsão, ameaças e coerção
- Malware instalados em sistemas
- Acesso não autorizado a sistemas
O mandato é introduzido através de uma emenda à Lei de Segurança da Informação (ISA), que entrará em vigor em 1 de abril de 2025.
A lei se aplica a provedores de serviços críticos, como empresas de utilidade pública, governo local e organizações de transporte.
"O Conselho Federal decidiu que a emenda à Lei de Segurança da Informação (ISA) de 29 de setembro de 2023 entrará em vigor em 1 de abril", lê-se no anúncio.
"A ISA estipula que autoridades e organizações sujeitas à obrigação de relatar, como fornecedores de energia e água potável, empresas de transporte e administrações cantonais e comunais, devem reportar cyberattacks ao NCSC dentro de 24 horas após a descoberta."
A lista completa de todos os tipos de entidades que são impactadas por esse novo requisito está publicada aqui.
Um período de leniência será concedido até 1 de outubro de 2025, mas a falta de conformidade após essa data resultará em multas de até 100.000 CHF (114.000 dólares).
Organizações impactadas por um incidente de cibersegurança terão que relatá-lo via um formulário online no site do NCSC ou via email, sem necessidade de registro.
O primeiro relatório deve ser submetido dentro de 24 horas após a descoberta do incidente, e um relatório de acompanhamento com detalhes adicionais será esperado nos próximos 14 dias.
Existem disposições para exceções particulares sob o Art.
74c do ISG, com mais detalhes disponíveis aqui.
A Suíça considera esse novo requisito um marco para a cibersegurança no país, observando que está de acordo com a Diretiva NIS, uma legislação de cibersegurança válida em toda a UE que se aplica a operadores de serviços essenciais e provedores de serviços digitais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...