Szwajcaria zdecydowała się na wprowadzenie nowych regulacji dotyczących cyberbezpieczeństwa, które mają na celu poprawę ochrony infrastruktury krytycznej w kraju. Nowe przepisy, które zaczęły obowiązywać 1 kwietnia 2023 roku, nakładają na firmy obowiązek informowania o cyberatakach w ściśle określonym czasie.
Nowelizacja Information Security Act
W 2023 roku Szwajcaria przyjęła nowelizację ustawy o bezpieczeństwie informacji (Information Security Act – ISA), która wejdzie w życie 1 kwietnia 2025 roku. Ustawa ta wprowadza nowe obowiązki dla podmiotów infrastruktury krytycznej, takich jak dostawcy energii, wody, transportu oraz administracja komunalna i kantonalna.
Obowiązek zgłaszania cyberataków
Na mocy nowego prawa, każde wystąpienie cyberataku, które zagraża funkcjonowaniu infrastruktury krytycznej, prowadzi do wycieku danych, manipulacji informacjami lub wiąże się z szantażem, groźbą lub przymusem, musi być zgłoszone do Szwajcarskiego Centrum Cyberbezpieczeństwa (NCSC) w ciągu 24 godzin od jego wykrycia. W przypadku niezgłoszenia ataku, operatorzy mogą zostać ukarani grzywną, której wysokość może sięgać do 100 000 CHF, co odpowiada około 460 000 zł.
Przygotowania do nowych obowiązków
Od 1 października 2025 roku kary za nieprzestrzeganie przepisów wejdą w życie, co daje firmom pół roku na przygotowanie się do nowego obowiązku sprawozdawczego. W celu uproszczenia procesu raportowania, stworzono platformę NCSC Cyber Security Hub, która ma służyć do wymiany informacji pomiędzy operatorami infrastruktury krytycznej. Firmy, które nie posiadają konta na tej platformie, mogą zgłaszać cyberataki za pośrednictwem e-maila, korzystając z odpowiedniego formularza dostępnego na stronie Centrum Cyberbezpieczeństwa.
Uproszczenie procesu zgłaszania
Konsultacje dotyczące nowych przepisów ujawniły, że główną obawą podmiotów objętych regulacjami jest złożoność procesu zgłaszania. W odpowiedzi na te obawy wprowadzono scentralizowaną ankietę, która ma na celu szybkie zebranie niezbędnych informacji i ich przekazanie innym organom, takim jak szwajcarski organ nadzoru rynku finansowego czy federalny komisarz ds. ochrony danych.
Cybersecurity Ordinance
Oprócz nowelizacji ISA, władze Szwajcarii wprowadziły także Cybersecurity Ordinance, która również weszła w życie 1 kwietnia 2023 roku. To rozporządzenie zawiera przepisy dotyczące obowiązku sprawozdawczego oraz regulacje dotyczące wyjątków. W dokumencie tym można znaleźć również przepisy dotyczące cyberstrategii Szwajcarii oraz zadań NCSC.
Milowy krok w kierunku cyberbezpieczeństwa
Wprowadzenie wymogu raportowania przez Szwajcarię to niewątpliwie kamień milowy w dziedzinie cyberbezpieczeństwa. Zwiększenie wymiany informacji między różnymi sektorami jest kluczowe w odpowiedzi na szybko zmieniające się zagrożenia w sieci. Szwajcaria podkreśla, że nowe regulacje są zgodne ze standardami międzynarodowymi, w tym z dyrektywą NIS.
Globalne podejście do cyberbezpieczeństwa
Warto zwrócić uwagę, że wiele krajów na świecie również wprowadza podobne wymogi raportowania dla operatorów infrastruktury krytycznej. Obserwacja zmian w podejściu do cyberbezpieczeństwa oraz ochrony infrastruktury krytycznej w różnych regionach może dostarczyć cennych wskazówek. Przemyślane wymagania dotyczące operatorów infrastruktury krytycznej, edukacja oraz rozwój zespołów bezpieczeństwa mogą okazać się kluczowe w zapobieganiu skutkom cyberataków.