De acuerdo con el anuncio del NCSC, los ataques que deberán ser reportados incluyen aquellos que amenazan el funcionamiento de la infraestructura crítica, como la manipulación, el cifrado o la exfiltración de datos; incidentes de extorsión, amenazas y coerciones; la instalación de malware en los sistemas; y accesos no autorizados. Esta obligación se introducirá mediante una enmienda a la Ley de Seguridad de la Información (ISA), cuyo cumplimiento comenzará el 1 de abril de 2025, y se aplicará a proveedores de servicios esenciales, incluyendo servicios públicos, administración local y organizaciones de transporte.
El Consejo Federal de Suiza comunicó que la modificación a la ISA se hizo oficial el 29 de septiembre de 2023, y estipula que las entidades afectadas, como las compañías de energía y agua, así como las autoridades de transporte, tienen la obligación de notificar al NCSC sobre cualquier ataque cibernético en un plazo de 24 horas. Se ha publicado la lista completa de las entidades que estarán sujetas a esta nueva normativa.
A partir de la fecha límite de implementación, se establecerá un periodo de gracia que se extenderá hasta el 1 de octubre de 2025. Sin embargo, las organizaciones que no cumplan con esta directiva después de esa fecha se enfrentarán a sanciones económicas que pueden alcanzar hasta CHF 100,000 (aproximadamente $114,000).
Para facilitar el proceso de notificación, las organizaciones afectadas podrán enviar sus informes a través de un formulario en línea en el sitio web del NCSC o por correo electrónico, sin necesidad de un registro previo. El primer informe debe ser presentado dentro de las 24 horas posteriores al descubrimiento del incidente, y se requiere un informe secundario con información adicional en un plazo de 14 días tras la comunicación inicial. Además, existen disposiciones específicas que permiten excepciones, que están consagradas en el artículo 74c del ISG, proporcionando más detalles a través del mismo canal.
Suiza considera que esta normativa constituye un avance significativo hacia el fortalecimiento de la ciberseguridad en el país, alineándose con la Directiva NIS (Directiva de Seguridad de las Redes y Sistemas de Información), una legislación de ciberseguridad que rige en toda la Unión Europea para proteger a los operadores de servicios esenciales y a los proveedores de servicios digitales.
Este enfoque proactivo se enmarca dentro de un contexto más amplio de innovación en la defensa cibernética. La legislación suiza también busca garantizar que las organizaciones críticas estén mejor preparadas para combatir las crecientes amenazas y garantizar la integridad y disponibilidad de sus servicios esenciales.
Las implicaciones de este nuevo mandato podrían ser significativas, no solo en términos de proteger la infraestructura crítica del país, sino también en la mejora de la colaboración y la comunicación entre el sector privado y las autoridades públicas en materia de ciberseguridad. El cumplimiento efectivo de esta nueva normativa podría resultar en una respuesta más ágil y coordinada a los incidentes de ciberseguridad, fomentando un entorno más seguro para todos los ciudadanos y las organizaciones en Suiza.
En resumen, este nuevo requisito de informar sobre ciberataques representa un paso clave para fortalecer la ciberseguridad en Suiza, enfatizando la necesidad de monitoreo y respuesta rápida a incidentes cibernéticos, y creando un marco más robusto para la gestión de crisis en el ámbito digital.
Enlace de la fuente, haz clic para tener más información