Kibertámadások bejelentési kötelezettsége
A Svájci Nemzeti Kiberbiztonsági Központ (NCSC) 2025. április 1-jétől új jogszabályt vezet be, amely kötelezővé teszi a kritikus infrastruktúrát üzemeltető szervezetek számára, hogy 24 órán belül jelentsék a kibertámadásokat az illetékes hatóságoknak. Ez az intézkedés a svájci Információbiztonsági Törvény (ISA) módosításának része, amelyet a Svájci Szövetségi Tanács 2025. március 7-én hagyott jóvá. Az új szabályozás célja a kibertámadások gyorsabb felismerése és kezelése, valamint az ország kritikus infrastruktúrájának védelme a növekvő számú fenyegetésekkel szemben.
A Svájci Nemzeti Kiberbiztonsági Központ (NCSC) egy speciális online platformot biztosít az érintett szervezetek számára, ahol a jelentések leadhatók. Azok a szervezetek, amelyek nem rendelkeznek hozzáféréssel ehhez a platformhoz, e-mailben is elküldhetik jelentésüket egy erre kialakított hivatalos űrlapon keresztül.
Ha egy szervezet nem tudja 24 órán belül teljes részletességgel megadni a támadás körülményeit, további 14 nap áll rendelkezésére, hogy minden szükséges információt pótoljon.
A kötelező jelentési kötelezettség minden olyan kibertámadásra vonatkozik, amely:
A kritikus infrastruktúra működését veszélyezteti.
Illetéktelen adathozzáférést, manipulációt vagy kiszivárogtatást eredményez.
Zsarolással, fenyegetéssel vagy kényszerítéssel jár.
Kártékony szoftverek (malware, ransomware) telepítésével jár.
Olyan biztonsági rést használ ki, amely jogosulatlan hozzáférést tesz lehetővé.
Ez az intézkedés összhangban van az Európai Unió NIS irányelvével, amely már 2018 óta kötelezi az uniós országokat a kibertámadások bejelentésére. A svájci kormány célja, hogy az ország kibervédelmi képességei versenyképesek maradjanak, és megfeleljenek a globális biztonsági követelményeknek.
