2025年3月10日,
瑞士国家网络安全中心 (NCSC) 宣布了该国关键基础设施组织的一项新的报告义务,要求他们在发现网络攻击后 24 小时内向该机构报告
。
根据NCSC的公告,这一新要求是为了应对日益增多的网络安全事件及其对国家的影响而出台的。
需要报告的网络攻击类型包括:
-
必须报告的网络攻击类型包括:
-
危及关键基础设施运营的网络攻击;
-
数据篡改、加密或窃取;
-
勒索、威胁和胁迫行为;
-
在系统中安装恶意软件;
-
未授权访问系统。
该规定是通过《信息安全法》(ISA)的修正案提出的,将于2025年4月1日生效。该法律适用于公用事业、地方政府和交通运输组织等关键服务提供商。
公告指出:“联邦委员会已决定,《信息安全法》修订案(2023年9月29日)将于2025年4月1日正式生效。”“根据《信息安全法》,能源和饮用水供应商、交通运输公司、州和市政管理机构等受报告义务约束的组织,必须在发现网络攻击后24小时内向NCSC报告。”
该规定设有过渡期,至2025年10月1日结束。此后,未遵守规定的组织将面临最高10万瑞士法郎的罚款。
受网络安全事件影响的组织需通过NCSC网站上的在线表单或电子邮件提交报告,无需注册。
第一份报告需在事件发现后24小时内提交,后续补充报告需在接下来的14天内提供详细信息。
《信息安全法》第74c条款规定了特定例外情况。
瑞士政府表示,新规是国家网络安全的一项里程碑,并符合欧盟《网络与信息安全指令》(NIS指令)的要求,该指令适用于关键服务运营商和数字服务提供商。
