Legge sulla sicurezza delle informazioni: obbligo di notifica dei ciberattacchi
Il settore assicurativo è sorvegliato dallo Stato e deve segnalare i ciberattacchi già sin d’ora. Il coinvolgimento nella legge sulla sicurezza delle informazioni non deve portare a una triplice regolamentazione confusa degli obblighi di notifica.
Nel quadro della prevista revisione della legge sulla sicurezza delle informazioni (LSIn), deve essere introdotto un obbligo di notifica dei ciberattacchi per i gestori di infrastrutture critiche. Questo nuovo obbligo di notifica dovrebbe permettere di individuare tempestivamente i tipi di attacco e di allertare altri gestori.
Con il progresso della digitalizzazione, lo Stato e l’economia sono sempre più confrontati con i ciberattacchi. L’ASA accoglie quindi con favore l’istituzione di un sistema di allerta tempestiva, al quale possono contribuire i relativi obblighi di notifica. Ha quindi anche sostenuto gli obblighi di notifica secondo la legislazione sulla vigilanza dei mercati finanziari, nonché secondo la legge sulla protezione dei dati totalmente rivista. Come fornitore di assicurazioni cyber, anche il settore è interessato alle notifiche di ciberincidenti al fine di comprendere meglio e calcolare il rischio «cyber».
Tuttavia, il coinvolgimento degli assicuratori nella LSIn non deve tradursi in una triplice regolamentazione confusa degli obblighi di notifica. Dovrebbe quindi essere possibile per le compagnie di assicurazione segnalare i ciberattacchi a tutti gli uffici con una sola notifica (approccio one-stop-shop per tutti gli obblighi di notifica).
Inoltre, l’ASA non ritiene sensato che ai sensi della LSIn l’obbligo di notifica sia diffuso applicando disposizioni penali e le rifiuta. Per le aziende colpite, un ciberattacco è una situazione estremamente difficile che non deve essere acuita inutilmente dalla minaccia di una sanzione.