El Centro Nacional de Ciberseguridad de Suiza (NCSC) ha anunciado una nueva norma por la cual las organizaciones de infraestructuras críticas estarán obligadas a informar de ciberataques a la agencia en un período de 24 horas desde su descubrimiento.
Dentro de 'ciberataques' que deben ser puestos en conocimiento del centro se entienden los que ponen en peligro estas infraestructuras, los que implican manipulación, cifrado o exfiltración de datos, los que suponen extorsión, amenazas y coacción, los de malware instalados en los sistemas y los que llevan aparejados un acceso no autorizado.
Este nuevo requerimiento ha sido introducido en respuesta al creciente número de incidentes de ciberseguridad y su impacto en el país, según revela el anuncio del centro.
La obligación se extiende a un amplio número de entidades y sectores que incluyen universidades, autoridades federales, de cantones y municipales, organizaciones con tareas públicas en áreas como la seguridad y el rescate, o el suministro, tratamiento y distribución de agua, los proveedores de energía, las instalaciones nucleares, etc.
También laboratorios médicos, instituciones de salud y tercera edad, agencias de noticias y de medios, servicios postales, compañías de aviación civil, aquellas que proporcionen bienes esenciales a diario a la población civil, proveedores de telecomunicaciones y de cloud computing, fabricantes de hardware o software, operadores y registradores de dominios de Internet, buscadores, data centers, etc.
Cuándo se debe informar
El mandato llega a través de una enmienda a la Ley de Seguridad de la Información (ISA) que entrará en vigor el 1 de abril. Es una modificación de esta regulación del 29 de septiembre de 2023.
La nueva normativa establece que los ciberataques se deben reportar si la funcionalidad de la infraestructura crítica es dañada, hay una manipulación o liberación de información, si permanecen sin ser detectados durante un largo período de tiempo o si implican amenazas o coacción.
Al avisar sobre un ciberincidente las autoridades y organizaciones obligadas a informar tendrán derecho a la asistencia del NCSC en la gestión de incidentes de conformidad con el artículo 74.