瑞士关键行业面临新的 24 小时网络攻击报告规则

瑞士国家网络安全中心 (NCSC) 宣布了该国关键基础设施组织的一项新的报告义务，要求他们在发现网络攻击后 24 小时内向该机构报告。

根据NCSC的公告，这一新要求是为了应对日益增多的网络安全事件及其对国家的影响而出台的。

需要报告的网络攻击类型包括：

• 危及关键基础设施运行的网络攻击

• 操纵、加密或泄露数据

• 敲诈勒索、威胁和胁迫

• 系统上安装的恶意软件

• 未经授权访问系统

该规定是通过《信息安全法》（ISA）的修正案提出的，将于 2025 年 4 月 1 日生效。该法律适用于公用事业、地方政府和交通运输组织等关键服务提供商。

公告称：“联邦委员会决定，2023 年 9 月 29 日《信息安全法》（ISA）的修正案将于 4 月 1 日生效。”

“《内部安全法》规定，有报告义务的机构和组织，例如能源和饮用水供应商、运输公司以及州和社区管理部门，必须在发现网络攻击后的 24 小时内向 NCSC 报告。”

受此新要求影响的所有实体类型的完整列表均 在此处发布。宽大处理期将持续到 2025 年 10 月 1 日，但在此日期之后不遵守规定将被处以最高 100,000 瑞士法郎（114,000 美元）的罚款。

受到网络安全事件影响的组织必须通过 NCSC 网站上的在线表格或电子邮件进行报告，无需注册。

第一份报告必须在事件发现后的 24 小时内提交，并且预计在接下来的 14 天内提交包含更多详细信息的后续报告。

ISG 第 74c 条规定了特殊例外情况，更多详情请点击此处。

瑞士称这一新要求是该国网络安全的一个里程碑，并指出该要求符合NIS指令，这是一项适用于基本服务运营商和数字服务提供商的欧盟范围的网络安全法规。

来源：https://www.bleepingcomputer.com/news/security/swiss-critical-sector-faces-new-24-hour-cyberattack-reporting-rule/