2025 年 3 月 7 日 - 联邦委员会在 3 月 7 日的会议上提出了对关键基础设施网络攻击的报告义务,该义务将于 4 月 1 日生效。关键基础设施的运营商必须在发现网络攻击后 24 小时内向国家网络安全中心 (NCSC) 报告。这些报告将使 NCSC 能够协助网络攻击的受害者并提醒关键基础设施的运营商。
鉴于网络攻击威胁日益严重,瑞士正在引入对关键基础设施网络攻击的报告义务。关键基础设施的运营商必须向国家网络安全中心 (NCSC) 报告攻击事件。
联邦委员会决定,2023 年 9 月 29 日《信息安全法》(ISA)修正案将于 4 月 1 日生效。ISA 规定,受报告义务约束的当局和组织,例如能源和饮用水供应商、运输公司以及州和社区管理机构,必须在发现网络攻击后 24 小时内向 NCSC 报告。
必须报告网络攻击的情况包括威胁关键基础设施的运作、导致信息被操纵或泄露,或涉及勒索、威胁或胁迫。未能报告网络攻击的关键基础设施运营商可能会被罚款。
联邦委员会决定于 10 月 1 日实施相关罚款立法,以便相关人员有充足的时间为新的报告义务做好准备。这意味着报告义务将持续六个月,之后不报告将被视为可处罚。
NCSC 平台上的报告表
为了使报告流程尽可能简单,报告表格将在 NCSC 的网络安全中心提供,该中心已使用该中心与关键基础设施运营商交换信息。未在平台上注册的组织可以使用 NCSC 网站上提供的表格通过电子邮件提交报告。在发现事件后 24 小时内提交初始报告后,他们有 14 天的时间来完成报告。
《网络安全条例》规定豁免
联邦委员会还批准了《网络安全条例》,该条例也将于 4 月 1 日生效。《网络安全条例》包含报告义务的实施条款,特别是规范了《内安法》第 74c 条规定的例外情况。它还包含有关瑞士网络战略、NCSC 的任务以及 NCSC 与当局和组织之间的信息交换的规定。
2020 年 5 月 22 日至 9 月 13 日,瑞士就《网络安全条例》进行了磋商,并广泛支持加强瑞士的网络安全。受影响者的主要关切是,报告义务应尽可能易于履行,并与其他报告义务(例如数据保护报告义务)相协调。这些担忧已被考虑在内。NCSC 的报告表格可以快速收集必要的信息,并在必要时将其转发给也有报告义务的其他机构,例如瑞士金融市场监管局 (FINMA) 或联邦数据保护和信息专员。
联邦委员会发布了另一项法令,自 4 月 1 日起生效,内容涉及国家网络安全中心将以四种国家语言正式更名,并将其转变为联邦国防部保护司 (DDPS) 下属的一个联邦办公室。
瑞士网络安全的里程碑
引入涵盖多个部门的报告要求是瑞士网络安全的一个里程碑。改善信息交换对于能够采取适当措施应对迅速演变的网络威胁至关重要。引入这一报告要求符合国际标准。自 2018 年以来,所有欧盟成员国都必须根据 NIS 指令报告网络事件。
原文始发于微信公众号(河南等级保护测评):瑞典:自2025年4月1日起,必须报告针对关基设施网络攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论