Cybersicherheit Briefing
Ein Betreiber in Warnweste sucht seine Branche im Sektorenkatalog von Art. 74b ISG, dahinter eine Uhr auf 24 Stunden.

Siete nell'elenco? È l'art. 74b ISG a decidere sull'obbligo di notifica, non l'incidente

L'obbligo di notifica entro 24 ore previsto dalla legge sulla sicurezza delle informazioni (ISG) rivista è in vigore e sanzionato penalmente dall'ottobre 2025. Per la maggior parte delle imprese rimane però aperta una questione preliminare: il catalogo settoriale dell'art. 74b ISG le include davvero? Una valutazione che quasi nessuna impresa non finanziaria ha mai condotto formalmente.

Dr. iur. Servatius von Tatzenberg

Dal 1° aprile 2025, gli operatori di infrastrutture critiche sono tenuti a notificare gli attacchi informatici soggetti a obbligo di notifica all’Ufficio federale della cibersicurezza (BACS) entro 24 ore dalla loro rilevazione. Il termine è fissato all’art. 74e della legge sulla sicurezza delle informazioni (ISG), mentre la sanzione fino a 100’000 franchi è prevista, dal 1° ottobre 2025, all’art. 74h ISG. Le modalità di notifica e i soggetti esposti alla sanzione sono stati esaminati in una precedente analisi. La questione che la maggior parte delle imprese non ha ancora affrontato è quella preliminare: l’art. 74b ISG le annovera effettivamente tra le organizzazioni soggette all’obbligo di notifica?

L’art. 74b ISG definisce l’ambito di applicazione mediante un catalogo di settori. Chi legge la norma con il solo filtro «finanza» la interpreta in modo erroneo. Il catalogo corrisponde sostanzialmente ai nove settori delle infrastrutture critiche e ai circa 27 sottosettori: energia, approvvigionamento idrico e smaltimento, trasporti, sanità, finanza e assicurazioni, amministrazione pubblica e sicurezza, servizi digitali inclusi gli operatori cloud e dei data center, approvvigionamento alimentare e altri. Vi rientrano un fornitore regionale di energia, un’impresa di logistica, un gruppo ospedaliero, un’azienda cantonale. Nessuno di loro è una banca, e nessuno ha l’istinto di cercarsi nell’ISG.

Figurare in un settore, tuttavia, non è sufficiente. L’art. 12 dell’ordinanza sulla cibersicurezza (CSV) stabilisce criteri qualitativi e soglie quantitative che variano a seconda del settore. Le imprese farmaceutiche con meno di 50 dipendenti e un fatturato annuo o un totale di bilancio inferiore a dieci milioni di franchi sono esentate — per gli altri settori si applicano criteri differenti (Bratschi sull’art. 12 CSV). Per banche, assicurazioni e infrastrutture dei mercati finanziari l’art. 12 CSV non prevede alcuna esenzione: l’obbligo di notifica si applica senza soglia. La valutazione interna si articola quindi in due fasi: il settore ai sensi dell’art. 74b ISG, poi la soglia ai sensi dell’art. 12 CSV.

Perché la valutazione «probabilmente non siamo inclusi» non sia sufficiente lo dimostra la stessa fattispecie sanzionatoria. L’art. 74h ISG non sanziona il ritardo nella notifica in quanto tale, bensì il mancato adempimento nei confronti del BACS dopo che quest’ultimo ha fissato per due volte un termine (art. 74g ISG). L’ambito di applicazione è dunque determinato in ultima istanza dall’autorità, non dall’operatore. Chi si ritiene non soggetto all’obbligo di notifica e viene visto diversamente dal BACS lo scoprirà all’arrivo del primo termine — e «lo avevamo dato per scontato» sarà allora una risposta debole. Va aggiunto che l’art. 74h ISG colpisce con la sanzione la persona fisica responsabile.

Lunedì, quindi: condurre e documentare formalmente la valutazione interna. Confrontare le proprie attività con i nove settori e le soglie dell’art. 12 CSV, fissare il risultato — compreso un «non soggetto all’obbligo» motivato — e, in caso di obbligo, registrarsi nel Cyber Security Hub del BACS. Rimane aperta la questione di quanto il BACS interpreti il catalogo ai suoi margini: il fornitore SaaS che non è un operatore cloud classico, il fornitore in una catena di approvvigionamento critica. La risposta verrà dalla prassi, non dal testo: dai primi termini che il BACS fisserà ai sensi dell’art. 74g ISG nei confronti di operatori che si ritenevano esclusi. Nel frattempo, la valutazione interna documentata resta l’unica posizione difendibile.