新规要求,关键基础设施组织发现网络攻击后,首次报告需在24小时内完成,详细报告需在后续14天内完成,未遵守规定最高可罚约80万元。
前情回顾·网络安全事件报告制度
72小时内报告!美国发布关键基础设施网络攻击通报新规草案重大事件须在1小时内上报!国家网信办《网络安全事件报告管理办法》征求意见安全内参3月11日消息,瑞士国家网络安全中心(NCSC)宣布了一项新的报告义务,要求国内关键基础设施组织在发现网络攻击后24小时内向该机构报告。
根据NCSC的公告,该新规旨在应对日益增多的网络安全事件及其对国家安全的影响。
必须报告的网络攻击类型包括:
危及关键基础设施运营的网络攻击;数据篡改、加密或窃取;勒索、威胁和胁迫行为;在系统中安装恶意软件;未授权访问系统。
该规定通过《信息安全法》修订案引入,并将于2025年4月1日正式生效,适用于公用事业机构、地方政府和交通运输组织等关键服务提供商。
公告指出:“联邦委员会已决定,《信息安全法》修订案(2023年9月29日)将于2025年4月1日正式生效。”
“根据《信息安全法》,能源和饮用水供应商、交通运输公司、州和市政管理机构等受报告义务约束的组织,必须在发现网络攻击后24小时内向NCSC报告。”
该规定设有过渡期,至2025年10月1日结束。此后,未遵守规定的组织将面临最高10万瑞士法郎(约合人民币82.28万元)的罚款。
受网络安全事件影响的组织需通过NCSC网站上的在线表单或电子邮件提交报告,无需注册。
第一份报告需在事件发现后24小时内提交,后续补充报告需在接下来的14天内提供详细信息。
《信息安全法》第74c条款规定了特定例外情况。
瑞士政府表示,新规是国家网络安全的一项里程碑,并符合欧盟《网络与信息安全指令》(NIS指令)的要求,该指令适用于关键服务运营商和数字服务提供商。
参考资料:bleepingcomputer.com
