瑞典：自2025年4月1日起，必须报告针对关键基础设施的网络攻击

2025 年 3 月 7 日 - 联邦委员会在 3 月 7 日的会议上提出了对关键基础设施网络攻击的报告义务，该义务将于 4 月 1 日生效。关键基础设施的运营商必须在发现网络攻击后 24 小时内向国家网络安全中心 (NCSC) 报告。这些报告将使 NCSC 能够协助网络攻击的受害者并提醒关键基础设施的运营商。

鉴于网络攻击威胁日益严重，瑞士正在引入对关键基础设施网络攻击的报告义务。关键基础设施的运营商必须向国家网络安全中心 (NCSC) 报告攻击事件。

联邦委员会决定，2023 年 9 月 29 日《信息安全法》（ISA）修正案将于 4 月 1 日生效。ISA 规定，受报告义务约束的当局和组织，例如能源和饮用水供应商、运输公司以及州和社区管理机构，必须在发现网络攻击后 24 小时内向 NCSC 报告。

必须报告网络攻击的情况包括威胁关键基础设施的运作、导致信息被操纵或泄露，或涉及勒索、威胁或胁迫。未能报告网络攻击的关键基础设施运营商可能会被罚款。

联邦委员会决定于 10 月 1 日实施相关罚款立法，以便相关人员有充足的时间为新的报告义务做好准备。这意味着报告义务将持续六个月，之后不报告将被视为可处罚。

NCSC 平台上的报告表

为了使报告流程尽可能简单，报告表格将在 NCSC 的网络安全中心提供，该中心已使用该中心与关键基础设施运营商交换信息。未在平台上注册的组织可以使用 NCSC 网站上提供的表格通过电子邮件提交报告。在发现事件后 24 小时内提交初始报告后，他们有 14 天的时间来完成报告。

《网络安全条例》规定豁免

联邦委员会还批准了《网络安全条例》，该条例也将于 4 月 1 日生效。《网络安全条例》包含报告义务的实施条款，特别是规范了《内安法》第 74c 条规定的例外情况。它还包含有关瑞士网络战略、NCSC 的任务以及 NCSC 与当局和组织之间的信息交换的规定。

2020 年 5 月 22 日至 9 月 13 日，瑞士就《网络安全条例》进行了磋商，并广泛支持加强瑞士的网络安全。受影响者的主要关切是，报告义务应尽可能易于履行，并与其他报告义务（例如数据保护报告义务）相协调。这些担忧已被考虑在内。NCSC 的报告表格可以快速收集必要的信息，并在必要时将其转发给也有报告义务的其他机构，例如瑞士金融市场监管局 (FINMA) 或联邦数据保护和信息专员。

联邦委员会发布了另一项法令，自 4 月 1 日起生效，内容涉及国家网络安全中心将以四种国家语言正式更名，并将其转变为联邦国防部保护司 (DDPS) 下属的一个联邦办公室。