瑞士国家网络安全中心（NCSC）近日发布新规，要求关键基础设施组织在发现网络攻击后的24小时内进行报告。此举旨在应对日益严峻的网络安全威胁。

新政策的背景与内容

随着网络事件数量的不断攀升，瑞士于2023年9月29日修订了《信息安全法》（ISA），要求关键基础设施运营商在发现网络攻击后24小时内向NCSC报告。这些运营商包括能源和饮用水供应商、运输公司以及州和市级行政机构等。

NCSC发布公告称：“鉴于网络事件威胁的不断增加，瑞士引入了一项针对关键基础设施网络攻击的报告义务。联邦委员会决定，相关修订将于2024年4月1日生效。未按规定报告事件的组织可能面临罚款。”

报告义务的具体要求

瑞士当局要求关键基础设施组织报告针对基础设施的攻击事件，包括数据泄露、勒索、胁迫、信息操纵或泄露等。从2025年4月1日起，网络安全条例正式生效，明确了报告义务的例外情况和相关程序。NCSC将负责管理报告并协调当局与组织之间的信息交换。

此外，法规规定，受影响组织可通过在线表格或电子邮件在24小时内报告网络安全事件，并在14天内提交详细跟进报告。宽限期将持续至2025年10月1日，之后未合规的组织可能面临高达10万瑞士法郎（约合14,000美元）的罚款。

国际标准与未来展望

瑞士的新规与国际标准保持一致，旨在加强信息共享，以应对不断变化的网络威胁。咨询过程中，各方普遍支持强化网络安全，特别是简化报告义务并与其他法规保持一致。

受影响的所有实体类型清单可通过此处查看。

参考来源：

Switzerland’s NCSC requires cyberattack reporting for critical infrastructure within 24 hours