alle scuole universitarie secondo l’articolo 2 capoverso 2 della legge federale del 30 settembre 20111sulla promozione e sul coordinamento del settore universitario svizzero;
alle autorità federali, cantonali e comunali nonché alle organizzazioni intercantonali, cantonali e intercomunali; è eccettuato l’Aggruppamento Difesa, laddove l’esercito presti servizio d’appoggio secondo articolo 67 o servizio attivo secondo l’articolo 76 della legge militare del 3 febbraio 19952;
alle organizzazioni cui sono affidati compiti di diritto pubblico nei settori della sicurezza e del salvataggio, dell’approvvigionamento di acqua potabile, del trattamento delle acque di scarico e dello smaltimento dei rifiuti;
alle imprese attive nel settore dell’approvvigionamento energetico secondo l’articolo 6 capoverso 1 della legge federale del 30 settembre 20163sull’energia, nonché nel commercio, nella misurazione e nella gestione dell’energia; sono esentati i titolari di licenze conformemente alla legge federale del 21 marzo 20034sull’energia nucleare, per quanto riguarda i ciberattacchi effettuati contro un impianto nucleare;
alle imprese che sottostanno alla legge dell’8 novembre 19345sulle banche, alla legge del 17 dicembre 20046sulla sorveglianza degli assicuratori o alla legge del 19 giugno 20157sull’infrastruttura finanziaria;
agli stabilimenti che figurano nell’elenco cantonale di cui all’articolo 39 capoverso 1 lettera e della legge federale del 18 marzo 19948sull’assicurazione malattie;
ai laboratori medici che dispongono di un’autorizzazione secondo l’articolo 16 capoverso 1 della legge del 28 settembre 20129sulle epidemie;
alle imprese che dispongono di un’omologazione secondo la legge del 15 dicembre 200010sugli agenti terapeutici per la fabbricazione, l’immissione in commercio e l’importazione di medicamenti;
alle organizzazioni che forniscono prestazioni volte a coprire le conseguenze di malattie, infortuni, incapacità al lavoro e al guadagno, vecchiaia, invalidità e grande invalidità;
alla Società svizzera di radiotelevisione;
alle agenzie di stampa d’importanza nazionale;
ai fornitori di servizi postali registrati presso la Commissione delle poste secondo l’articolo 4 capoverso 1 della legge del 17 dicembre 201011sulle poste;
alle imprese ferroviarie secondo gli articoli 5 o 8c della legge federale del 20 dicembre 195712sulle ferrovie e alle imprese che gestiscono impianti di trasporto a fune, linee filoviarie, autobus e battelli e sono titolari di una concessione secondo l’articolo 6 della legge del 20 marzo 200913sul trasporto di viaggiatori;
alle imprese dell’aviazione civile che dispongono di un’autorizzazione dell’Ufficio federale dell’aviazione civile e agli aeroporti nazionali conformemente al Piano settoriale dei trasporti, Parte Infrastruttura aeronautica;
alle imprese che trasportano merci sul Reno secondo la legge federale del 23 settembre 195314sulla navigazione marittima sotto bandiera svizzera e alle imprese che gestiscono l’iscrizione, il carico o lo scarico nei porti di Basilea;
alle imprese che riforniscono la popolazione di beni indispensabili di uso quotidiano e il cui dissesto totale o parziale comporterebbe considerevoli difficoltà di approvvigionamento;
ai fornitori di servizi di telecomunicazione registrati presso l’Ufficio federale delle comunicazioni secondo l’articolo 4 capoverso 1 LTC15;
ai gestori di registri e ai centri di registrazione di domini Internet secondo l’articolo 28b LTC;
ai fornitori e ai gestori di servizi e infrastrutture che servono all’esercizio dei diritti politici;
ai fornitori e ai gestori di servizi di nuvole informatiche, motori di ricerca o servizi di sicurezza e fiduciari digitali nonché ai centri di calcolo, sempre che abbiano una sede in Svizzera;
ai produttori di hardware o software i cui prodotti sono utilizzati da infrastrutture critiche, sempre che tali hardware o software abbiano un accesso remoto per la manutenzione o siano impiegati per uno dei seguenti scopi:
1. la gestione e il monitoraggio di sistemi e processi tecnici,
2. la garanzia della sicurezza pubblica.
Le autorità e organizzazioni che esercitano anche attività non rientranti nel campo di applicazione del capoverso 1 non hanno l’obbligo di segnalare i ciberattacchi che hanno ripercussioni unicamente su queste attività.
L’obbligo di segnalazione di cui al capoverso 1 si applica a ciberattacchi che hanno ripercussioni in Svizzera anche se i mezzi informatici interessati si trovano all’estero.