Il Centro Nazionale per la Sicurezza Informatica (NCSC) raccoglie dati sugli attacchi informatici segnalati da privati e aziende. È importante notare che non vengono registrati solo gli attacchi informatici che causano danni, ma anche quelli che sono stati respinti con successo. Poiché vengono registrati solo gli attacchi che vengono segnalati, è probabile che vi sia un elevato numero nascosto di attacchi non segnalati. Questo solleva la questione se in Svizzera esista un obbligo di notifica in caso di attacco informatico.
Il Parlamento europeo, insieme al Consiglio, su proposta della Commissione, ha adottato il GDPR (Regolamento generale sulla protezione dei dati personali). Questo regolamento rappresenta un notevole progresso nel diritto europeo in materia di protezione dei dati. L'obiettivo è garantire e tutelare il diritto fondamentale alla protezione dei dati personali attraverso l'imposizione di obblighi di trasparenza, in particolare attraverso obblighi di informazione, notifica e accesso alle informazioni per le aziende che trattano dati personali. I regolamenti sono direttamente applicabili negli Stati membri dell'UE senza la necessità di ulteriori atti legislativi interni. Anche se la Svizzera non è uno Stato membro dell'UE, questo regolamento può essere rilevante per le aziende svizzere. Si distinguono tre diverse situazioni:
Se un'azienda svizzera rientra nell'ambito di applicazione del GDPR, è tenuta a notificare all'interessato e all'autorità di protezione dei dati competente l'incidente, in seguito a furto di dati, crittografia dei dati o accesso non autorizzato ai dati, in breve, in seguito a un attacco informatico.
Anche il legislatore svizzero ha introdotto l'obbligo di notifica nell'ambito della revDSG 2023, che entrerà in vigore il 1° settembre 2023. Sia gli interessati che l'EDÖB (Commissario federale per la protezione dei dati e la trasparenza) devono essere informati. Inoltre, il FINMAG (Legge sulla vigilanza dei mercati finanziari) prevede un obbligo di notifica e informazione per le aziende sotto la supervisione della FINMA (Autorità di vigilanza dei mercati finanziari). Questo obbligo è relativizzato dal fatto che devono essere segnalati solo gli eventi che sono di "importanza fondamentale" per l'attività di vigilanza della FINMA (art. 29 cpv. 2 FINMAG).
Pertanto, le aziende in Svizzera possono già essere soggette all'obbligo di notifica in determinate circostanze, se rientrano nell'ambito di applicazione del GDPR o, a determinate condizioni, se sono soggette alla supervisione della FINMA. Con l'entrata in vigore della revDSG 2023 il 1° settembre 2023, tutte le aziende in Svizzera saranno obbligate a notificare gli incidenti.