Se una casa di cura è presente nell'elenco degli ospedali, è tenuta a segnalare un attacco informatico. In ogni caso è possibile effettuare una segnalazione volontaria.

Dal 1° aprile 2025, gli operatori pubblici e privati di infrastrutture critiche sono tenuti a segnalare gli attacchi informatici. Rientrano in questa categoria in particolare le strutture sanitarie che figurano nell'elenco cantonale degli ospedali. Come precisa il Consiglio federale nel suo messaggio, in caso di pericolo per i dati contenuti nelle cartelle cliniche elettroniche dei pazienti, «l'organizzazione minacciata dal cyberattacco è tenuta a segnalarlo».

Le case di cura presenti nell'elenco ospedaliero devono segnalare rapidamente gli attacchi informatici

Se una casa di cura rientra nel campo di applicazione della Legge sulla sicurezza delle informazioni, deve segnalare all'Ufficio federale della cibersicurezza (UFCS) se un attacco informatico:

• compromette il funzionamento dell'infrastruttura critica interessata;
• ha portato a una manipolazione o a una fuga di informazioni;
• è rimasto inosservato per almeno 90 giorni, in particolare se vi sono indicazioni che sia stato eseguito in preparazione di ulteriori attacchi informatici; oppure
• è connesso la reato di estorsione, minaccia o coazione.

La casa di cura soggetta all'obbligo di notifica deve segnalare tale attacco informatico all’UFCS entro 24 ore dalla sua scoperta. Se al momento della segnalazione la casa di cura non dispone di tutte le informazioni necessarie, l’UFCS le concede un termine di 14 giorni per completare la segnalazione.