24.4014 · Interpellanza · 2024-09-25
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
I ciberattacchi rappresentano una minaccia considerevole per le infrastrutture critiche in Svizzera e pertanto anche per la popolazione svizzera. Nel settembre 2023 il Parlamento ha approvato una revisione della legge sulla sicurezza delle informazioni (LSIn) che dal 1° gennaio 2025 prevede l’obbligo di segnalare i ciberattacchi alle infrastrutture critiche. La revisione della LSIn assegna all’Ufficio federale della cibersicurezza (UFCS) il compito di ricevere e trattare le segnalazioni riguardanti ciberincidenti e ciberminacce (art. 73a LSIn).
Una delle infrastrutture critiche più sensibili è il sistema sanitario, in particolare gli ospedali. Per proteggere meglio questo settore, l’UFCS ha lanciato il progetto «Healthcare – Cyber Security Centre», che attualmente si trova in fase di attuazione. L’obiettivo del progetto è quello di proteggere meglio gli ospedali dai ciberattacchi.
Alla luce di quanto sopra, invito pertanto il Consiglio federale a rispondere alle seguenti domande:
Il Consiglio federale ha intenzione di aumentare le risorse finanziarie e di personale dell’UFCS, in considerazione del prevedibile aumento del carico di lavoro dell’UFCS in seguito alla revisione della LSIn?
Come valuta attualmente il Consiglio federale la protezione degli ospedali dai ciberattacchi?
Quali sono finora i successi ottenuti dal progetto «Healthcare – Cyber Security Centre»? Quanto funziona la collaborazione con i Cantoni e con gli ospedali in questo progetto?
Per motivi tecnici di sicurezza sarebbe opportuno stabilire standard minimi nazionali o buone pratiche per gli ospedali per proteggersi dai ciberattacchi? Quale sarebbe dal punto di vista del Consiglio federale il miglior modo di procedere per introdurre tali standard minimi?
Secondo il Consiglio federale, chi è responsabile di garantire che gli ospedali svizzeri siano adeguatamente protetti dai ciberattacchi?
Come è regolata la ripartizione dei compiti in caso di ciberattacco a un ospedale, sia in situazione di pace che in situazione di guerra non dichiarata o dichiarata? Che ruolo hanno in tale contesto l’UFCS, l’Ufficio federale di polizia (fedpol), il SIC e i Cantoni? Le procedure e le interfacce per la collaborazione tra queste istituzioni sono chiaramente regolamentate?
Stellungnahme des Bundesrates
In merito alla domanda 1: con la creazione dell’Ufficio federale della cibersicurezza (UFCS) il Consiglio federale ha deciso di rafforzare la cibersicurezza civile. Ha notevolmente aumentato le risorse dell’UFCS in termini di personale. Dal 2020 il numero di collaboratori è stato aumentato da 28 (nell’allora Centro nazionale per la cibersicurezza) agli attuali 67. Quest’aumento era in previsione dell’assunzione di compiti supplementari da parte dell’UFCS in seguito alla revisione della legge sulla sicurezza delle informazioni (LSIn; RS 128). Il Consiglio federale verificherà se tale aumento è sufficiente per garantire che l’UFCS possa svolgere pienamente i suoi compiti. In merito alla domanda 2: gli ospedali fanno parte delle infrastrutture critiche della Svizzera per cui la loro protezione dalle ciberminacce ha la massima priorità. In Svizzera negli ultimi cinque anni sono stati compiuti con successo soltanto pochi ciberattacchi contro gli ospedali. Nello stesso arco di tempo in altri Paesi (p. es. Francia, Inghilterra) sono stati condotti con successo diversi ciberattacchi con ripercussioni immediate sul funzionamento di grandi ospedali. Ciò dimostra che al confronto gli ospedali svizzeri si sono protetti in maniera efficace. Tuttavia le sfide rimangono considerevoli e la protezione contro i ciberattacchi dev’essere ulteriormente ampliata. In merito alla domanda 3: il progetto «Healthcare - Cyber Security Centre» del settore sanitario riunisce le forze degli ospedali svizzeri, dell’UFCS e di altri attori per rafforzare la cibersicurezza. Il progetto si trova nella fase iniziale ma grazie all’efficace collaborazione di tutti gli organi coinvolti sta già mostrando progressi promettenti. In merito alle domande 4 e 5: gli standard unitari e le buone pratiche sono fattori importanti nel rafforzamento della cibersicurezza. Tali elementi esistono già per quanto concerne il settore sanitario. Per quanto riguarda gli ospedali l’associazione H+ ha definito linee guida con requisiti minimi per la sicurezza informatica di sistemi esterni. Inoltre nel 2022 l’UFCS d’intesa con la Conferenza delle direttrici e dei direttori cantonali della sanità ha pubblicato le buone pratiche per il settore sanitarioLa responsabilità per la cibersicurezza spetta agli ospedali stessi. Sul piano giuridico sono tenuti a garantire, secondo lo stato della tecnica, la tutela dei dispositivi con funzionalità di rete dalle ciberminacce, conformemente all’articolo 74 dell’ordinanza relativa ai dispositivi medici (RS 812.213). I Cantoni emanano direttive per gli ospedali presenti sulla lista e per farlo possono orientarsi alle linee guida esistenti e sulle migliori pratiche delle associazioni e dell’UFCS. Ciò consente di introdurre standard unitari salvaguardando le competenze esistenti. In merito alla domanda 6: sì, la divisione dei compiti è regolata e stabilita indipendentemente dalla situazione: Il BACS fornisce un supporto sussidiario agli ospedali in caso di ciberattacchi (art. 74 LSIn). Il Servizio Informazioni Federale è responsabile dell'individuazione precoce e della prevenzione delle minacce informatiche (art. 6 capoverso 1 lettera a numero 4 LAIn; RS 121) e può adottare misure basate sull'art. 26 comma 1 lettera d numero 2 e sull'art. 37 capoverso 2 LAIn per individuare i sistemi informatici utilizzati per attaccare gli operatori di infrastrutture critiche. Le autorità cantonali o, in caso di giurisdizione federale ai sensi dell'art. 23 e dell’art. 24 del Codice di Procedura Penale (RS 312), il Ministero Pubblico della Confederazione insieme alla Polizia Criminale Federale sono responsabili dell'azione penale.