Definire ruoli chiari per gli attori della cyberdifesa e della cybersicurezza in Svizzera
17.4285 · Interpellanza · 2017-12-15
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Il Parlamento ha adottato la mozione Eder 17.3508 che incarica il Consiglio federale di creare un centro di competenza per la cybersicurezza a livello di Confederazione. Nel suo rapporto la commissione sottolinea "la mancanza di una strategia nazionale per la protezione e la difesa del cyberspazio civile e militare". Questa strategia sarebbe quindi accorpata in una nuova entità che ha una visione globale. Ma né la mozione né il rapporto della commissione indica chi farà cosa. Questa entità dovrebbe riunire i rappresentanti militari, scientifici ed economici e collaborare con le scuole superiori. Questa dichiarazione corrisponde perfettamente con l'intenzione formulata nel Piano d'azione Cyber Defence DDPS pubblicato il 9 novembre 2017, in cui viene menzionato un progetto di cybercampus con attori militari, scientifici ed economici (campus CYD, ossia un campus per la cyberdifesa) che dovrà essere operativo nel 2019.
In questo contesto invito il Consiglio federale a rispondere alle domande seguenti:
1. Il campus CYD risponde alle esigenze della mozione 17.3508. È possibile guadagnare del tempo affidando al DDPS l'attuazione del centro previsto dalla mozione?
2. Di quali mezzi finanziari disporrà il campus CYD? Un fondo pubblico-privato potrebbe essere messo a disposizione per finanziarlo? Il DDPS parteciperà al suo finanziamento? Se sì, in quale misura?
3. Chi sarà responsabile dello sviluppo e della direzione del centro di competenza civile richiesto nella mozione 17.3508? Alla luce degli sforzi già profusi il DDPS sembra essere predestinato a svolgere un ruolo fondamentale.
4. Come sottolineato nella mozione e nel progetto del campus CYD del DDPS, la cyberdifesa passa attraverso una stretta collaborazione tra l'esercito, l'economia e la scienza. Questa istanza non dovrebbe essere diretta congiuntamente dai due dipartimenti interessati, ovvero il DEFR e il DDPS?
5. Nel quadro dell'attuazione della mozione 17.3508 il Consiglio federale è disposto a valutare l'idea di affidare il centro di competenza per la cybersicurezza a livello di Confederazione a uno di questi due dipartimenti o ai due congiuntamente, poiché entrambi rivestono un ruolo chiave, uno sul piano della sicurezza mentre l'altro su quello dell'economia, della formazione, della ricerca e dell'innovazione?
6. La situazione attuale è molto confusa. Il Consiglio federale è in grado di spiegare il ruolo dei numerosi attori a livello nazionale per rendere la situazione trasparente e consentire al Parlamento di valutare le soluzioni elaborate sulla base di criteri obiettivi?
Stellungnahme des Bundesrates
Il Consiglio federale risponde alle singole domande come segue:
1. Il Dipartimento federale delle finanze (DFF) è stato incaricato nel mese di aprile del 2017 di elaborare la revisione della Strategia nazionale per la protezione della Svizzera contro i rischi informatici (SNPC). Il calendario prevede di presentare questa Strategia al Consiglio federale entro la fine di aprile del 2018; tale Strategia terrà conto di tutte le iniziative in corso e proporrà su questa base i ruoli futuri. Risponderà inoltre in maniera concreta e globale alle richieste di chiarimento formulate nella presente interpellanza. Un'attribuzione del futuro centro di competenza al DDPS non comporterebbe un risparmio di tempo sullo stato dei lavori.
2. In materia di finanziamento il DDPS ha menzionato la seguente intenzione nel suo Piano d'azione Cyber Defence DDPS (PACD) pubblicato nel novembre del 2017: "Non è possibile stabilire una pianificazione dettagliata sullo stato dei lavori. Spetta a ogni unità organizzativa definire le proprie necessità e integrarle ai processi ordinari. Non saranno quindi introdotti processi specifici cyber." Quanto al campus per la cyberdifesa del DDPS, già in fase di realizzazione, sono al vaglio diverse ipotesi a medio e lungo termine; viene anche tenuto in considerazione un fondo pubblico-privato.
3. La risposta a questa domanda è fornita dalla risposta alla domanda 1. Il Consiglio federale valuta tutte le opzioni e assegnerà le responsabilità sulla base della SNPC attualmente in fase di revisione.
4. La cybersicurezza è per definizione un ambito che va affrontato in maniera congiunta. Dal 2011 tutti i dipartimenti federali partecipano ai lavori, anche se in misura diversa. L'evoluzione delle sfide legate al cyberspazio ha comportato diverse iniziative - come ad esempio il Piano d'azione Cyber Defence DDPS - già prese in considerazione nella SNPC in fase di revisione. Come già illustrato nella risposta 1, spetterà alla nuova SNPC definire i ruoli. Nella sua risposta all'interpellanza 17.3103, il Consiglio federale ha inoltre precisato: "Dal momento che l'aspetto cyber coinvolge tutti i dipartimenti e che i ruoli sono molti diversi, il Consiglio federale considera inopportuna una centralizzazione integrale delle capacità cyber e ritiene che si debba procedere a un'analisi delle responsabilità che tenga conto delle differenze." Questa costatazione rimane valida.
5. La risposta a questa domanda è identica a quella della domanda 3.
6. La cybersicurezza è un compito che richiede il lavoro congiunto di numerosi attori provenienti da diversi ambiti. La revisione della SNPC ha come scopo preciso quello di definire i ruoli e di rafforzare la capacità di questi attori di interagire in maniera coordinata. Spetterà al futuro centro di competenza garantire tale interazione.
Risposta del Consiglio federale.