Lexipedia

24.3111 · Interpellanza · 2024-03-07

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

1. Che tipo di analisi sta facendo il Consiglio federale in merito ai ciberattacchi rilevanti sferrati contro il DDPS, l’esercito, la RUAG, fedpol, l’UDSC e l’UFPP come pure contro le loro installazioni e i loro fornitori durante l’ultima legislatura e fino a oggi? 2. Ha svolto un’analisi delle nostre vulnerabilità?3. Quali sono i piani di protezione e chi è responsabile della loro attuazione in seno a:esercito?resto del DDPS?UFPP?fedpol?UDSC?RUAG ?4. Qual è esattamente il ruolo dell’Ufficio federale della cibersicurezza (UFCS)? Qual è il suo livello di responsabilità per ciascuno degli organismi menzionati al numero 3 e chi sono i loro fornitori?5. Non sarebbe opportuno svolgere un audit indipendante e approfondito di ciascun organismo menzionato al numero 3 e dei loro fornitori?

Stellungnahme des Bundesrates

In merito alle domande 1) e 2): l’Amministrazione federale e l’esercito sono confrontati con ciberattacchi quotidiani. Per respingere questi attacchi, attuano quindi misure di protezione. Durante l’ultima legislatura non si sono registrati incidenti che hanno fatto temere una penetrazione nelle reti dell’Amministrazione federale, dell’esercito o della RUAG da parte degli aggressori. Tuttavia, l’attacco alla società Xplain SA, grazie al quale gli aggressori sono riusciti a sottrarre dati sensibili e in parte anche classificati della Confederazione, ha avuto gravi conseguenze. Sebbene questo attacco non fosse rivolto contro le reti della Confederazione, bensì unicamente contro la società Xplain SA, gli aggressori sono riusciti a sottrarre informazioni degne di protezione, e in parte anche classificate, della Confederazione che erano in possesso della società Xplain SA. Il 23 agosto 2023, il Consiglio federale ha ordinato un’indagine amministrativa per far luce su questo incidente e verificare quali direttive e processi interni all’Amministrazione federale debbano essere adeguati allo scopo di ridurre al minimo i rischi per la sicurezza. In merito alle domande 3) e 5): dal 1° gennaio 2024 è in vigore l’ordinanza sulla sicurezza delle informazioni (OSIn; RS 128.1), che prescrive alle unità amministrative della Confederazione le procedure per garantire la sicurezza delle proprie informazioni e dei propri mezzi informatici. Le unità amministrative sono tenute a migliorare la propria gestione della sicurezza. A tal fine, devono aggiornare regolarmente i loro concetti di sicurezza e stabilire all’interno di un piano annuale dei controlli e degli audit le modalità con cui verificare il rispetto delle prescrizioni dell’OSIn nel loro settore di competenza nonché presso terzi incaricati (art. 13 cpv. 1 OSIn). Il nuovo servizio specializzato della Confederazione per la sicurezza delle informazioni, che fa parte della Segreteria di Stato della politica di sicurezza (SEPOS), rileva il fabbisogno di controlli e di audit per tutta l’Amministrazione federale e può anch’esso svolgere audit (art. 13 cpv. 3 e 4 OSI). I fornitori sensibili sotto il profilo della sicurezza della Confederazione sono coadiuvati , controllati regolarmente e, se necessario, sottoposti a audit dalla SEPOS. In merito alla domanda 4: l’Ufficio federale della cibersicurezza (UFCS) è il centro di competenza della Svizzera per la cibersicurezza. I suoi compiti e le sue funzioni sono disciplinati nell’ordinanza sull’organizzazione del DDPS (OOrg-DDPS; RS 172.214.1) e nell’OSIn. Il servizio specializzato della Confederazione per la sicurezza delle informazioni della SEPOS è competente per le direttive e la vigilanza della sicurezza informatica nell’Amministrazione federale. Nel corso del 2024 questo servizio verrà progressivamente sviluppato in stretta collaborazione con l’UFCS. Di conseguenza, fino alla metà del 2025, l’UFCS continuerà a occuparsi delle direttive e della vigilanza della sicurezza delle informazioni conformemente alla disposizione transitoria dell’OSIn (art. 51). Dopo il passaggio di questi compiti al servizio specializzato della Confederazione per la sicurezza delle informazioni i compiti dell’UFCS per l’Amministrazione federale e l’esercito si concentreranno sulla consulenza tecnica nelle questioni di cibersicurezza. L’UFCS potrà continuare ad appoggiare l’Amministrazione federale nella gestione degli incidenti legati alla sicurezza e di lacune in materia di sicurezza nonché assumersi la responsabilità nella gestione di ciberincidenti di più ampia portata con l’approvazione dell’unità amministrativa e del dipartimento interessati e con la decisione della SEPOS. Inoltre l’UFCS potrà continuare a ricercare minacce tecniche e vulnerabilità nell’infrastruttura informatica della Confederazione.