24.3810 · Mozione · 2024-06-24
Dipartimento della difesa, della protezione della popolazione e dello sport
Trasmesso al Consiglio federale
Wortlaut
In Svizzera molti controlli di cibersicurezza urgentemente necessari su infrastrutture, dispositivi e applicazioni interconnessi non sono svolti. Questi controlli sono indispensabili per proteggere la società e garantire il buon funzionamento dell’economia e delle autorità. Il Consiglio federale è incaricato di colmare le lacune critiche concernenti l’assenza di controlli di cibersicurezza, creando le necessarie basi legali e stanziando i relativi mezzi finanziari.
Begründung
I recenti casi di gravi furti di dati e interruzioni d’esercizio presso autorità, istituzioni pubbliche e aziende parastatali federali dimostrano che i ciberattacchi rappresentano una minaccia reale per tutti gli ambiti della vita pubblica. Con la rapida evoluzione della digitalizzazione, la Svizzera è esposta a minacce in forte crescita nel settore informatico. La frequenza, i potenziali danni e la raffinatezza tecnica degli attacchi sono in continuo aumento.
Ciononostante, attualmente nel settore dei prodotti e delle infrastrutture digitali sono praticamente inesistenti leggi, standard vincolanti e requisiti minimi applicabili universalmente; non è neppure prevista una responsabilità di legge per danno da prodotti per i software. Di conseguenza sono immessi sul mercato svizzero, senza alcun controllo, numerosi prodotti e applicazioni non sicuri, che possono essere sfruttati da cibercriminali attivi a livello internazionale e da attori statali. I controlli di sicurezza su tali prodotti e applicazioni non sono svolti per svariati motivi: (1) la ben sviluppata industria privata svizzera attiva nel settore della cibersicurezza non è incentivata a svolgere, di propria iniziativa e a proprie spese, i controlli di cibersicurezza urgentemente necessari sui prodotti, sulle applicazioni e sulle loro componenti (incl. i software open source); (2) spesso le responsabilità e le competenze in materia di cibersicurezza non sono sufficientemente definite e non sono oggetto di sensibilizzazione, e ciò proprio nelle organizzazioni attive nei nuovi settori tecnologici; (3) all’Ufficio federale della cibersicurezza (UFCS) non è stato attribuito un mandato in tal senso, in particolare per l’inclusione di competenze esistenti nel settore privato; (4) questi settori sono spesso disciplinati tardivamente e per lo più su impulso dall’estero; (5) in Svizzera non sono preservate risorse di controllo sufficientemente neutrali e finanziariamente indipendenti.
Per garantire la stabilità sociale ed economica nonché la sicurezza e la sovranità digitali della Svizzera è imperativo identificare costantemente i prodotti e i componenti critici delle infrastrutture interconnesse, compresi i frameworks e i componenti open source utilizzati di frequente. La loro cibersicurezza deve essere controllata regolarmente da organizzazioni indipendenti e in tale contesto è importante favorire lo sviluppo di ulteriori capacità nel campo delle vulnerabilità digitali rilevanti per la sicurezza pubblica e l’approvvigionamento del Paese.
Antrag des Bundesrates
Accogliere
Stellungnahme des Bundesrates
Se i controlli di cibersicurezza richiesti dalla mozione dovessero riguardare anche terzi al di fuori dell’Amministrazione federale, bisognerebbe analizzare in modo approfondito l’entità delle competenze della Confederazione nell’attuazione della mozione. Il finanziamento di un qualsiasi compito federale che ne derivi dovrebbe essere interamente garantito dai beneficiari delle prestazioni, ad esempio attraverso la riscossione di emolumenti.
Il Consiglio federale propone di accogliere la mozione.