Ordinanza sulla ciberdifesa militare (OCDM)

La presente ordinanza disciplina le misure da adottare nel quadro della ciberdifesa per l’autoprotezione e l’autodifesa dell’esercito e dell’amministrazione militare in caso di attacco alle prestazioni dell’esercito critiche per gli impieghi nel settore delle tecnologie dell’informazione e della comunicazione (prestazioni TIC dell’esercito critiche per gli impieghi). ²

Per ciberdifesa militare si intendono attività su scala globale condotte nel ciberspazio volte a proteggere e a difendere le prestazioni TIC dell’esercito critiche per gli impieghi a livello di condotta strategico-militare e operativa; la ciberdifesa militare comprende le attività seguenti:³

1. ciberdifesa: attività nel ciberspazio volta a identificare attacchi e attività di ciberesplorazione e a proteggere le proprie risorse;
2. ciberesplorazione: attività nel ciberspazio volta ad acquisire informazioni nel ciberspazio;
3. ciberattacco: attività nel ciberspazio volta a disturbare, ostacolare o rallentare, nel ciberspazio o per mezzo del ciberspazio, le risorse e le capacità dell’avversario.

Le misure che, nel quadro di un’attività nel ciberspazio, richiedono l’infiltrazione in reti e sistemi informatici estranei, sono soggette ad autorizzazione.

Le misure che, nel quadro di un’attività nel ciberspazio, non richiedono l’infiltrazione in reti e sistemi informatici estranei, non sono soggette ad autorizzazione.

Le domande per misure soggette ad autorizzazione sono motivate per scritto e contengono le indicazioni seguenti:

1. scopo dell’attività nel ciberspazio;
2. periodo nel quale è prevista l’esecuzione dell’attività nel ciberspazio;
3. reti e sistemi informatici interessati;
4. numero di infiltrazioni nelle reti e nei sistemi informatici interessati;
5. prova della legalità, in particolare della proporzionalità, e valutazione dei rischi dell’attività nel ciberspazio.

Il Comando Ciber (Cdo Ci) è competente per la ciberdifesa militare.

Il Cdo Ci ha i compiti seguenti:

1. esegue mandati concernenti attività nel ciberspazio;
2. adotta misure preventive volte all’autoprotezione delle prestazioni TIC dell’esercito critiche per gli impieghi;
3. verifica in via preliminare la fondamentale legalità e la fattibilità di nuove attività nel ciberspazio;
4. interrompe l’accesso a prestazioni TIC dell’esercito critiche per gli impieghi;
5. si assicura in maniera autonoma di disporre delle informazioni tecniche necessarie all’assunzione dei compiti;
6. valuta reti e sistemi informatici messi in sicurezza che sono stati utilizzati o sfruttati abusivamente per un attacco;
7. in coordinamento con le autorità della Confederazione responsabili, cura contatti diretti con servizi tecnici specializzati in Svizzera e all’estero;
8. appoggia l’impiego e l’istruzione nel settore della ciberdifesa militare;
9. documenta le misure soggette ad autorizzazione nel quadro di un’attività nel ciberspazio.

Adempie i propri compiti con risorse proprie, con risorse a esso subordinate e con risorse a esso attribuite.

Le misure soggette ad autorizzazione nel quadro di un’attività nel ciberspazio sono eseguite esclusivamente dal Servizio delle attività ciber ed elettromagnetiche.

Il capo dell’esercito assegna i mandati concernenti attività nel ciberspazio.

In via preliminare, il capo dell’esercito sottopone per verifica al capo del Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) le domande per misure soggette ad autorizzazione.

Nel caso di un servizio attivo ai sensi dell’articolo 76 capoverso 1 LM, il capo dell’esercito o il comandante in capo dell’esercito può autorizzare misure soggette ad autorizzazione. Può delegare tale competenza.

Il capo del DDPS decide in merito alle domande del capo dell’esercito.

Il Consiglio federale autorizza le misure soggette ad autorizzazione.

La Segreteria generale del DDPS assume la vigilanza interna al dipartimento concernente la ciberdifesa militare, ne riferisce periodicamente al Consiglio federale e ne informa gli organi di alta vigilanza parlamentare.

La vigilanza interna all’esercito concernente la ciberdifesa militare è subordinata al capo dell’esercito ed è disciplinata da quest’ultimo.

D’intesa con le unità amministrative del DDPS responsabili, il Cdo Ci può concludere accordi di collaborazione con istituti di ricerca e università.

Il capo del DDPS esegue la presente ordinanza ed emana istruzioni sull’impiego e sull’istruzione. Può delegare l’esecuzione al capo dell’esercito.

La presente ordinanza entra in vigore il 1° marzo 2019.