Lexipedia

128.41 OPSAz

Ordinanza sulla procedura di sicurezza relativa alle aziende (OPSAz) dell’8 novembre 2023 (Stato 1° gennaio 2024)

Il Consiglio federale svizzero,

visti gli articoli 73 e 84 capoverso 1 della legge del 18 dicembre 2020 1 sulla sicurezza delle informazioni (LSIn),

ordina:

Sezione 1 Disposizioni generali

Art. 1 Oggetto e campo d’applicazione

(art. 2, 49 e 73 LSIn)

La presente ordinanza disciplina:

  1. la procedura di sicurezza relativa alle aziende di cui agli articoli 49–73 LSIn;
  2. l’applicazione della procedura di sicurezza relativa alle aziende a imprese subappaltatrici;
  3. i compiti e le competenze del Servizio specializzato competente per l’esecuzione della procedura di sicurezza relativa alle aziende (Servizio specializzato PSA);
  4. la sicurezza dei dati nel sistema d’informazione di cui all’articolo 70 LSIn;
  5. il controllo periodico del trattamento dei dati personali da parte di un organo esterno.

Si applica:

  1. alle autorità assoggettate secondo l’articolo 2 capoverso 1 LSIn;
  2. alle unità amministrative dell’Amministrazione federale centrale di cui all’articolo 7 dell’ordinanza del 25 novembre 19982 sull’organizzazione del Governo e dell’Amministrazione;
  3. all’esercito.

L’applicabilità della presente ordinanza alle unità amministrative dell’Amministrazione federale decentralizzata secondo l’articolo 2 capoverso 3 della legge del 21 marzo 1997 3 sull’organizzazione del Governo e dell’Amministrazione (LOGA) e alle organizzazioni secondo l’articolo 2 capoverso 4 LOGA è retta dall’articolo 2 capoversi 2 e 3 dell’ordinanza dell’8 novembre 2023 4 sulla sicurezza delle informazioni (OSIn).

Art. 2 Aziende interessate

(art. 50 LSIn)

Sono sottoposte alla procedura di sicurezza relativa alle aziende secondo la presente ordinanza le aziende con sede in Svizzera.

Per le aziende con sede all’estero, la procedura di sicurezza relativa alle aziende è disciplinata dai trattati internazionali di cui all’articolo 87 LSIn.

Art. 3 Autorità competente

(art. 51 cpv. 2 LSIn)

La Segreteria di Stato della politica di sicurezza in seno al Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) gestisce il Servizio specializzato PSA.

Il Servizio specializzato PSA coordina le sue attività internazionali con il Servizio specializzato della Confederazione per la sicurezza delle informazioni secondo l’articolo 83 LSIn.

Sezione 2 Avvio della procedura di sicurezza relativa alle aziende

Art. 4 Domanda di avvio della procedura

(art. 52 LSIn)

Nell’ambito di competenza del Consiglio federale gli incaricati della sicurezza delle informazioni delle unità amministrative di cui all’articolo 37 OSIn 5 sono competenti per presentare la domanda di avvio della procedura. È fatto salvo l’articolo 13 capoverso 2 lettera c.

Le autorità assoggettate secondo l’articolo 2 capoverso 1 LSIn comunicano al Servizio specializzato PSA chi è competente per la domanda di avvio della procedura nel rispettivo ambito di competenza.

La domanda comprende in particolare:

  1. una descrizione della prestazione edile, della fornitura o della prestazione di servizio;
  2. commenti sulla sensibilità del mandato sotto il profilo della sicurezza;
  3. informazioni sulla procedura di aggiudicazione prevista.

Art. 5 Esame della domanda

(art. 53 LSIn)

Prima di avviare la procedura il Servizio specializzato PSA consulta il mandante o l’autorità estera o l’organizzazione internazionale competente.

Non si può rinunciare all’avvio della procedura se è soddisfatta una delle condizioni seguenti:

  1. il mandato sensibile comprende il trattamento di informazioni classificate «segreto» oppure l’amministrazione, l’esercizio, la manutenzione o la verifica di mezzi informatici del livello di sicurezza «protezione molto elevata»;
  2. il mandato sensibile comprende il trattamento di informazioni classificate «confidenziale» che concernono più autorità o dipartimenti;
  3. il mandato sensibile comprende l’amministrazione, l’esercizio, la manutenzione o la verifica di mezzi informatici del livello di sicurezza «protezione elevata» impiegati per l’adempimento di compiti che coinvolgono più autorità o di compiti interdipartimentali;
  4. l’azienda si candida per un mandato per il quale necessita di un’attestazione internazionale di sicurezza aziendale secondo l’articolo 66 LSIn.

Se è prevedibile che l’esame della domanda duri più di 30 giorni, il Servizio specializzato PSA ne informa il mandante.

Art. 6 Esame della domanda con autorità di sicurezza estere

(art. 52 cpv. 3 LSIn)

Se per l’adempimento del mandato sensibile entrano in linea di conto aziende estere, il Servizio specializzato PSA trasmette la domanda al Servizio specializzato della Confederazione per la sicurezza delle informazioni.

Il Servizio specializzato della Confederazione per la sicurezza delle informazioni esamina unitamente all’autorità di sicurezza estera competente se le aziende interessate dispongono di un’attestazione di sicurezza aziendale valida. In caso contrario, domanda all’autorità di sicurezza estera l’avvio della procedura di sicurezza relativa alle aziende.

Art. 7 Definizione dei requisiti di sicurezza

(art. 54 LSIn)

I requisiti in materia di sicurezza delle informazioni durante la procedura di aggiudicazione e l’adempimento del mandato si basano sulle disposizioni dell’OSIn 6 e dell’ordinanza dell’8 novembre 2023 7 sui controlli di sicurezza relativi alle persone.

Se la procedura è avviata su richiesta di un’autorità estera o di un’organizzazione internazionale, i requisiti in materia di sicurezza delle informazioni sono disciplinati dal corrispondente trattato internazionale.

Il Servizio specializzato PSA definisce, d’intesa con il mandante, quali compiti sensibili sotto il profilo della sicurezza devono essere eseguiti dal mandante durante la procedura di aggiudicazione e l’adempimento del mandato.

Il mandante rimane responsabile del coordinamento degli iter procedurali nell’ambito della procedura di aggiudicazione.

Sezione 3 Valutazione delle aziende

Art. 8 Notifica delle aziende idonee

(art. 55 LSIn)

Il mandante può comunicare al Servizio specializzato PSA un massimo di cinque aziende che entrano in considerazione. In casi motivati, il Servizio specializzato PSA può autorizzare un numero maggiore di aziende su richiesta del mandante.

Il Servizio specializzato PSA verifica se le aziende che entrano in considerazione hanno dato il loro consenso allo svolgimento della procedura.

Informa il mandante se è prevedibile che la valutazione dell’idoneità duri più di 30 giorni.

Art. 9 Raccolta dei dati

(art. 56 LSIn)

Il Servizio specializzato PSA raccoglie tutti i dati rilevanti per la sicurezza necessari alla valutazione dell’idoneità dell’azienda, in particolare:

  1. dati sui rapporti di proprietà e sulle modifiche previste, quali fusioni, partecipazioni o acquisizioni;
  2. dati sulla composizione della direzione aziendale;
  3. dati sulle relazioni d’interesse dei membri della direzione aziendale;
  4. dati sulla solvibilità e su eventuali procedure di pignoramento e fallimento;
  5. dati sul pagamento di imposte e contributi sociali;
  6. referenze da precedenti procedure d’aggiudicazione;
  7. dati sulle relazioni dell’azienda con Stati o organizzazioni esteri e altre dipendenze.

Ottiene dal Servizio delle attività informative della Confederazione i dati che tale Servizio ha raccolto in adempimento dei suoi compiti secondo l’articolo 6 capoverso 1 lettera a della legge del 25 settembre 2015 8 sulle attività informative.

Art. 10 Esclusione dalla procedura di aggiudicazione

(art. 57 e 58 LSIn)

Il mandante e il Servizio specializzato PSA si informano senza indugio se sussistono indizi secondo cui una delle aziende che entrano in considerazione potrebbe essere esclusa dalla procedura di aggiudicazione.

Il Servizio specializzato PSA continua la procedura fintanto che il mandante non esclude l’azienda interessata dalla procedura di aggiudicazione.

Se il mandante esclude l’azienda, la procedura di sicurezza relativa alle aziende concernente tale azienda viene abbandonata.

Art. 11 Scambio di informazioni

(art. 57 e 58 LSIn)

Fatti salvi gli articoli 70 capoverso 3 e 71 capoverso 1 lettera a LSIn, nell’ambito dello scambio di informazioni secondo l’articolo 10 capoverso 1 il mandante e il Servizio specializzato PSA mettono reciprocamente a disposizione tutte le informazioni e i dati utili per la valutazione dell’idoneità o per l’esame delle fattispecie di cui all’articolo 44 della legge federale del 21 giugno 2019 9 sugli appalti pubblici (LAPub).

Sezione 4 Piano in materia di sicurezza

Art. 12 Contenuto ed esame del piano in materia di sicurezza

(art. 59 cpv. 2 e 3 LSIn)

Il piano in materia di sicurezza definisce le misure organizzative, di personale, tecniche e fisiche per garantire un’esecuzione adeguata in funzione dei rischi del mandato rilevante in materia di sicurezza.

Il Servizio specializzato PSA stabilisce le direttive per il piano in materia di sicurezza dopo un sopralluogo presso l’azienda. Al riguardo, tiene conto dei requisiti specifici dell’azienda.

Se il piano in materia di sicurezza non è conforme alle direttive del Servizio specializzato PSA, quest’ultimo accorda all’azienda un termine adeguato per correggerlo.

Se è prevedibile che l’esame del piano in materia di sicurezza duri più di 30 giorni, il Servizio specializzato PSA ne informa il mandante.

Art. 13 Incaricati della sicurezza aziendale

Le aziende che entrano in considerazione per l’esecuzione del mandato comunicano al Servizio specializzato PSA un incaricato della sicurezza aziendale e la relativa supplenza. L’incaricato della sicurezza aziendale e la relativa supplenza devono essere membri della direzione o operare direttamente per essa.

L’incaricato della sicurezza aziendale assume i compiti seguenti:

  1. funge da persona di contatto per il Servizio specializzato PSA per tutte le questioni relative alla sicurezza delle informazioni;
  2. si occupa dell’attuazione del piano in materia di sicurezza (art. 12 cpv. 1);
  3. se l’azienda è stata autorizzata dal mandante ad aggiudicare un mandato sensibile a un’impresa subappaltatrice, chiede l’avvio della procedura di sicurezza relativa alle aziende per tale impresa.

Art. 14 Comunicazione dell’aggiudicazione

(art. 59 cpv. 1 LSIn)

L’aggiudicazione è comunicata separatamente per ogni singolo rapporto di mandato connesso a un contratto quadro.

Unitamente alla comunicazione dell’aggiudicazione, il mandante trasmette al Servizio specializzato PSA le informazioni necessarie per l’allestimento del piano in materia di sicurezza.

Art. 15 Controlli di sicurezza relativi alle persone

(art. 60 LSIn)

Il Servizio specializzato PSA stabilisce quali persone dell’azienda sottostanno ai controlli di sicurezza relativi alle persone.

Può autorizzare l’azienda ad avviare autonomamente il controllo di sicurezza relativo alle persone.

Sezione 5 Dichiarazione di sicurezza aziendale e ripetizione della procedura

Art. 16 Dichiarazione di sicurezza aziendale

(art. 61 e 62 LSIn)

La dichiarazione di sicurezza aziendale definisce l’attività sensibile sotto il profilo della sicurezza che l’azienda è autorizzata a esercitare.

Art. 17 Annunci dell’azienda

(art. 63 cpv. 2 LSIn)

Sono considerati cambiamenti rilevanti sotto il profilo della sicurezza in particolare:

  1. un cambiamento dei rapporti di proprietà o delle strutture dell’azienda;
  2. un cambiamento della sede aziendale;
  3. un cambiamento della composizione della direzione aziendale;
  4. un cambiamento delle relazioni d’interesse dei membri della direzione aziendale;
  5. un cambiamento a livello di solvibilità e un’eventuale procedura di pignoramento o di fallimento;
  6. l’esistenza di controversie giuridiche di diritto pubblico o privato nonché di procedimenti penali;
  7. un cambiamento nell’impiego di mezzi informatici;
  8. l’assunzione di collaboratori destinati ad essere coinvolti nelle attività sensibili sotto il profilo della sicurezza;
  9. un cambiamento nelle relazioni dell’azienda con Stati o organizzazioni esteri nonché una modifica di altre dipendenze;
  10. l’esecuzione di mandati che generano un conflitto di interessi con un mandante o una dipendenza da esso.

Sono considerati incidenti rilevanti sotto il profilo della sicurezza in particolare:

  1. l’accesso illecito all’azienda;
  2. l’impiego indebito dei mezzi informatici dell’azienda;
  3. un attacco tentato o riuscito ai mezzi informatici dell’azienda;
  4. la scoperta di punti deboli e di falle nella sicurezza;
  5. l’apertura di procedure esecutive e di procedimenti penali nei confronti di persone dell’azienda coinvolte nell’esecuzione del mandato sensibile;
  6. l’esecuzione di perquisizioni domiciliari e di sequestri presso l’azienda.

L’azienda deve anche annunciare i cambiamenti e gli incidenti rilevanti sotto il profilo della sicurezza che riguardano i fornitori, se tali cambiamenti e incidenti possono essere rilevanti per l’esecuzione del mandato sensibile.

L’azienda deve informare senza indugio il Servizio specializzato PSA se è prevedibile che al momento della scadenza della validità della dichiarazione di sicurezza aziendale è in corso l’esecuzione di un mandato sensibile.

Art. 18 Obblighi del mandante

Se constata un cambiamento o un incidente rilevante sotto il profilo della sicurezza nel corso della sua collaborazione con l’azienda, il mandante adotta le misure immediate necessarie e ne informa senza indugio il Servizio specializzato PSA.

Il mandante informa inoltre il Servizio specializzato PSA se:

  1. nell’ambito dell’esecuzione del mandato sensibile dispone di indizi che lasciano supporre una revoca dell’aggiudicazione secondo l’articolo 44 LAPub10;
  2. intende apportare un cambiamento al mandato rilevante sotto il profilo della sicurezza;
  3. intende assegnare un ulteriore mandato all’azienda.

Art. 19 Attestazione internazionale di sicurezza aziendale

(art. 66 LSIn)

Per il rilascio di un’attestazione internazionale di sicurezza aziendale il Servizio specializzato PSA riscuote un emolumento pari a 100 franchi.

Se per il rilascio dell’attestazione internazionale di sicurezza aziendale occorre dapprima effettuare una procedura di sicurezza relativa alle aziende, viene riscosso un emolumento supplementare in funzione del tempo impiegato. Si applica una tariffa oraria di 100–400 franchi. La tariffa dipende in particolare dall’urgenza dell’affare e dal livello di funzione del personale che esegue il lavoro. Per il resto si applica l’ordinanza generale dell’8 settembre 2004 11 sugli emolumenti.

Su richiesta, il Servizio specializzato della Confederazione per la sicurezza delle informazioni e il Servizio specializzato PSA possono trasmettere all’autorità estera o all’organizzazione internazionale una copia dell’attestazione internazionale di sicurezza aziendale.

Art. 20 Revoca della dichiarazione di sicurezza aziendale e ritiro del mandato

(art. 67 LSIn)

Se dispone di indizi secondo cui vi è un motivo per revocare la dichiarazione di sicurezza aziendale, il Servizio specializzato PSA accorda all’azienda, d’intesa con il mandante, un termine adeguato per eliminare le lacune.

Se il mandato viene ritirato in seguito alla revoca della dichiarazione di sicurezza aziendale, il mandante provvede senza indugio a:

  1. interrompere immediatamente tutte le attività sensibili sotto il profilo della sicurezza e a revocare i diritti d’accesso corrispondenti;
  2. proteggere tutte le informazioni classificate, i mezzi informatici e i materiali.

Il mandante conferma al Servizio specializzato PSA l’esecuzione delle misure di cui al capoverso 2 entro dieci giorni dalla presa di conoscenza della revoca.

Art. 21 Ripetizione della procedura

(art. 68 LSIn)

Il Servizio specializzato PSA è competente per l’avvio della ripetizione della procedura di sicurezza relativa alle aziende.

Se al momento della scadenza della validità della dichiarazione di sicurezza aziendale è in corso la procedura di ripetizione, la validità è prorogata fino al rilascio di una nuova dichiarazione di sicurezza aziendale o fino all’interruzione della procedura di sicurezza relativa alle aziende.

Se una dichiarazione di sicurezza aziendale non è rinnovata o se la procedura di sicurezza relativa alle aziende è interrotta, l’articolo 20 è applicabile per analogia. È fatto salvo l’articolo 58 capoverso 3 LSIn.

Sezione 6 Trattamento dei dati personali

Art. 22 Sistema d’informazione sulla procedura di sicurezza relativa alle aziende

(art. 70 LSIn)

I dati personali e aziendali contenuti nel sistema d’informazione sulla procedura di sicurezza relativa alle aziende sono elencati nell’allegato 1.

Art. 23 Controllo periodico del trattamento dei dati personali

(art. 73 lett. e LSIn)

Il DDPS provvede affinché un organo indipendente dal Servizio specializzato PSA verifichi almeno ogni cinque anni la liceità del trattamento dei dati personali da parte degli organi coinvolti.

Sezione 7 Prestazioni del Servizio specializzato PSA a favore dei Cantoni

(art. 86 cpv. 4 LSIn)

Art. 24

Per mandati sensibili sotto il profilo della sicurezza secondo il diritto cantonale, i Cantoni possono chiedere al Servizio specializzato PSA di svolgere una valutazione dell’idoneità secondo gli articoli 55–57 LSIn se:

  1. dispongono di una base legale sufficiente;
  2. per garantire la sicurezza delle informazioni intendono procedere a valutazioni analoghe a quelle della Confederazione; e
  3. hanno concluso con il DDPS un accordo sulle prestazioni.

L’accordo sulle prestazioni di cui al capoverso 1 lettera c disciplina in particolare:

  1. il numero delle valutazioni da effettuare;
  2. quali organi presso i Cantoni possono presentare la richiesta per lo svolgimento di tali valutazioni;
  3. il finanziamento delle prestazioni, comprese le modalità.

L’importo degli emolumenti è calcolato secondo l’articolo 19 capoverso 2.

Sezione 8 Disposizioni finali

Art. 25 Abrogazione e modifica di altri atti normativi

L’abrogazione e la modifica di altri atti normativi sono disciplinate nell’allegato 2.

Art. 26 Disposizione transitoria

Per i mandati aggiudicati prima dell’entrata in vigore della presente ordinanza e le procedure di tutela del segreto pendenti al momento dell’entrata in vigore si applica il diritto anteriore.

Art. 27 Entrata in vigore

La presente ordinanza entra in vigore il 1° gennaio 2024.

Allegato 1

(art. 22)

Dati del sistema d’informazione sulla procedura di sicurezza relativa alle aziende

Dati personali
  1. Cognome
  2. Nome
  3. Indirizzo
  4. Numero d’assicurato
  5. Nazionalità
  6. Luogo d’origine
  7. Datore di lavoro e indirizzo del datore di lavoro
  8. Stato civile
  9. Luogo di nascita
  10. Data di nascita
  11. Data della naturalizzazione
  12. Data dell’inizio del soggiorno in Svizzera
  13. Cognome e nome del coniuge o del partner
  14. Funzione
  15. Mandante e indirizzo del mandante
  16. Progetto
Dati concernenti l’azienda
Azienda
  1. Numero di dossier
  2. Denominazione
  3. Indirizzo
  4. Numero telefonico
  5. Numero di fax
  6. Indirizzo e-mail
  7. Indirizzo Internet
Incaricato della sicurezza aziendale
  1. Appellativo/titolo
  2. Cognome
  3. Nome
  4. Sesso
  5. Indirizzo e-mail
Dati concernenti i controlli
  1. Data della valutazione dell’idoneità
  2. Codice del ramo d’attività economica dell’azienda (codice NOGA)
  3. Visita (data, ordine cronologico e osservazioni)
  4. Controllo (data, ordine cronologico e osservazioni)
  5. Dichiarazione di sicurezza aziendale (data, rilascio, revoca, restituzione)
  6. Piano in materia di sicurezza (data, ordine cronologico)
Atti
  1. Numero di esemplare
  2. Mittente
  3. Data dell’atto
  4. Data di spedizione
  5. Data del controllo
  6. Data di restituzione
  7. Denominazione
Mandati
  1. Denominazione del mandato principale
  2. Mandante
  3. Denominazione dei mandati
  4. Classificazione
  5. Data di notifica
  6. Data d’inizio della validità
  7. Data di scadenza della validità
  8. Denominazione abbreviata del ramo
  9. Codice del ramo d’attività economica dell’azienda (codice NOGA)

Allegato 2

(art. 25)

Abrogazione e modifica di altri atti normativi

I

L’ordinanza del 29 agosto 1990 12 sulla tutela del segreto è abrogata.

II

Gli atti normativi qui appresso sono modificati come segue:

... 13