AS 2021 132
Ordinanza sulla protezione contro i ciber-rischi nell’Amministrazione federale
RU 2021 www.dirittofederale.admin.ch La versione elettronica firmata è quella determinante
Ordinanza sulla protezione contro i ciber-rischi nell’Amministrazione federale (Ordinanza sui ciber-rischi, OCiber)
Modifica del 24 febbraio 2021
Il Consiglio federale svizzero ordina:
I L’ordinanza del 27 maggio 20201 sui ciber-rischi è modificata come segue:
Art. 3 lett. h Nella presente ordinanza s’intende per: h. oggetti informatici da proteggere: applicazioni, servizi, sistemi, reti, colle- zioni di dati, infrastrutture e prodotti informatici; più oggetti identici o con- nessi tra loro possono essere raggruppati in un solo oggetto informatico da proteggere.
Art. 13 cpv. 3, 4 e 5 3 I dipartimenti e la Cancelleria federale designano ciascuno un incaricato della sicu- rezza informatica (ISID), che opera su incarico diretto della direzione del diparti- mento.
4 Gli ISID hanno segnatamente i seguenti compiti:
a. coordinare tutti gli aspetti della sicurezza informatica all’interno del diparti- mento o della Cancelleria federale nonché con i servizi preposti al coordina- mento e alla collaborazione interdipartimentali; b. elaborare le basi necessarie per l’attuazione delle direttive in materia di sicu- rezza informatica e per l’organizzazione a livello di dipartimento o della Can- celleria federale.
1 RS 120.73
2021-0586 RU 2021 132
Ordinanza sui ciber-rischi RU 2021 132
5 I dipartimenti e la Cancelleria federale disciplinano il rapporto tra l’ISID e l’incari- cato della sicurezza informatica delle unità amministrative (ISIU), segnatamente la responsabilità tecnica per le questioni di sicurezza.
Art. 14 Unità amministrative e i loro fornitori di prestazioni 1 Ogni unità amministrativa designa il proprio ISIU, che opera su incarico diretto della direzione dell’unità amministrativa. Il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (settore TDT) designa inoltre un incaricato della sicurezza informatica per i servizi standard. 2 Gli ISIU e l’incaricato della sicurezza informatica per i servizi standard hanno i se- guenti compiti: a. garantire una rapida attuazione delle direttive in materia di sicurezza informa- tica e l’applicazione delle procedure di sicurezza (cap. 3a.); b. provvedere affinché al momento dell’assunzione, e in seguito periodicamente, i collaboratori vengano sensibilizzati e istruiti sui temi legati alla sicurezza informatica e conoscano le competenze e i processi della sicurezza informa- tica nel loro ambito lavorativo, a seconda del livello gerarchico e della fun- zione; c. informare il responsabile dell’unità amministrativa almeno ogni sei mesi sullo stato della sicurezza informatica all’interno dell’unità amministrativa. 3 Le unità amministrative sono responsabili della sicurezza dei propri oggetti infor- matici da proteggere. Hanno le seguenti funzioni: a. tenere un inventario dei loro oggetti informatici da proteggere e adottare le necessarie misure di sicurezza; provvedere segnatamente affinché la docu- mentazione di queste misure sia aggiornata per ogni oggetto informatico da proteggere; b. garantire il rispetto e l’attuazione delle direttive in materia di sicurezza infor- matica, delle procedure di sicurezza nonché delle decisioni del Consiglio fe- derale, dell’NCSC e dei dipartimenti o della Cancelleria federale nel loro set- tore di competenza; c. fatto salvo l’articolo 12 capoverso 5, gestire i ciberincidenti che riguardano i loro oggetti informatici da proteggere; d. in caso di acquisizione di prestazioni presso un fornitore esterno, garantire che le direttive in materia di sicurezza informatica siano parte integrante del rap- porto contrattuale con il fornitore; e. verificare in modo appropriato che i fornitori esterni rispettino le direttive in materia di sicurezza informatica; f. assicurare che le responsabilità per la sicurezza informatica a livello operativo siano definite negli accordi di progetto e di prestazione tra i fornitori di pre- stazioni e i beneficiari di prestazioni;
Ordinanza sui ciber-rischi RU 2021 132
g. provvedere affinché le persone a cui la presente ordinanza non è applicabile possano accedere all’infrastruttura informatica della Confederazione soltanto se si impegnano a rispettare le direttive in materia di sicurezza informatica.
4 I fornitori di prestazioni hanno le seguenti funzioni:
a. su richiesta, mettere a disposizione dei beneficiari di prestazioni in forma ade- guata tutte le informazioni necessarie alla protezione degli oggetti informatici da proteggere; b. garantire di disporre delle capacità necessarie alle analisi tecniche e alla ge- stione dei ciberincidenti che possono verificarsi ai loro danni o ai danni dei beneficiari di prestazioni; c. comunicare senza indugio ai beneficiari di prestazioni le vulnerabilità sco- perte e gli incidenti legati alla sicurezza riguardanti i loro oggetti informatici da proteggere; d. definire in collaborazione con i beneficiari di prestazioni un processo di ge- stione dei ciberincidenti; questo processo disciplina segnatamente le compe- tenze decisionali per l’adozione di misure urgenti. 5 Se un ciberincidente non può essere gestito nell’ambito del processo definito, gli interessati informano l’NCSC al fine di determinare l’ulteriore modo di procedere. 6 Le unità amministrative consultano l’NCSC in merito a direttive e progetti informa- tici rilevanti dal profilo della sicurezza. 7 Sono responsabili dello sviluppo, dell’attuazione e dell’esame di standard e norme in materia di cibersicurezza nei loro settori. Per quanto possibile, l’NCSC mette a loro disposizione esperti del pool di cui all’articolo 12 capoverso 1 lettera g.
Inserire dopo l’art. 14
Art. 14a Collaboratori I collaboratori dell’Amministrazione federale che utilizzano mezzi informatici sono responsabili del loro utilizzo conforme alle prescrizioni.
Titolo dopo l’art. 14a Capitolo 3a: Procedura di sicurezza
Art. 14b Analisi del bisogno di protezione 1 Le unità amministrative garantiscono che tutti gli oggetti informatici da proteggere siano stati sottoposti a un’analisi recente del bisogno di protezione. Per i progetti IT devono eseguire l’analisi del bisogno di protezione prima dell’avvio del progetto. 2 Nell’ambito dell’analisi del bisogno di protezione valutano gli aspetti della confi- denzialità, dell’accessibilità, dell’integrità, della tracciabilità e della minaccia di spio- naggio da parte dei servizi di informazione.
Ordinanza sui ciber-rischi RU 2021 132
Art. 14c Protezione di base Le unità amministrative attuano le direttive per la protezione di base per tutti gli og- getti informatici da proteggere e documentano l’attuazione.
Art. 14d Protezione elevata 1 Se dall’analisi del bisogno di protezione risulta un bisogno di protezione elevato, oltre all’attuazione delle direttive in materia di sicurezza per la protezione di base le unità amministrative definiscono, sulla base di un’analisi dei rischi, ulteriori misure di sicurezza, le documentano e le attuano. 2 Le unità amministrative rilevano e documentano i rischi che non possono essere ri- dotti o possono esserlo soltanto in misura insufficiente (rischi residui). Il committente del progetto, il responsabile dei processi aziendali e la direzione dell’unità ammini- strativa prendono atto dei rischi residui e ne danno conferma per scritto. 3 Spetta al responsabile dell’unità amministrativa competente decidere se assumere i rischi residui noti.
Art. 14e Periodicità
1 Le procedure di sicurezza devono essere eseguite almeno ogni cinque anni.
2 Devono essere eseguite senza indugio se l’oggetto informatico da proteggere o la situazione di minaccia subiscono modifiche rilevanti per la sicurezza.
Titolo prima dell’art. 14f Capitolo 3b: Costi sostenuti a livello decentralizzato
1 I costi sostenuti a livello decentralizzato per la sicurezza informatica fanno parte dei costi dei progetti e di quelli di esercizio.
2 Devono essere debitamente considerati nella pianificazione.
II La modifica di altri atti normativi è disciplinata nell’allegato.
Ordinanza sui ciber-rischi RU 2021 132
III La presente ordinanza entra in vigore il 1° aprile 2021.
24 febbraio 2021 In nome del Consiglio federale svizzero: Il presidente della Confederazione, Guy Parmelin Il cancelliere della Confederazione, Walter Thurnherr
Ordinanza sui ciber-rischi RU 2021 132
Allegato (cifra II) Modifica di altri atti normativi Gli atti normativi qui appresso sono modificati come segue:
1. Ordinanza del 4 dicembre 20092 sulle misure di polizia
amministrativa dell’Ufficio federale di polizia e sul sistema d’informazione HOOGAN
Art. 13 cpv. 1 lett. b
1 La sicurezza dei dati è retta:
b. dall’ordinanza del 27 maggio 20203 sui ciber-rischi.
2. Ordinanza del 16 agosto 20174 sui sistemi d’informazione e
di memorizzazione del Servizio delle attività informative della Confederazione
Art. 13 cpv. 1 lett. b e d
1 Per garantire la sicurezza dei dati si applicano:
b. l’ordinanza del 27 maggio 20205 sui ciber-rischi; d. Abrogata
3. Ordinanza 3 dell’11 agosto 19996 sull’asilo
Art. 12 lett. b e c La sicurezza dei dati è retta: b. dall’ordinanza del 27 maggio 20207 sui ciber-rischi; c. Abrogata
2 RS 120.52 3 RS 120.73 4 RS 121.2 5 RS 120.73 6 RS 142.314 7 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
4. Ordinanza VIS del 18 dicembre 20138
Art. 34 lett. c Abrogata
5. Ordinanza SIMIC del 12 aprile 20069
Art. 17 cpv. 1
1 La sicurezza dei dati è retta:
a. dall’ordinanza del 14 giugno 199310 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202011 sui ciber-rischi.
6. Ordinanza del 5 dicembre 200812 sulla gestione immobiliare e la
logistica della Confederazione
Art. 41 cpv. 2
2 L’UFCL emana istruzioni per il settore della logistica. Sono fatte salve:
a. l’ordinanza del 25 novembre 202013 sulla trasformazione digitale e l’informa- tica; b. l’ordinanza del 27 maggio 202014 sui ciber-rischi.
7. Ordinanza SSVIP del 18 novembre 201515
Art. 11 cpv. 1
1 La sicurezza dei dati e la sicurezza informatica sono rette:
a. dall’ordinanza del 14 giugno 199316 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202017 sui ciber-rischi.
8 RS 142.512 9 RS 142.513 10 RS 235.11 11 RS 120.73 12 RS 172.010.21 13 RS 172.010.58 14 RS 120.73 15 RS 172.211.21 16 RS 235.11 17 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
8. Ordinanza Web DFAE del 5 novembre 201418
Art. 12 cpv. 1
1 La sicurezza dei dati e la sicurezza informatica sono disciplinate:
a. dall’ordinanza del 14 giugno 199319 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202020 sui ciber-rischi.
9. Ordinanza del 28 aprile 200421 sullo stato civile
Art. 83 cpv. 2 2 L’UFSC consulta l’Incaricato federale della protezione dei dati e della trasparenza così come il Centro nazionale per la cibersicurezza.
10. Ordinanza del 30 giugno 199322 sull’organizzazione della statistica
federale
Art. 10 Protezione e sicurezza dei dati 1 La protezione dei dati è assicurata dalle disposizioni della legge e dell’ordinanza del 30 giugno 199323 sulle rilevazioni statistiche, nonché da quelle della legge del 19 giu- gno 199224 sulla protezione dei dati e dell’ordinanza del 14 giugno 199325 relativa alla legge federale sulla protezione dei dati. 2 La sicurezza dei dati è garantita dalle disposizioni della legge e da quelle dell’ordi- nanza del 27 maggio 202026 sui ciber-rischi, nonché da quelle dell’ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati.
18 RS 172.220.111.42 19 RS 235.11 20 RS 120.73 21 RS 211.112.2 22 RS 431.011 23 RS 431.012.1 24 RS 235.1 25 RS 235.11 26 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
11. Ordinanza del 2 luglio 200827 sulle armi
1 La sicurezza dei dati è retta:
a. dall’ordinanza del 14 giugno 199328 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202029 sui ciber-rischi.
12. Ordinanza E-VERA del 17 agosto 201630
Art. 14 cpv. 1 lett. b e c
1 La sicurezza informatica è retta:
b. dall’ordinanza del 27 maggio 202031 sui ciber-rischi; c. Abrogata
13. Ordinanza del 9 dicembre 201132 sul sistema d’informazione
EDAssist+
Art. 16 cpv. 1
1 La sicurezza dei dati e la sicurezza informatica sono rette:
a. dall’ordinanza del 14 giugno 199333 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202034 sui ciber-rischi.
27 RS 514.541 28 RS 235.11 29 RS 120.73 30 RS 235.22 31 RS 120.73 32 RS 235.24 33 RS 235.11 34 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
14. Ordinanza del 7 novembre 201235 sulla protezione extraprocessuale
dei testimoni
Art. 15 cpv. 1 lett. b e c
1 Per garantire la sicurezza dei dati si applicano:
b. l’ordinanza del 27 maggio 202036 sui ciber-rischi; c. Abrogata
15. Ordinanza VOSTRA del 29 settembre 200637
Art. 27 cpv. 1 lett. a
1 Per garantire la sicurezza dei dati si applicano in particolare:
a. l’ordinanza del 27 maggio 202038 sui ciber-rischi;
16. Ordinanza EGAP del 23 settembre 201639
Art. 14 cpv. 1 lett. b e c
1 La sicurezza dei dati è retta:
b. dall’ordinanza del 27 maggio 202040 sui ciber-rischi; c. Abrogata
17. Ordinanza JANUS del 15 ottobre 200841
Art. 26 Sicurezza dei dati Per garantire la sicurezza dei dati si applicano: a. l’ordinanza del 14 giugno 199342 relativa alla legge sulla protezione dei dati; b. l’ordinanza del 27 maggio 202043 sui ciber-rischi.
35 RS 312.21 36 RS 120.73 37 RS 331 38 RS 120.73 39 RS 351.12 40 RS 120.73 41 RS 360.2 42 RS 235.11 43 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
1 Per garantire la sicurezza dei dati si applicano:
a. l’ordinanza del 14 giugno 199344 relativa alla legge sulla protezione dei dati; b. l’ordinanza del 27 maggio 202045 sui ciber-rischi.
1 Per garantire la sicurezza dei dati si applicano:
a. l’ordinanza del 14 giugno 199346 relativa alla legge sulla protezione dei dati; b. l’ordinanza del 27 maggio 202047 sui ciber-rischi.
18. Ordinanza RIPOL del 26 ottobre 201648
Art. 14 cpv. 2
2 La sicurezza dei dati è disciplinata:
a. dall’ordinanza del 14 giugno 199349 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202050 sui ciber-rischi.
19. Ordinanza IPAS del 15 ottobre 200851
Art. 12 Sicurezza dei dati La sicurezza dei dati è garantita: a. dall’ordinanza del 14 giugno 199352 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202053 sui ciber-rischi.
44 RS 235.11 45 RS 120.73 46 RS 235.11 47 RS 120.73 48 RS 361.0 49 RS 235.11 50 RS 120.73 51 RS 361.2 52 RS 235.11 53 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
20. Ordinanza del 6 dicembre 201354 sul trattamento dei dati segnaletici
di natura biometrica
Art. 14 lett. b La sicurezza dei dati è retta da: b. l’ordinanza del 27 maggio 202055 sui ciber-rischi.
21. Ordinanza del 15 ottobre 200856 sul Registro nazionale di polizia
Art. 12 cpv. 1
1 Per la salvaguardia della sicurezza dei dati si applicano:
a. l’ordinanza del 14 giugno 199357 relativa alla legge federale sulla protezione dei dati; b. l’ordinanza del 27 maggio 202058 sui ciber-rischi.
22. Ordinanza N-SIS dell’8 marzo 201359
Art. 53 cpv. 1 lett. c Abrogata
23. Ordinanza del 3 dicembre 200460 sui profili del DNA
Art. 19 cpv. 1
1 La sicurezza dei dati è disciplinata:
a. dagli articoli 20–23 dell’ordinanza del 14 giugno 199361 relativa alla legge federale sulla protezione dei dati; b. dall’ordinanza del 27 maggio 202062 sui ciber-rischi.
54 RS 361.3 55 RS 120.73 56 RS 361.4 57 RS 235.11 58 RS 120.73 59 RS 362.0 60 RS 363.1 61 RS 235.11 62 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
24. Ordinanza del 15 settembre 201763 concernente i sistemi
d’informazione nella formazione professionale e nel settore universitario
Art. 21 cpv. 1
1 La sicurezza dei dati e la sicurezza informatica sono disciplinate:
a. dalla legge federale del 19 giugno 199264 sulla protezione dei dati e le sue disposizioni esecutive; b. dall’ordinanza del 27 maggio 202065 sui ciber-rischi.
25. Ordinanza del 9 giugno 201766 sul Registro federale degli edifici
e delle abitazioni
Art. 18 La sicurezza dei dati è disciplinata: a. nell’ordinanza del 14 giugno 199367 relativa alla legge federale sulla prote- zione dei dati; b. nell’ordinanza del 27 maggio 202068 sui ciber-rischi.
26. Ordinanza del 30 giugno 199369 sul Registro delle imprese
e degli stabilimenti
Art. 15 Sicurezza dei dati La sicurezza dei dati è garantita: a. dall’ordinanza del 14 giugno 199370 relativa alla legge sulla protezione dei dati; b. dall’ordinanza del 27 maggio 202071 sui ciber-rischi.
63 RS 412.108.1 64 RS 235.1 65 RS 120.73 66 RS 431.841 67 RS 235.11 68 RS 120.73 69 RS 431.903 70 RS 235.11 71 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
27. Ordinanza del 20 aprile 201672 concernente il controllo della
provenienza legale dei prodotti della pesca marittima importati
Art. 24 Sicurezza informatica I provvedimenti volti a garantire la sicurezza informatica sono retti dall’ordinanza del 27 maggio 202073 sui ciber-rischi.
28. Ordinanza del 1° settembre 201074 concernente il sistema
d’informazione elettronico per la gestione degli esperimenti sugli animali
Art. 20 cpv. 1 1 Le misure per garantire la sicurezza informatica si basano sull’ordinanza del 27 mag- gio 202075 sui ciber-rischi.
29. Ordinanza del 12 agosto 201576 sul centro di notifica per i
medicamenti a uso umano d’importanza vitale
Art. 8 cpv. 2
2 Per il resto si applicano:
a. l’ordinanza del 14 giugno 199377 relativa alla legge sulla protezione dei dati; b. l’ordinanza del 27 maggio 202078 sui ciber-rischi.
30. Ordinanza del 16 marzo 200779 sull’attribuzione di organi
1 Per garantire la sicurezza dei dati si applicano:
a. gli articoli 20 e 21 dell’ordinanza del 14 giugno 199380 relativa alla legge fe- derale sulla protezione dei dati; b. l’ordinanza del 27 maggio 202081 sui ciber-rischi.
72 RS 453.2 73 RS 120.73 74 RS 455.61 75 RS 120.73 76 RS 531.215.32 77 RS 235.11 78 RS 120.73 79 RS 810.212.4 80 RS 235.11 81 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
31. Ordinanza del 20 agosto 201482 sul sistema d’informazione
del servizio civile
Art. 11 cpv. 1 lett. b e c
1 La sicurezza dei dati si fonda su:
b. l’ordinanza del 27 maggio 202083 sui ciber-rischi; c. Abrogata
32. Ordinanza del 31 ottobre 200784 sugli assegni familiari
Abrogata
33. Ordinanza SAS-DFAE del 5 novembre 201485
Art. 12 cpv. 1 lett. b e c
1 La sicurezza informatica è retta:
b. dall’ordinanza del 27 maggio 202086 sui ciber-rischi; c. Abrogata
34. Ordinanza del 6 giugno 201487 concernente i sistemi d’informazione
per il servizio veterinario pubblico
Art. 28 cpv. 1 1 Le misure atte a garantire la sicurezza informatica sono rette dall’ordinanza del 27 maggio 202088 sui ciber-rischi.
82 RS 824.095 83 RS 120.73 84 RS 836.21 85 RS 852.12 86 RS 120.73 87 RS 916.408 88 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
35. Ordinanza del 18 novembre 201589 concernente l’importazione, il
transito e l’esportazione di animali e prodotti animali nel traffico con Paesi terzi
Art. 102g Sicurezza informatica Le misure volte a garantire la sicurezza informatica sono disciplinate dall’ordinanza del 27 maggio 202090 sui ciber-rischi.
36. Ordinanza del 12 agosto 201591 sul sistema di trattamento
dei dati concernenti le prestazioni di sicurezza private
Art. 9 cpv. 1
1 La sicurezza dei dati e la sicurezza informatica sono rette:
a. dall’ordinanza del 14 giugno 199392 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202093 sui ciber-rischi.
37. Ordinanza del 27 novembre 200094 sugli esplosivi
1 La sicurezza dei dati è retta:
a. dall’articolo 7 della legge federale del 19 giugno 199295 sulla protezione dei dati; b. dall’ordinanza del 27 maggio 202096 sui ciber-rischi.
89 RS 916.443.10 90 RS 120.73 91 RS 935.412 92 RS 235.11 93 RS 120.73 94 RS 941.411 95 RS 235.1 96 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132
38. Ordinanza del 25 agosto 200497 sull’Ufficio di comunicazione in
materia di riciclaggio di denaro
Art. 19 cpv. 1
1 La sicurezza dei dati è retta:
a. dall’ordinanza del 14 giugno 199398 relativa alla legge federale sulla prote- zione dei dati; b. dall’ordinanza del 27 maggio 202099 sui ciber-rischi.
97 RS 955.23 98 RS 235.11 99 RS 120.73
Ordinanza sui ciber-rischi RU 2021 132