Lexipedia

AS 2024 282

Ordinanza sull’approvvigionamento elettrico (OAEl)

Preambolo

Il Consiglio federale svizzero

ordina:

I

L’ordinanza del 14 marzo 20081 sull’approvvigionamento elettrico è modificata come segue:

Art. 1 cpv. 22 Le disposizioni della LAEl, alla base di un approvvigionamento di energia elettrica sicuro, si applicano anche alla rete di trasporto delle ferrovie svizzere, gestita con una frequenza di 16,7 Hz e un livello di tensione di 132 kV. Si applicano in particolare gli articoli 4 capoverso 1 lettere a e b, 8, 9 e 11 LAEl, ma non l’articolo 8a.

Art. 5a Protezione dai ciberattacchi1 Per garantire una protezione adeguata degli impianti dai ciberattacchi, proteggendo in particolare le tecnologie dell’informazione e della comunicazione (TIC), le raccomandazioni contenute nello Standard minimo per migliorare la resilienza delle TIC (Standard minimo TIC) del maggio 20232 sono vincolanti conformemente al rispettivo livello di protezione di cui all’allegato 1 per: a. i gestori di rete; b. i produttori, esclusi i gestori di centrali nucleari, e i gestori di impianti di stoccaggio, sempre che gestiscano impianti con una potenza complessiva di almeno 100 MW che e possano controllarli attraverso un unico sistema; c. i fornitori di servizi che possono controllare in modo permanente:1 gli impianti dei gestori di rete, oppure2. gli impianti di produttori, esclusi i gestori di centrali nucleari, o di gestori di impianti di stoccaggio, sempre che in tal modo abbiano accesso attraverso un unico sistema a una potenza complessiva di almeno 100 MW.2 I regolamenti riconosciuti a livello internazionale citati nello standard minimo TIC non sono vincolanti. 3 Qualora la ElCom lo richieda, deve esserle fornita la prova del raggiungimento del livello di protezione previsto.

Art. 5abisEx art. 5a

II

1 L’allegato 1 è modificato secondo la versione qui annessa.

2 Alla presente ordinanza è aggiunto l’allegato 1a secondo la versione qui annessa.

III

La presente ordinanza entra in vigore il 1° luglio 2024.

31 maggio 2024

In nome del Consiglio federale svizzero:

La presidente della Confederazione, Viola Amherd
Il cancelliere della Confederazione, Viktor Rossi

(art. 13 cpv. 3bis)

Determinazione del costo medio ponderato del capitale

Rimando tra parentesi sotto l’indicazione «Allegato 1»(art. 4d cpv. 3, 13 cpv. 3bis e 18a cpv. 3)

(art. 5a cpv. 1)

Livello da raggiungere nella protezione dai ciberattacchi

1 Attribuzione alle categorie

I gestori di rete, produttori, gestori di impianti di stoccaggio e fornitori di servizi di cui all’articolo 5a sono suddivisi nelle categorie seguenti a seconda della quantità di elettricità trasportata e della potenza:

Categoria A

Categoria B

Categoria C

  • 1.1 Gestori di rete con una quantità di elettricità trasportata nel proprio comprensorio pari a:

≥ 450 GWh/anno

≥ 112 GWh/anno
e
≥ 450 GWh/anno

≥ 112 GWh/anno

  • 1.2 Fornitori di servizi che possono controllare in modo permanente impianti dei gestori di rete, sempre che in tal modo abbiano accesso attraverso un unico sistema a una quantità di elettricità trasportata pari a:

  • 1.3 Produttori, esclusi i gestori di centrali nucleari, e gestori di impianti di stoccaggio, sempre che gli impianti presentino la seguente potenza complessiva controllabile attraverso un unico sistema:

≥ 800 MW

≥ 100 MW
e
< 800 MW

  • 1.4 Fornitori di servizi che possono controllare in modo permanente impianti di produttori, esclusi i gestori di centrali nucleari, o di gestori di impianti di stoccaggio, sempre che in tal modo abbiano accesso attraverso un unico sistema a una potenza pari a:

2 Valori minimi

Per i compiti elencati di seguito, se applicabili, devono essere raggiunti almeno i seguenti valori, indicati al capitolo 3.1.1 dello Standard minimo TIC3 nella categoria corrispondente, e qualora la ElCom lo richieda deve essere fornita la prova del loro raggiungimento (cfr. art. 5a cpv. 3):

Livello di protezione
per la categoria A

Livello di protezione
per la categoria B

Livello di protezione
per la categoria C

  • 2.1 Identificare (ID = identify)

  • 2.1.1 Gestione dell’inventario (AM = Asset Management)

ID.AM-1

4

3

3

ID.AM-2

4

3

2

ID.AM-3

3

3

2

ID.AM-4

3

3

ID.AM-5

3

3

ID.AM-6

4

4

3

  • 2.1.2 Ambiente operativo (BE = Business Environment)

ID.BE-1

3

2

ID.BE-2

3

2

ID.BE-3

3

3

ID.BE-4

3

3

ID.BE-5

3

2

  • 2.1.3 Direttive (GV = Governance)

ID.GV-1

4

4

3

ID.GV-2

4

3

3

ID.GV-3

4

4

3

ID.GV-4

3

3

  • 2.1.4 Analisi dei rischi (RA = Risk Assessment)

ID.RA-1

3

2

ID.RA-2

4

3

ID.RA-3

4

3

ID.RA-4

4

3

ID.RA-5

3

2

ID.RA-6

3

2

  • 2.1.5 Strategia di gestione dei rischi (RM = Risk Management Strategy)

ID.RM-1

4

2

ID.RM-2

3

3

ID.RM-3

3

3

  • 2.1.6 Gestione dei rischi della catena di fornitura (SC = Supply Chain Riskmanagement)

ID.SC-1

3

3

ID.SC-2

3

3

ID.SC-3

3

3

3

ID.SC-4

3

2

ID.SC-5

3

2

  • 2.2 Proteggere (PR = Protect)

  • 2.2.1 Gestione e controllo degli accessi (AC = Access Control)

PR.AC-1

4

3

2

PR.AC-2

3

3

2

PR.AC-3

4

4

3

PR.AC-4

3

3

2

PR.AC-5

4

3

2

PR.AC-6

4

3

2

PR.AC-7

3

3

2

  • 2.2.2 Sensibilizzazione e formazione (AT = Awareness and Training)

PR.AT-1

4

3

3

PR.AT-2

4

3

3

PR.AT-3

3

3

PR.AT-4

4

3

3

PR.AT-5

3

3

  • 2.2.3 Sicurezza dei dati (DS = Data Security)

PR.DS-1

3

2

PR.DS-2

4

4

2

PR.DS-3

3

3

PR.DS-4

3

2

PR.DS-5

3

2

PR.DS-6

3

2

PR.DS-7

3

2

PR.DS-8

3

2

  • 2.2.4 Protezione di dati (IP = Information Protection Processes and Procedures)

PR.IP-1

3

2

2

PR.IP-2

4

3

PR.IP-3

3

3

PR.IP-4

4

4

3

PR.IP-5

4

4

3

PR.IP-6

3

3

PR.IP-7

3

2

PR.IP-8

3

2

PR.IP-9

4

2

2

PR.IP-10

4

2

PR.IP-11

3

2

PR.IP-12

3

2

  • 2.2.5 Manutenzione (MA = Maintenance)

PR.MA-1

3

3

PR.MA-2

4

3

2

  • 2.2.6 Impiego di tecnologie di protezione (PT = Protective Technology)

PR.PT-1

3

2

PR.PT-2

4

4

3

PR.PT-3

4

3

PR.PT-4

4

3

3

PR.PT-5

3

2

  • 2.3 Intercettare (DE = detect)

  • 2.3.1 Anomalie ed eventi (AE = Anomalies and Events)

DE.AE-1

3

2

DE.AE-2

3

2

DE.AE-3

3

2

DE.AE-4

3

2

DE.AE-5

3

2

  • 2.3.2 Controllo (CM = Security Continous Monitoring)

DE.CM-1

3

3

2

DE.CM-2

3

3

2

DE.CM-3

3

2

DE.CM-4

3

3

2

DE.CM-5

3

3

2

DE.CM-6

3

2

DE.CM-7

3

2

2

DE.CM-8

3

2

  • 2.3.3 Procedure di intercettazione (DP = Detection Processes)

DE.DP-1

4

4

2

DE.DP-2

3

2

DE.DP-3

3

3

DE.DP-4

3

2

DE.DP-5

3

2

  • 2.4 Reagire (RS = Respond)

  • 2.4.1 Piano di reazione (RP = Response Planning)

RS.RP-1

3

3

2

  • 2.4.2 Comunicazione (CO = Communications)

RS.CO-1

3

3

2

RS.CO-2

4

4

2

RS.CO-3

3

2

RS.CO-4

3

2

RS.CO-5

3

2

  • 2.4.3 Analisi (AN = Analysis)

RS.AN-1

3

3

RS.AN-2

3

3

RS.AN-3

2

2

RS.AN-4

2

2

RS.AN-5

2

2

  • 2.4.4 Diminuzione del danno (MI = Mitigation)

RS.MI-1

3

3

2

RS.MI-2

3

2

2

RS.MI-3

3

2

2

  • 2.4.5 Miglioramenti (IM = Improvements)

RS.IM-1

3

3

RS.IM-2

3

3

  • 2.5 Ripristinare (RC = Recover)

  • 2.5.1 Piano di ripristino (RP = Recovery Planning)

RC.RP-1

3

3

2

  • 2.5.2 Miglioramenti (IM = Improvements)

RC.IM-1

3

2

RC.IM-2

3

2

  • 2.5.3 Comunicazione (CO = Communications)

RC.CO-1

2

1

RC.CO-2

2

1

RC.CO-3

2

1