13.4023 · Interpellanza · 2013-11-27
Dipartimento delle Finanze
Liquidato
Wortlaut
Nel mese di giugno del 2011 il Consiglio federale ha adottato la decisione di principio di non gestire più autonomamente la trasmissione dei dati, ma di acquistare prestazioni sul mercato. Allora la decisione è stata argomentata con il fabbisogno di rinnovamento dell'infrastruttura tecnica e i costi. Dal 2014 fornitori esterni assumeranno quindi gradualmente la gestione della rete della Confederazione. Secondo la documentazione del bando, nell'arco di cinque anni le due imprese che ottengono l'aggiudicazione del progetto devono dotare di una nuova infrastruttura informatica 400 sedi dell'amministrazione federale in tutta la Svizzera. Rimangono escluse dal bando le sedi di Berna, che la Confederazione ha collegato a una propria rete a fibre ottiche. In concreto ciò significa che dal prossimo anno una gran parte dell'infrastruttura informatica della Confederazione sarà gestita da fornitori privati. Tuttavia non è solo da quando sono trapelate le rivelazioni riguardanti la NSA, che si è a conoscenza della ricerca attiva di informazioni da parte di Stati esteri (ad es. il crescente spionaggio economico, ecc.). Nella documentazione del bando viene nominata una serie di documenti che i provider devono fornire. Poiché si tratta di una procedura OMC, anche le imprese provenienti dall'estero sono ammesse.
Invitiamo pertanto il Consiglio federale a rispondere alle seguenti domande:
1. La Confederazione deve e può delegare a terzi questi compiti?
2. Con l'esternalizzazione la Confederazione consegna in mani estranee il controllo dei dati. In che misura questa procedura si concilia con le direttive della Confederazione rilevanti per la sicurezza?
3. È sicuro che i provider privati non si rivolgano a imprese terze e che quindi aumentino il potenziale di rischio?
4. I provider privati per motivi economici non hanno un interesse significativamente inferiore riguardo a costosi investimenti per la sicurezza rispetto al cliente, ossia alla Confederazione stessa?
5. Come avviene il controllo della protezione dei dati? Come viene garantito che i dispositivi di protezione per le apparecchiature e i dati nei centri esterni di calcolo siano sufficienti?
6. È obbligatorio un bando secondo i criteri OMC oppure il Consiglio federale può indire un bando limitato?
7. La prevista esternalizzazione corrisponde alla strategia della Confederazione per la protezione delle infrastrutture critiche?
Stellungnahme des Bundesrates
1. Nel mese di giugno del 2011, il Consiglio federale aveva deciso lo scorporo dei servizi di trasmissione dei dati per focalizzare le prestazioni proprie dell'amministrazione federale sul fabbisogno attuale e incrementare l'economicità. Al riguardo, il governo ha sempre tenuto conto, tra l'altro, delle richieste del Parlamento. A tale scopo, nel 2013 è stato pubblicato un bando per la fornitura di prestazioni preliminari nell'ambito della trasmissione di dati. La commessa è stata aggiudicata alla ditta Swisscom.
Sulla base delle considerazioni in merito all'attuale situazione di minaccia, in generale, per motivi di sicurezza dello Stato, il Consiglio federale intende assegnare, laddove possibile, la gestione di infrastrutture particolarmente critiche e fondamentali solo ad aziende che operano esclusivamente secondo il diritto svizzero, sono prevalentemente di proprietà svizzera e forniscono la prestazione interamente all'interno dei confini del nostro Paese.
2. Per l'amministrazione federale l'autarchia totale in fatto di concezione, fornitura di prestazioni, componenti e applicazioni nell'ambito dell'impiego delle tecnologie dell'informazione non è possibile. Sarà quindi sempre necessario ponderare economicità, efficienza propria e sicurezza. Nella fattispecie vengono rispettate le direttive in materia di sicurezza, che vengono anche applicate nei confronti di fornitori di prestazioni preliminari per la trasmissione di dati.
3. In questo caso il contraente viene obbligato contrattualmente a chiedere il consenso della Confederazione prima di rivolgersi a imprese terze. Il contratto prevede inoltre un diritto di verifica della Confederazione presso il fornitore, che permetta di verificare se il fornitore rispetta le direttive. Il fornitore deve garantire, per sé e per i suoi subappaltatori, il segreto e la sicurezza previsti nel contratto.
4. Il fornitore deve rispettare il livello di sicurezza previsto nel contratto. Grazie al diritto di verifica la Confederazione può, direttamente o attraverso terzi, sottoporre il fornitore a una verifica del rispetto delle esigenze.
5. Le attuali conoscenze sullo spionaggio elettronico da parte di servizi d'informazione di Stati esteri hanno indotto il Consiglio federale a condurre un'analisi e una valutazione approfondite della situazione di minaccia che riguarda l'intera fornitura di prestazioni TIC per l'mministrazione federale. I principi per la fornitura di prestazioni TIC desunti da questa analisi dovrebbero consentire ai dipartimenti e alla Cancelleria federale di esaminare, conformemente al bisogno di protezione individuale, la fornitura di prestazioni TIC da loro impiegate e di adottare eventualmente ulteriori misure di protezione. I fornitori esterni di prestazioni sono pertanto vincolati contrattualmente a rispettare le stesse direttive in materia di sicurezza applicabili ai fornitori interni di prestazioni. Nel caso in cui venga accertato un maggiore bisogno di protezione, occorre elaborare un piano per la sicurezza dell'informazione e la protezione dei dati d'intesa con il competente beneficiario interno delle prestazioni e i fornitori esterni di prestazioni.
6. In questo caso è stato possibile indire un bando di concorso OMC. Secondo l'articolo 3 LAPub o eventualmente l'articolo 13 OAPub, in caso di minaccia della sicurezza che non può essere tenuta sotto controllo con misure moderate è tra l'altro possibile, a seconda della fattispecie, adottare misure che tengono conto dei requisiti di sicurezza anche se possono limitare la concorrenza.
7. Gli obiettivi della strategia nazionale per la protezione della Svizzera contro i cyber-rischi sono l'individuazione precoce di minacce, l'incremento della capacità di resistenza e la riduzione dei cyber-rischi. Con l'analisi citata in apertura e le relative conclusioni, il Consiglio federale ha applicato proprio questi principi unitamente alle considerazioni sull'economicità e la focalizzazione dell'attività dell'amministrazione sull'impiego delle TIC nell'amministrazione federale.
Risposta del Consiglio federale.