16.3528 · Mozione · 2016-06-16
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Il Consiglio federale è incaricato di creare un centro di competenza a livello federale nell'ambito della cyberdifesa, di riunire le risorse dei vari dipartimenti e di ridurre così al minimo i cyber-rischi. Se possibile questo centro di competenza dovrebbe essere rafforzato con una truppa di milizia.
Begründung
La strategia nazionale per la protezione della Svizzera contro i cyber-rischi stabilisce che ogni dipartimento è competente per la propria cyberdifesa. Invece di riunire le risorse e le esperienze ogni dipartimento deve crearsi un know-how in materia. Con un centro di competenza si possono sfruttare le sinergie e impiegare quindi le forze lavorative in modo mirato. Non è né ragionevole né efficace che ogni dipartimento debba gestire un proprio organo per la cyberdifesa per garantire la sicurezza.
Un centro di competenza che sia competente anche per le infrastrutture critiche (Confederazione, cantoni e imprese civili, es. Swissgrid) e che funga da interlocutore può lavorare in modo più efficace. Se per ragioni di politica di sicurezza questo centro avesse sede presso il DDPS si potrebbero incrementare le risorse di personale con militari di milizia che hanno esperienza informatica grazie alla loro professione.
Per garantire la cybersicurezza una parte del budget dell'esercito deve essere sempre utilizzata per la protezione delle infrastrutture critiche.
Antrag des Bundesrates
Il Consiglio federale propone di respingere la mozione.
Stellungnahme des Bundesrates
Il Consiglio federale mette in discussione l'affermazione secondo cui una centralizzazione delle competenze sarebbe in grado di minimizzare i cyberrischi per la Confederazione, l'economia e la società svizzere.
Una promettente minimizzazione dei rischi può avvenire unicamente alla fonte di tali rischi. Un centro di competenza centralizzato non è in grado di minimizzare i rischi, in parte molto diversi, per l'economia, la società e l'amministrazione. Anche nel cyberspazio valgono i medesimi principi della gestione dei rischi come in altri ambiti, ad esempio in caso di interruzioni di corrente locali o inondazioni. La Confederazione può e deve proteggere le proprie infrastrutture e minimizzare i rischi; inoltre è in grado di sostenere l'economia e la società nell'affrontare le proprie responsabilità e rafforzare le capacità. La Confederazione è in grado di identificare tempestivamente i pericoli, analizzare gli eventi ed esprimere raccomandazioni o emanare ordinanze entro i limiti previsti dalla legge. Anche con un impiego notevole di mezzi, la salvaguardia della cybersicurezza dell'intera struttura IT della Svizzera non potrebbe mai essere garantita unicamente dall'esercito o dalla Confederazione.
Un centro di competenza presso la Confederazione per le infrastrutture critiche è stato creato con la strategia nazionale per la protezione delle infrastrutture critiche. L'Ufficio federale della protezione della popolazione (UFPP) coordina, tra l'altro, la concretizzazione della strategia ed elabora basi concettuali. Per l'ambito specifico della cybersicurezza, il centro di competenza è la centrale d'annuncio e di analisi per la sicurezza dell'informazione (Melani) che coordina anche l'attuazione della Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC). In questo contesto si pone la domanda in merito al tipo di responsabilità che la Confederazione deve e può assumersi per l'operato di aziende nel settore delle infrastrutture critiche. Oltre alle regolamentazioni settoriali, non esiste una base legale per una maggiore assunzione delle responsabilità da parte della Confederazione; inoltre, secondo il Consiglio federale ciò potrebbe limitare la capacità imprenditoriale di agire delle aziende. V'è da segnalare che durante l'elaborazione dell'attuale SNPC le aziende hanno messo in discussione una centralizzazione presso il DDPS.
Prima di un ampliamento del ruolo del DDPS, rispettivamente dell'esercito, in tale ambito il Consiglio federale e il Parlamento dovrebbero intavolare una discussione di fondo in merito al ruolo che l'esercito dovrebbe assumere per minimizzare i cyberrischi per lo Stato, l'economia e la società. Attualmente non vi è alcuna base per un ruolo più ampio dell'esercito nell'ambito della cybersicurezza. Inoltre non esiste una base legale per utilizzare una parte del budget dell'esercito per la protezione, nell'ambito cyber o in altri ambiti, delle infrastrutture critiche. In linea di principio spetta alle aziende occuparsi della propria protezione e del suo finanziamento.
Il Consiglio federale è consapevole dell'importanza del tema "cyberdifesa" e intende rafforzarlo. Ha quindi avviato un esame dell'efficacia dell'attuale SNPC. Secondo il Consiglio federale è quindi più sensato procedere in primo luogo all'analisi dei risultati di tale esame e trarre le dovute conclusioni.
Il Consiglio federale propone di respingere la mozione.