16.3606 · Interpellanza · 2016-06-17
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
L'organizzazione della nostra cyberdifesa non sembra essere ottimale. Sono state presentate numerose interrogazioni successive al sabotaggio dell'impresa d'armamento RUAG. Una delle principali minacce per la Svizzera è di tipo informatico. Ebbene, il Dipartimento federale della difesa, della protezione della popolazione e dello sport non dirige le operazioni di protezione. Il tema è ripartito su diverse strutture isolate che comunicano poco tra di loro, tra il Dipartimento federale di giustizia e polizia, il Dipartimento federale delle finanze, il Dipartimento federale della difesa, della protezione della popolazione e dello sport. Grandi assenti sono il Dipartimento federale dell'economia, della formazione e della ricerca e il Dipartimento federale degli affari esteri, entrambi direttamente interessati. Riassumendo, ci troviamo di fronte a una situazione complicata in cui non sono coinvolti tutti gli attori. In questo contesto invito il Consiglio federale a rispondere alle domande seguenti:
1. Siamo ben organizzati in materia di cyberdifesa?
2. Chi si occupa della cybersicurezza in Svizzera? C'è un responsabile di questo aspetto centrale della sicurezza elvetica? Se sì, dirige l'insieme degli attori interessati? E se ciò non corrisponde al vero, per quale motivo?
3. Non si dovrebbero raggruppare le forze attualmente separate? Centralizzare tutto al Dipartimento federale della difesa, della protezione della popolazione e dello sport? O al Dipartimento federale dell'economia, della formazione e della ricerca?
Stellungnahme des Bundesrates
1. Il Consiglio federale è consapevole dell'importanza della tematica e già nel 2012 ha approvato la Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC), seguita nel 2013 dal relativo piano di attuazione. L'attuazione della SNPC è volutamente decentralizzata, ovvero si basa sul principio della responsabilità individuale. La Confederazione presta sostegno a titolo sussidiario. È stato istituito un comitato direttivo della SNPC che informa il Consiglio federale in merito ai progressi dell'attuazione. Il servizio di coordinamento SNPC appoggia tale processo a livello operativo. La Confederazione è altresì attiva in numerosi organismi nazionali affinché, tramite lo scambio e la cooperazione anche con attori privati, sia possibile ampliare le competenze specialistiche a più livelli, rafforzando in questo modo la cybersicurezza. Vista la natura prettamente transfrontaliera del cyberspazio, il Consiglio federale riconosce inoltre l'importanza del ruolo della cooperazione internazionale allo scopo di minimizzare i cyberrischi. Per la parte militare esiste uno studio di concetto che si trova a sua volta in fase di attuazione. Le sinergie tra la parte civile e quella militare vengono sfruttate e vi è una buona collaborazione. Attualmente la SNPC è sottoposta a una verifica dell'efficacia per individuare un'eventuale necessità di adeguamento.
2. La direzione per l'attuazione della SNPC è affidata al Dipartimento federale delle finanze (Organo direzione informatica della Confederazione), ma la responsabilità per la cybersicurezza in Svizzera è ampiamente distribuita. Diversi uffici e servizi, compresi anche quelli del Dipartimento federale dell'economia, della formazione e della ricerca e del Dipartimento federale degli affari esteri, sono responsabili delle 16 misure SNPC per minimizzare i cyberrischi e le applicano in modo coerente. Tali organi sono rappresentati nel Comitato direttivo della SNPC, intrattengono contatti regolari e si riuniscono almeno ogni sei mesi per verificare i progressi e avviare eventuali nuove misure per rafforzare la sicurezza. Il servizio di coordinamento SNPC controlla regolarmente i progressi dell'attuazione e coordina la collaborazione tra i responsabili delle misure.
3. La cybersicurezza concerne tutti poiché i cyberrischi sono molteplici e hanno ripercussioni dirette sull'economia, la società e lo Stato. Misure di protezione efficaci volte a minimizzare tali rischi non possono quindi essere gestite da un unico servizio. Una centralizzazione sarebbe inoltre in contrapposizione con la struttura politica ed economica decentrale della Svizzera e non comporterebbe alcun valore aggiunto. Il principio della SNPC è il rafforzamento delle capacità e della responsabilità individuale degli interessati. Per garantire una panoramica globale sulla cybersicurezza è tuttavia importante che questo approccio decentralizzato venga accompagnato e coordinato e che vi sia una stretta collaborazione tra i diversi organi in Svizzera e all'estero.
La salvaguardia della cybersicurezza dell'intera struttura IT della Svizzera non potrebbe mai essere garantita o gestita unicamente dall'esercito, da un dipartimento o dalla Confederazione.
Risposta del Consiglio federale.