Lexipedia

16.4073 · Postulato · 2016-12-15

Dipartimento delle Finanze

Liquidato

Wortlaut

Il Consiglio federale è invitato a redigere un rapporto sull'applicazione della Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC) i cui effetti sono impercettibili per la popolazione e l'economia. Il rapporto dovrà affrontare le questioni e i rischi inerenti alla suddivisione tra il Dipartimento federale delle finanze (DFF) e il Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) delle competenze in quest'ambito, la gestione delle crisi importanti e di portata nazionale, le questioni e i rischi connessi a una dipendenza da fornitori di servizi con sede all'estero o di proprietà estera, il mantenimento di competenze avanzate in Svizzera nonché l'intensificazione delle collaborazioni tra il mondo accademico, l'industria e la Confederazione.

Begründung

Le diverse iniziative relative alla sicurezza informatica sembrano essere molto scoordinate tra loro. Si investono molte energie e risorse per supportare queste iniziative che talvolta sembrano essere in competizione tra loro. Si può avere l'impressione che ci si prepari ad affrontare un evento particolare a livello aziendale, ma non a livello di direzione strategica, ossia a livello della Confederazione. La suddivisione delle competenze nell'ambito della sicurezza informatica non consente di fornire una visione d'insieme, di concentrarsi sugli obiettivi principali né di gestire efficacemente le crisi.

Inoltre, ricorrendo troppo spesso alle gare d'appalto pubbliche si aumenta il rischio di dipendenza dall'estero. La decisione del Consiglio federale di privilegiare le imprese svizzere per settori in cui la sicurezza è fondamentale non ha avuto alcun effetto tangibile. Ci si deve pertanto preoccupare della perdita di know-how in Svizzera, ragione per cui le aziende e le scuole universitarie professionali - non ricevendo commesse e non riuscendo a concludere partenariati valorizzanti - sono tentate di orientarsi verso settori diversi dalla sicurezza informatica, sebbene quest'ultima sia d'importanza cruciale per il futuro della nostra società. Il rapporto dovrà essere al massimo di 20 pagine.

Antrag des Bundesrates

Il Consiglio federale propone di respingere il postulato.

Stellungnahme des Bundesrates

La gestione dei cyberrischi è un argomento trasversale, comune a tutti i settori dell'amministrazione, dell'economia e della popolazione. Pertanto tutti i dipartimenti e la Cancelleria federale partecipano all'attuazione della Strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC). Il Consiglio federale ha incaricato l'Organo direzione informatica della Confederazione (ODIC) di coordinare i relativi lavori in collaborazione con la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione, che vanta un'esperienza pluriennale nell'ambito dei cyberrischi. L'ODIC gestisce il Comitato direttivo interdipartimentale della SNPC, che assicura una visione d'insieme e una chiara ripartizione dei compiti. Il Consiglio federale non condivide il parere secondo cui le iniziative adottate sono molto scoordinate tra loro. Per i punti del postulato che richiedono una verifica approfondita il Consiglio federale segnala quanto segue:

- Ripartizione dei compiti tra il DFF e il DDPS: le competenze per le 16 misure della SNPC sono fissate chiaramente nel piano di attuazione (Il piano di attuazione è disponibile all'indirizzo https://www.isb.admin.ch/isb/it/home/themen/cyber_risiken_ncs/umsetzungsplan.html). Al DFF spetta il coordinamento generale e l'adozione di misure negli ambiti della gestione degli eventi inattesi e dell'analisi della vulnerabilità TIC nell'amministrazione federale. Al DDPS spetta la competenza di analizzare la situazione di minaccia, di prendere misure attive di identificazione degli autori degli attacchi e di eseguire una parte dei lavori per l'analisi e la riduzione dei cyberrischi in settori parziali critici. La collaborazione tra il DDPS e il DFF in merito ad altre misure è stata disciplinata e funziona bene.

- Superamento di crisi nazionali: nel caso di una crisi nazionale legata direttamente ai cyberrischi possono effettivamente sorgere grandi sfide in abito di coordinamento e di definizione dei ruoli di gestione. Nel caso di attacchi informatici, spesso all'inizio non è chiaro quale sia la loro origine, quale obiettivo abbiano e in che misura tocchino gli interessati. L'Esercizio di condotta strategica 2013 ha dimostrato che il miglior modo di risolvere le crisi con una componente di cyberrischio consiste in una gestione che si avvicini il più possibile alle strutture ordinarie. Il progetto elaborato nell'ambito dell'attuazione della SNPC segue questo approccio. Nel quadro della nuova SNPC (SNPC 2.0) saranno realizzate esercitazioni nella gestione delle crisi e saranno migliorati i processi insieme a tutti gli attori.

- Riduzione della dipendenza nei confronti di fornitori di prestazioni esteri: nel campo degli acquisti TIC, l'amministrazione federale ha elaborato e applica già un processo di verifica per la valutazione dei rischi di offerenti esteri. A lungo termine, per essere meno dipendenti dall'estero occorre anzitutto creare e ampliare le competenze e le conoscenze in Svizzera. La SNPC contempla delle misure in questo senso. Per la loro attuazione è fondamentale potenziare la digitalizzazione dell'economia in Svizzera, come descritto nel rapporto del Consiglio federale dell'11 gennaio 2017 sulle condizioni quadro dell'economia digitale.

Inoltre, le domande sollevate nel postulato sono già state trattate nell'analisi sull'efficacia della SNPC del 2016. Tale analisi sarà presentata al Consiglio federale nell'aprile del 2017 e quindi pubblicata, al fine di informare anche l'economia e la popolazione sui progressi della SNPC. Sulla base di quest'analisi il Consiglio federale imposterà l'ulteriore modo di procedere della SNPC, in modo da eliminare i punti deboli identificati e rafforzare ulteriormente la collaborazione e il coordinamento tra gli uffici interessati. Pertanto non si ritiene necessario procedere a una nuova analisi dei punti menzionati.

Il Consiglio federale propone di respingere il postulato.