Lexipedia

17.028 · Oggetto del Consiglio federale · 2017-02-22

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Zusammenfassung

Messaggio del 22 febbraio 2017 concernente la legge sulla sicurezza delle informazioni

Ausgangslage

Comunicato stampa del Consiglio federale del 23.02.2017

Il Consiglio federale adotta il messaggio concernente la legge sulla sicurezza delle informazioni

La sicurezza delle informazioni in seno alla Confederazione deve essere adeguata alle sfide della società dell'informazione. Nella sua seduta del 22 febbraio 2017 il Consiglio federale ha adottato il messaggio concernente la legge sulla sicurezza delle informazioni. La legge crea un quadro legale formale unitario per tutte le autorità federali per la protezione delle informazioni e la sicurezza nell'impiego di mezzi informatici.

L'abuso di informazioni o la perturbazione dei sistemi d'informazione possono pregiudicare gravemente interessi essenziali della Svizzera e i diritti delle persone. Essi possono addirittura compromettere l'adempimento di compiti legali critici della Confederazione. Con l'evoluzione in atto verso una società dell'informazione, le relative minacce sono diventate sempre più complesse e dinamiche e vanno affrontate, per volontà del Consiglio federale, in maniera reticolare e integrale. Ciò presuppone l'adozione di corrispondenti misure legali e organizzative.

Ispirandosi a standard riconosciuti in campo internazionale, la legge sulla sicurezza delle informazioni crea un quadro legale formale unitario per la gestione della sicurezza delle informazioni nell'ambito di responsabilità della Confederazione. Il Consiglio federale intende migliorare la sicurezza delle informazioni in modo sostenibile ed economico. Fondandosi su una gestione dei rischi efficace, l'accento sarà posto sulla sicurezza delle informazioni e dei sistemi critici della Confederazione e sulla standardizzazione delle misure.

La legge concerne in primo luogo le autorità federali, inclusi il Parlamento, i tribunali della Confederazione, il Ministero pubblico della Confederazione e la Banca nazionale. I privati e l'economia sono interessati dalla legge unicamente quando esercitano attività sensibili sotto il profilo della sicurezza su mandato delle autorità federali. Il Consiglio federale intende tuttavia migliorare la collaborazione con i Cantoni. Essi dovranno provvedere a una sicurezza delle informazioni equivalente se trattano informazioni classificate della Confederazione o utilizzano mezzi informatici appartenenti a quest'ultima. I Cantoni parteciperanno al previsto organo di coordinamento della Confederazione e concorreranno alla standardizzazione delle misure.

La legge riunisce in un unico testo le norme relative agli elementi fondamentali della sicurezza delle informazioni. Disciplina segnatamente la gestione dei rischi, la classificazione di informazioni e i principi della sicurezza in caso di impiego di mezzi informatici. Il principio della trasparenza dell'amministrazione continuerà a essere applicato senza restrizioni, motivo per cui il disegno specifica esplicitamente la preminenza della legge del 17 dicembre 2014 sulla trasparenza.

Il disciplinamento dei controlli di sicurezza relativi alle persone viene trasferito dalla legge federale sulle misure per la salvaguardia della sicurezza interna alla legge sulla sicurezza delle informazioni. Nel contempo, viene adeguato alle esigenze attuali in materia di sicurezza delle informazioni. Il Consiglio federale intende ridurre i controlli di sicurezza relativi alle persone al minimo necessario all'identificazione di rischi rilevanti per la Confederazione. In futuro il numero dei controlli sarà nettamente inferiore.

La legge crea inoltre una nuova procedura per il controllo e l'accompagnamento in materia di sicurezza di aziende che eseguono mandati sensibili sotto il profilo della sicurezza per conto della Confederazione. Il Consiglio federale intende impiegare tale strumento, il cosiddetto controllo di sicurezza relativo alle aziende, in modo mirato e con meno burocrazia possibile. Al contempo intende creare una base per il rilascio di dichiarazioni di sicurezza a favore delle imprese svizzere che concorrono per mandati esteri e necessitano di una dichiarazione di sicurezza.

I costi connessi all'attuazione della legge dipendono ampiamente dal livello di sicurezza che le autorità federali intendono raggiungere e dal relativo diritto esecutivo. Il fabbisogno supplementare di personale per migliorare la sicurezza delle informazioni sarà in gran parte compensato da una corrispondente riduzione dell'onere di personale per i controlli di sicurezza relativi alle persone. A medio termine saranno necessari complessivamente tra 4 e 11 posti supplementari.

Verhandlungen

Notizia ATS

Dibattito al Consiglio degli Stati, 04.12.2017

"Sì" alla legge sulla sicurezza delle informazioni

La sicurezza delle informazioni in seno alla Confederazione deve essere adeguata alle sfide della società. È l'opinione del Consiglio degli Stati che ha approvato oggi - con 39 voti contro 0 e 4 astenuti - le nuove norme sul tema. Il dossier passa al Nazionale.

La legge sulla sicurezza delle informazioni crea un quadro legale formale unitario, per tutte le autorità federali, nell'ambito della protezione delle informazioni e la sicurezza nell'impiego di mezzi informatici. Le norme concernono in primo luogo organismi come il Parlamento, i tribunali della Confederazione, il Ministero pubblico della Confederazione e la Banca nazionale.

I privati e l'economia sono interessati dalla legge unicamente quando esercitano attività sensibili sotto il profilo della sicurezza su mandato delle autorità federali.

Secondo il consigliere federale Guy Parmelin è importante creare delle basi per la sicurezza dell'informazione, che permettano di colmare le lacune esistenti e ottimizzare tutto il settore. "Non si tratta di una legge rivoluzionaria", ma serve uno standard minimo applicabile a tutte le autorità, ha detto. La maggioranza dei consiglieri gli Stati ha appoggiato questa visione.

La commissione, per la quale ha parlato fra gli altri Isidor Baumann (PPD/UR), ha sottolineato la bontà del progetto e l'ampio sostegno in consultazione, ma ha suggerito ai "senatori" di modificare il testo dell'esecutivo, in particolare nell'ambito dell'utilizzo del numero AVS.

Più precisamente, si è proposto che chiunque rientri nel campo di applicazione della legge possa utilizzare sistematicamente tale numero quale identificatore personale. I "senatori" hanno approvato tacitamente la modifica.

Per quanto riguarda i controlli di sicurezza relativi ai collaboratori esterni dell'Amministrazione federale, questi ultimi dovranno obbligatoriamente essere sottoposti a verifiche se esercitano attività della Confederazione sensibili sotto il profilo della sicurezza.

L'esecuzione, l'efficacia e l'economicità della nuova legge dovrà essere verificata, attraverso controlli periodici, da un organismo indipendente.

Notizia ATS

Dibattito al Consiglio nazionale, 13.03.2018

Bocciata nuova Legge sulla sicurezza delle informazioni

La nuova Legge sulla sicurezza delle informazioni non convince il Consiglio nazionale. Con 117 voti contro 68 e 8 astenuti ha infatti deciso di non entrare in materia. Per la maggioranza il progetto è superfluo e troppo costoso.

Lo scopo della nuova legge è di creare un quadro legale formale unitario, per tutte le autorità federali, nell'ambito della protezione delle informazioni e la sicurezza nell'impiego di mezzi informatici. Le norme, ha ricordato Raymond Clottu (UDC/NE) a nome della commissione, concernono in primo luogo organismi come il Parlamento, i tribunali della Confederazione, il Ministero pubblico della Confederazione e la Banca nazionale.

Tuttavia, ha sottolineato il neocastellano, la nuova legge porterebbe all'istituzione di un apparato di protezione delle informazioni troppo voluminoso e complesso. Le nuove norme non farebbero altro che creare burocrazia - "un mostro burocratico" secondo David Zuberbühler (UDC/AR) - e contribuirebbero solo modestamente all'applicazione in modo uniforme delle disposizioni attuali.

Il principale difetto della nuova legge, ha sottolineato Zuberbühler, è il fatto che lascia un margine di manovra troppo elevato al Governo nell'applicazione della legge che si sottrae così al controllo del Parlamento. Diversi parlamentari borghesi, come Ida Glanzmann-Hunkeler (PPD/LU), hanno inoltre criticato il fatto che le stime dei costi - da 1,5 a 87 milioni di franchi - sono assai approssimative.

"Bocciare la legge - ha sostenuto Corina Eichenberger-Walther (PLR/AG) - non vuol dire che non abbiamo a cuore la sicurezza delle informazioni". Dal nostro punto di vista, ha aggiunto, si può benissimo continuare con le varie leggi e ordinanze attualmente in vigore, previo un loro aggiornamento. Non c'è insomma la necessità di legiferare per riunire in una sola legge le disposizioni attuali.

Sbagliato, ha replicato il consigliere federale Guy Parmelin. Se si vuole mantenere la situazione attuale occorre modificare ben 9 leggi, senza oltretutto avere la garanzia di disporre di una visione d'insieme, ha sostenuto il ministro della difesa.

Parmelin ha ricordato i numerosi attacchi informatici che hanno preso di mira la Confederazione, come quelli che hanno colpito la RUAG e il Dipartimento della difesa (DDPS). Senza la nuova legge il piano cybersicurezza del DDPS avrà delle lacune e non potrà produrre tutti gli effetti previsti, ha sostenuto il consigliere federale.

"È urgente agire per assicurare una protezione coerente contro i cyberrischi e i pericoli che pesano sulle informazioni sensibili in possesso delle nostre istituzioni", gli ha fatto eco Carlo Sommaruga (PS/GE). Per il socialista anche l'argomento finanziario non è pertinente, tanto più che la sottocommissione delle finanze ha dato preavviso favorevole.

Circa i costi, Parmelin ha accusato il Parlamento di fare un processo alle intenzioni: "mi sono personalmente impegnato a sottoporre le ordinanze - che fissano i livelli di sicurezza con i relativi costi, ndr. - alle competenti commissioni", ha ricordato. Le Camere hanno inoltre diversi strumenti - attraverso le mozioni e tramite il budget - per costringere il governo a modificare un determinato punto di una ordinanza, ha sostenuto, invano, il ministro della difesa.

Notizia ATS

Dibattito al Consiglio degli Stati, 26.09.2018

Nuova Legge sulla sicurezza delle informazioni è necessaria

La nuova Legge sulla sicurezza delle informazioni è necessaria per arginare i cyber-rischi. Lo ha ribadito oggi tacitamente il Consiglio degli Stati. Lo scorso maggio, invece, il Nazionale aveva bocciato l'entrata il materia ritenendo il progetto superfluo e troppo costoso.

Lo scopo della nuova legge è di creare un quadro legale formale unitario, per tutte le autorità federali, nell'ambito della protezione delle informazioni e la sicurezza nell'impiego di mezzi informatici. Le norme concernono in primo luogo organismi come il Parlamento, i tribunali della Confederazione, il Ministero pubblico della Confederazione e la Banca nazionale.

Oggi Isidor Baumann (PPD/UR), a nome della commissione, ha ricordato che è stato il Parlamento ha chiedere l'elaborazione di un disegno di legge in materia. Il sistema attuale è inefficace, ha precisato.

Da parte sua, il consigliere federale Guy Parmelin si è detto disposto a discutere alcuni punti controversi, in particolare quelli concernenti i costi. "Per farlo bisogna però entrare in materia", ha affermato.

Il progetto torna ora sui banchi del Nazionale. Qualora dovesse confermare la non entrata in materia, il dossier verrebbe definitivamente archiviato.

Notizia ATS

Dibattito al Consiglio nazionale, 04.06.2020

Approvata la nuova Legge sulla sicurezza delle informazioni

La Legge sulla sicurezza delle informazioni è necessaria per arginare i cyber-rischi. Lo ritiene il maggioranza del Consiglio nazionale che ha approvato oggi la nuova legislazione. Nel marzo del 2018 in prima lettura, ossia prima delle elezioni federali dello scorso autunno che ne hanno modificato gli equilibri, la Camera ne aveva invece bocciato l'entrata in materia.

Recenti attacchi contro i sistemi informatici della Confederazione hanno dimostrato che la protezione dei dati presenta lacune, principalmente a causa di basi giuridiche obsolete, ha sostenuto Priska Seiler Graf (PS/ZH). Attualmente le basi legali relative alla sicurezza dell'informazione sono infatti disseminate in una moltitudine di atti. Le diverse prescrizioni sono organizzate per settore d'attività e non sono armonizzate tra di loro.

Per far fronte alle sfide attuali occorre quindi modernizzare l'arsenale legislativo a disposizione raggruppando tutte le norme in una sola legge. Le nuove disposizioni dovranno poi applicarsi all'insieme delle autorità e organizzazioni della Confederazione in modo da raggiungere un livello di sicurezza il più omogeneo possibile, ha detto Ida Glanzmann-Hunkeler (PPD/LU).

La legge disciplina in particolare la gestione dei rischi, la classificazione delle informazioni, la sicurezza dei mezzi informatici, le misure applicabili al personale e la protezione fisica delle informazioni e delle risorse informatiche.

Il testo si rivolge in primo luogo alle autorità federali (Parlamento, Tribunali federali, Amministrazione federale e Banca nazionale). Interessa i privati e l'economia solo quando svolgono un'attività sensibile su mandato della Confederazione.

Contrariamente al Consiglio degli Stati, il Nazionale non vuole però un impiego sistematico del numero AVS. Il suo utilizzo è necessario per identificare le persone chiaramente e senza ambiguità, ha affermato la consigliera federale Viola Amherd. Vero, ma bisogna impiegarlo unicamente quando è necessario, ha sostenuto Balthasar Glättli (Verdi/ZH).

Unica contraria alla nuova legge, l'UDC l'ha definita inutile poiché comporta alcun plusvalore rispetto alla situazione attuale. David Zuberbühler (UDC/AR) non ha esitato a definirla "un mostro burocratico". "Non sarà la sicurezza ad aumentare, bensì i costi", ha aggiunto.

Notizia ATS

Dibattito al Consiglio degli Stati, 15.09.2020

Legge sicurezza informazioni, ancora divergenze

Rimangono ancora divergenze tra i due rami del Parlamento in merito alla Legge sulla sicurezza delle informazioni, necessaria per arginare i cyber-rischi. Il Consiglio degli Stati non ha in particolare voluto rinunciare - con 31 voti a 10 - all'uso sistematico del numero AVS quale identificatore per le persone.

Un nuovo sistema creerebbe un importate carico amministrativo, ha sostenuto il relatore commissionale. In Svizzera, ha proseguito, ci sono molte persone che si chiamano Müller, Rochat o Bernasconi, è quindi importante identificarle chiaramente e senza ambiguità onde evitare abusi, cosa che il numero AVS permette di fare, ha evidenziato Olivier Français (PLR/VD) a nome della commissione.

I "senatori" hanno anche bocciato la richiesta del Nazionale di obbligare il Consiglio federale a consultare le competenti commissioni in materia di sicurezza dell'informazione e dei relativi costi. Il Parlamento è già regolarmente consultato, tale disposizione è dunque superflua, ha sostenuto Français.

Notizia ATS

Dibattito al Consiglio nazionale, 23.09.2020

Legge sicurezza informazioni, ancora una divergenza

Rimane ancora una divergenza tra i due rami del Parlamento in merito alla Legge sulla sicurezza delle informazioni, necessaria per arginare i cyber-rischi. Il Nazionale ha ribadito - con 90 voti a 87 e 9 astenuti - il suo "no" all'uso sistematico del numero AVS quale identificatore per le persone. Il dossier ritorna quindi agli Stati.

Il numero AVS costituisce il mezzo più affidabile per identificare le persone. "La sicurezza e l'efficacia ci guadagneranno", ha sostenuto Maja Riniker (PLR/AG). Già oggi, oltre 9'000 uffici, al di fuori delle assicurazioni sociali, utilizzano questo identificatore, ha precisato la ministra della difesa Viola Amherd. Anche il progetto di modifica della legge sull'AVS prevede il suo uso sistematico da parte delle autorità, ha aggiunto invano la consigliera federale. Il plenum, seppur di stretta misura, ha respinto l'impiego del numero AVS.

Notizia ATS

Dibattito al Consiglio degli Stati, 08.12.2020

Consiglio degli Stati: sicurezza informazioni, uso numero AVS continua a dividere

L'utilizzazione sistematica del numero AVS come identificatore personale rimane il pomo della discordia nell'ambito della legge sulla sicurezza delle informazioni. Il Consiglio degli Stati ha infatti mantenuto oggi la sua posizione con 30 voti contro 10. Bocciata quindi la proposta del Nazionale di utilizzare un sistema alternativo.

Quella inerente al numero AVS è l'ultima divergenza rimasta fra i due rami del Parlamento. La commissione, ha indicato il suo portavoce Olivier Français (PLR/VD) convincendo il plenum, resta convinta che il numero AVS sia il sistema migliore per un'identificazione senza errori delle persone, evitando ad esempio ambiguità in caso di omonimia.

Notizia ATS

Dibattito al Consiglio nazionale, 10.12.2020

CN: sicurezza informazioni, eliminate tutte le divergenze

Dopo un lungo tira e molla il Consiglio nazionale alla fine ha ceduto: con 140 voti contro 46 ha approvato l'utilizzazione sistematica del numero AVS come identificatore personale nel quadro della legge sulla sicurezza delle informazioni allineandosi così agli Stati.

Questa era l'ultima divergenza rimasta fra i due rami del Parlamento. Gli Stati avevano sempre sostenuto - a larga maggioranza - che il numero AVS è il sistema migliore per un'identificazione senza errori delle persone, evitando ad esempio ambiguità in caso di omonimia.

Il Nazionale, temendo per la sicurezza dei dati, voleva un sistema alternativo. La decisione era però sempre stata presa con un voto risicato. Visti i rapporti di forza tra le due Camere e considerato il fatto che la stessa Camera del popolo martedì aveva detto "sì" a un altro progetto che prevede l'utilizzo del numero AVS quale identificatore universale, il relatore commissionale Pierre-Alain Fridez (PS/JU) ha invitato con successo il plenum ad eliminare l'ultima divergenza rimasta. Il dossier è così pronto per le votazioni finali.

La nuova legislazione è considerata necessaria per arginare i cyber-rischi. Lo scopo è di raggruppare tutte le norme relative alla sicurezza dell'informazione in una sola legge, eliminando lo sparpagliamento attuale. Le diverse prescrizioni sono infatti al momento organizzate per settore d'attività e non sono armonizzate tra di loro.