Lexipedia

17.3731 · Interpellanza · 2017-09-27

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

1. Secondo quanto riportato dai media, nel giugno del 2017 il capo del DDPS ha firmato l'attuazione di un "Piano d'azione Cyber Defence". Per quale motivo il Dipartimento si rifiuta ancora di pubblicare il Piano d'azione se ha già informato i giornalisti in merito alla sua firma e ai suoi parametri fondamentali e dopo che il Consiglio federale lo ha citato nel suo parere concernente la mozione 17.3507?

2. Secondo quanto riportato dai media, il DDPS ha ordinato la creazione di "100 ulteriori posti di lavoro" per l'ambito cyber. È certamente positivo che il DDPS voglia contribuire al miglioramento della cybersicurezza, tuttavia non è chiaro quale cybersicurezza il DDPS intende proteggere:

a. Qual è la natura esatta del mandato?

b. In quali scenari saranno impiegati questi ulteriori 100 posti? Si tratta della cybersicurezza quotidiana di tutti noi o della cyberdifesa astratta nel quadro della cyberguerra in un futuro lontano e ignoto?

c. Chi decide a chi saranno destinati i servizi di questi 100 posti?

d. A quali uffici e sezioni saranno subordinati questi 100 ulteriori posti?

e. Questi cyberspecialisti a quali organi della Confederazione, dei Cantoni e della società civile forniranno i propri servizi?

f. Qual è la base legale?

g. Quali sono i costi che ne derivano?

h. Chi si assumerà questi costi?

i. Tali servizi saranno a pagamento o il DDPS contribuirà alla cybersicurezza nell'ottica del servizio pubblico?

3. L'Organo direzione informatica della Confederazione ha verificato l'efficacia della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) del 2012. Nel suo rapporto del 30 novembre 2016 è giunto alla conclusione che le interfacce con l'esercito sono state strutturate in modo poco chiaro. Nel frattempo la situazione è stata risolta? Le interfacce sono state chiarite in vista della creazione di "ulteriori 100 posti di lavoro" nell'ambito cyber da parte del DDPS?

4. Il Consiglio degli Stati ha approvato con larga maggioranza la mozione Eder 17.3508 che chiede la creazione di un centro di competenza per la cybersicurezza. Il Consigliere federale Ueli Maurer aveva dichiarato che se il Consiglio degli Stati avesse accolto la mozione avrebbe sfondato una porta aperta.

a. Tutti i Dipartimenti sono coinvolti nel previsto Centro di competenza per la cybersicurezza?

b. Il DDPS destinerà i 100 ulteriori posti previsti al Centro di competenza?

c. Cosa intende fare il Consiglio federale affinché il DDPS non agisca per conto proprio, ma contribuisca a una cybersicurezza quotidiana globale?

Stellungnahme des Bundesrates

Il Consiglio federale risponde come segue alle domande:

1. Il capo del DDPS ha approvato il Piano d'azione Cyber Defence (PACD) nel giugno del 2017. Tale piano dovrà essere attuato entro il 2020. Il rapporto è pubblico e può essere consultato sul sito Internet del DDPS (www.vbs.admin.ch > Difesa > Protezione conto i cyberattacchi > Documenti > Plan d'action Cyberdéfence DDPS PACD).

2. Il DDPS non prevede di creare 100 nuovi posti, ma intende destinare posti alla cyberdifesa mediante trasferimenti interni al Dipartimento.

a. Queste risorse saranno destinate all'adempimento di tre missioni: proteggere le infrastrutture del DDPS, sostenere le sue attività (esercito e SIC) e fornire assistenza ai gestori di infrastrutture critiche in caso di cyberattacchi nel pieno del rispetto del principio della sussidiarietà.

b. Queste risorse devono permettere di adempiere le missioni indicate al punto 2a nell'immediato e in modo durevole. Il volume delle risorse previste rappresenta una soluzione di compromesso tra le necessità del DDPS e ciò che può effettivamente investire considerando le esigenze legate all'attuazione dell'ulteriore sviluppo dell'esercito (USEs) e la riduzione del personale voluta dal Parlamento alla fine del 2016. Entro il 2018 il DDPS intende conseguire un livello sufficiente di autodifesa. Deve inoltre essere in grado di applicare la legge sulle attività informative (LAIn) che prevede il sostegno alle infrastrutture critiche vittime di cyberattacchi.

c. Queste risorse possono essere impiegate nel quadro della difesa del DDPS, e in tal caso la decisione spetta a quest'ultimo (se necessario con una decisione del Consiglio federale), o nel quadro della difesa delle infrastrutture critiche sulla base dei meccanismi previsti dall'attuazione della LAIn (articolo 37 capoverso 2).

d. I posti previsti, a cui si aggiungono anche militari di milizia, rafforzeranno principalmente la Segreteria generale (parte amministrativa), la Base d'aiuto alla condotta (impiego dei sistemi informatici e operazioni elettroniche) e il Servizio delle attività informative della Confederazione (SIC).

e. Queste risorse sono destinate principalmente a soddisfare il fabbisogno dell'esercito. Nel suo Piano d'azione il DDPS ha inoltre stabilito i criteri della messa a disposizione di tali risorse a favore delle autorità civili che hanno raggiunto i propri limiti - in primo luogo il SIC nel quadro della sua missione di protezione dei gestori di infrastrutture critiche.

f. La protezione dei sistemi e delle infrastrutture nonché l'attività di analisi, di prevenzione e di reazione a cyberattacchi fanno parte dei compiti fondamentali del DDPS (esercito e servizio delle attività informative). La legge militare (LM, articolo 100 che entrerà in vigore il 1° gennaio 2018) e la LAIn (articolo 26 e 37) precisano le competenze dell'esercito e del SIC.

g. Il Piano d'azione del DDPS non comporta costi supplementari. Le valutazioni e le comparazioni mostrano che, allo stato attuale delle conoscenze, ammonteranno a circa il 2 per cento delle risorse del DDPS.

h. Confronta risposta 2g.

i. La legge non prevede la riscossione di emolumenti per le prestazioni fornite alle vittime di cyberattacchi nel quadro dell'assistenza ai sensi della LAIn (articolo 37).

3. Il rapporto menzionato è stato concluso prima che il DDPS terminasse la pianificazione ed effettuasse i test in occasione dell'esercitazione annuale CYBER PAKT. Nel frattempo le problematiche riscontrate sono state risolte. Il Piano d'azione del DDPS si inserisce nel quadro della SNPC ed è un sostegno importante per la sua attuazione; è quindi stato realizzato nello spirito di quest'ultima.

4. Le risorse del DDPS sono destinate principalmente all'adempimento dei compiti dei propri organi (esercito e SIC). Indipendentemente dalla natura del centro di competenza interdipartimentale che potrebbe risultare dalla mozione Eder 17.3508, il DDPS continuerà ad aver bisogno di risorse proprie in ambito cyber, esattamente come per i veicoli e i velivoli.

a. Il Piano d'azione del DDPS ha come scopo principale quello di rafforzare i mezzi esistenti e di migliorare il loro funzionamento. Non si tratta quindi di creare un centro di competenza.

b. I posti supplementari previsti che il DDPS intende destinare alla cyberdifesa rafforzeranno le unità esistenti e serviranno a colmare le lacune riscontrate. Saranno sostenuti da un maggiore ricorso alla milizia.

c. Il DDPS non percorre una strada solitaria. Già oggi partecipa ampiamente alla SNPC. Mediante il Piano d'azione Cyber Defence il DDPS adotta le disposizioni necessarie per garantire la propria protezione sulla base dello stato e degli sviluppi nell'ambito delle cyberminacce, applica la LAIn e la LM (che gli conferiscono grandi responsabilità), risponde a diverse domande del Consiglio federale concernenti l'attacco del 2016 alla RUAG e, non da ultimo, soddisfa le attese della prima SNPC integrandosi al contempo nei lavori della nuova SNPC.

Risposta del Consiglio federale.