Partecipazione della Confederazione alla creazione e all'esercizio dell'Istituto nazionale di test per la cibersicurezza
20.4495 · Mozione · 2020-12-15
Dipartimento delle Finanze
Liquidato
Wortlaut
Le infrastrutture critiche, le autorità e l'economia dipendono in larga misura da fornitori internazionali di hardware e software. In passato, sono state riscontrate falle di sicurezza sempre più gravi nei prodotti di questi fornitori.
Considerata la stabilità sociale, economica e geopolitica della Svizzera, è inaccettabile che i compratori e i gestori di componenti critiche non abbiano la possibilità di far verificare da un'organizzazione nazionale indipendente e affidabile la qualità in termini di cibersicurezza dei prodotti da utilizzare.
Sotto gli auspici del Canton Zugo è nata un'iniziativa che intende chiudere queste falle creando l'Istituto nazionale di test per la cibersicurezza NTC.
L'iniziativa è già sostenuta dal Centro nazionale per la cibersicurezza (NCSC) sotto il profilo tecnico. Per affermare l'istituto di test a livello nazionale, è necessario un impegno da parte della Confederazione che sia vincolante, a lungo termine e supportato da basi legali.
Il Consiglio federale è incaricato di elaborare le basi legali necessarie per la partecipazione della Confederazione alla costituzione e all'esercizio dell'Istituto nazionale di test per la cibersicurezza (NTC) e di stabilire con quale mezzi essa vi parteciperà.
Begründung
La progressiva digitalizzazione dell'industria, delle autorità, della polizia e dell'esercito comporta un rischio sempre maggiore, riconducibile anche all'impiego di prodotti digitali non affidabili. In particolare, l'esercizio di componenti collegati in infrastrutture critiche rappresenta una reale minaccia e può causare notevoli danni per l'economia e la società.
Il fatto che le possibilità di verificare la sicurezza di prodotti informatici siano insufficienti è già stato tematizzato in vari interventi (interpellanze Wasserfallen 18.4197 e Vonlanthen 19.3602, postulato Dobler 19.3136). Nella sua risposta all'interpellanza Vonlanthen 19.3602 il Consiglio federale si è dichiarato fondamentalmente favorevole alla creazione di un organismo nazionale per la verifica di prodotti informatici.
A tal fine, il Canton Zugo ha avviato il progetto per la realizzazione dell'Istituto nazionale di test per la cibersicurezza (NTC) con un finanziamento iniziale. Dietro mandato di imprese e organizzazioni pubbliche, l'istituto verificherà la cibersicurezza di componenti collegati, tra cui componenti di hardware e software, indipendentemente dal produttore e dalla provenienza geografica.
I lavori di progetti sono in stato avanzato. Un'inchiesta effettuata a ottobre 2020 presso i gestori di infrastrutture critiche ha confermato la necessità di realizzare un istituto nazionale di test per la cibersicurezza. L'85 per cento delle organizzazioni che vi hanno preso parte dichiara di necessitare di tali test e di essere disposto ad affidarli all'istituto in questione.
A novembre 2020 è stata fondata l'associazione Istituto nazionale di test per la cibersicurezza NTC (Nationales Testinstitut für Cybersicherheit NTC) (National Test Institute for Cyber Security NTC) (Institut national de test pour la cybersécurité NTC).
Nel 2021 si definiranno i primi processi di verifica, la responsabilità e il business model in termini di proposta di valore, struttura dei costi e flussi di entrata.
Finora, la Confederazione ha accompagnato questa iniziativa sotto il profilo tecnico. Impegnandosi a lungo termine e partecipando in modo sostanziale al finanziamento, la Confederazione assicurerà che dal progetto si sviluppi un istituto di test per l'intera Svizzera. Grazie a questa partecipazione la Confederazione potrà inoltre continuare ad attuare la Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) e garantire che le parti facciano convergere i loro sforzi.
Antrag des Bundesrates
Il Consiglio federale propone di respingere la mozione.
Stellungnahme des Bundesrates
Il Consiglio federale concorda sulla necessità di creare capacità di verifica in ambito di cibersicurezza in Svizzera. Accoglie quindi favorevolmente le iniziative private come quella di creare un "Istituto nazionale di test per la cibersicurezza" (NTC) ed è disposto a sostenere queste iniziative mettendo a disposizione conoscenze specialistiche.
Tuttavia non ritiene necessaria una partecipazione della Confederazione che vada oltre un'assistenza specialistica, in particolare tramite un sostegno finanziario diretto. Negli ultimi anni l'economia TIC si è fortemente sviluppata in Svizzera e dovrebbe quindi essere in grado di organizzarsi autonomamente per creare capacità di verifica e sviluppare soluzioni. L'esempio della "Technischer Überwachungsverein" (TÜV) in Germania mostra che, anche nel settore delle TIC, l'economia può eseguire analisi tecniche approfondite o incaricare un'organizzazione.
Inoltre, in Svizzera esistono già diversi fornitori di analisi di vulnerabilità e test di penetrazione. Il loro modello aziendale non deve essere messo in competizione dalle istituzioni sostenute dallo Stato. Un sostegno finanziario al NTC da parte della Confederazione sarebbe contrario ai principi della parità di trattamento e della neutralità competitiva dello Stato.
Attraverso la collaborazione sul piano tecnico, che non richiede la creazione di nuove basi legali, la Confederazione può sostenere il NTC in modo efficace e contribuire ad aumentare le capacità di verifica in ambito di cibersicurezza in Svizzera.
Il Consiglio federale propone di respingere la mozione.