Lexipedia

21.4180 · Interpellanza · 2021-09-30

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

Invito il Consiglio federale a rispondere alle seguenti domande:

1. Di quali competenze dispone il DDPS nell'ambito della protezione da cibereventi?

2. Nell'Amministrazione federale quali prestazioni riguardanti la ciberdifesa vengono fornite e dove esattamente?

3. In che modo queste prestazioni possono essere messe a disposizione a favore di Comuni, Cantoni, uffici e istituzioni?

4. Il DDPS prevede di mettere a disposizione anche degli ambiti civili le competenze finanziate con denaro pubblico?

Begründung

Già anni fa ho richiesto un vero e proprio Dipartimento della sicurezza che avrebbe dovuto affrontare tutti i nuovi rischi. Anche alla luce dell'inasprimento delle situazioni di minaccia per quanto riguarda la cibercriminalità, un'effettiva gestione dei rischi e più opportuna che mai.

Accolgo pertanto con soddisfazione la creazione di un Comando Ciber decisa dal Consiglio federale il 1° settembre. A seguito della crescente interconnessione, dell'impiego di nuove tecnologie e dell'incremento di attività criminali nel ciberspazio, la situazione di minaccia si acuisce. Con la creazione del Comando Ciber il DDPS amplia ulteriormente le competenze.

Le sfide aumentano, comportando un crescente fabbisogno di specialisti. A livello mondiale mancano a quanto pare oltre quattro milioni di specialisti per la cibersicurezza. La mancanza di questi specialisti accresce la concorrenza per la loro acquisizione nel contesto della sicurezza digitale.

Alla luce di questa situazione di partenza è importante che la Confederazione eviti doppioni e concentri le forze.

Stellungnahme des Bundesrates

Per quanto concerne la protezione nel ciberspazio, la Confederazione distingue tra cibersicurezza, ciberdifesa e perseguimento penale in ambito "ciber", per i quali le competenze sono disciplinate in modo diversificato. Il DDPS è responsabile della ciberdifesa e della protezione dei propri sistemi.

1. Il DDPS dispone di ampie competenze negli ambiti della ciberdifesa e della cibersicurezza. Assume compiti in ambito civile e in ambito militare. Nel dettaglio:

l'UFPP tiene un inventario nazionale delle infrastrutture critiche, analizza i rischi e le vulnerabilità insieme agli uffici specializzati competenti e ai gestori delle infrastrutture critiche e mette a disposizione basi per migliorare la resilienza delle infrastrutture critiche.

Il "Cyber Defence Campus" di armasuisse garantisce la collaborazione con le scuole universitarie e tratta questioni tecnologiche dal punto di vista scientifico. Attraverso la ricerca e lo sviluppo, contribuisce a creare le necessarie competenze presso i partner all'interno dell'Amministrazione federale.

Il SIC è responsabile dell'intero quadro della situazione in ambito "ciber" e dell'analisi come pure della prevenzione delle minacce a favore della condotta in materia di politica di sicurezza. Inoltre ha la capacità di identificare, analizzare e classificare i ciberattacchi (attribuzione) come pure - dietro riserva di approvazione - di combatterli infiltrandosi nei sistemi informatici.

L'esercito assicura di gestire i propri sistemi e le proprie infrastrutture TIC in maniera sicura e stabile in ogni momento e tutte le situazioni e di proteggersi nel cibersapzio. Dispone delle capacità per rilevare, rappresentare e respingere ciberattacchi ed è anche in grado di effettuare approfondite analisi tecniche, ad esempio di malware. Inoltre tratta questioni relative alla crittologia a livello federale.

Nella SG-DDPS viene gestito l'organo di coordinamento per la protezione delle informazioni nella Confederazione. Esso assume il ruolo di organo di contatto con organismi svizzeri e stranieri come pure internazionali nell'ambito della protezione delle informazioni.

Oltre a ciò, il DDPS istruisce personale specializzato in ambito "ciber", ad esempio mediante il corso di formazione ciber dell'esercito, il programma di "fellowship" del Cyber Defence Campus come pure il Cyber Training Range.

2. La responsabilità per l'ambito della cibersicurezza spetta al Dipartimento federale delle finanze (DFF). Il delegato della Confederazione per la cibersicurezza coordina i tre ambiti della cibersicurezza, del perseguimento penale in ambito "ciber" e della ciberdifesa. Il Centro nazionale per la cibersicurezza (NCSC) è il centro di competenza della Confederazione per la cibersicurezza e pertanto il primo organo di contatto per il mondo economico, l'amministrazione, gli istituti di formazione e la popolazione per questioni relative all'ambito "ciber". Il DDPS è responsabile della ciberdifesa e di parti della cibersicurezza (vedi risposta 1), il Dipartimento federale di giustizia e polizia (DFGP) del perseguimento penale in ambito "ciber" e il Dipartimento federale degli affari esteri (DFAE) della politica estera in ambito "ciber".

3. in base all'ordinanza sui ciber-rischi (art. 12), l'NCSC fornisce supporto in modo sussidiario alle infrastrutture critiche, di cui fanno parte anche le autorità. I Comuni, i Cantoni gli uffici e le altre istituzioni possono essere supportati mediante prestazioni di ciberdifesa nel quadro dell'appoggio sussidiario. Inoltre i Comuni, i Cantoni, gli uffici e le istituzioni possono essere supportati nel rafforzamento delle loro stesse capacità di ciberdifesa, ad esempio tramite cooperazioni in materia di formazione. Allo stesso modo il SIC fornisce prestazioni a favore dei Comuni, dei Cantoni degli uffici e delle istituzioni. Ha infatti il mandato giuridico di individuare tempestivamente e di impedire attacchi a infrastrutture critiche dai quali deriva una minaccia alla sicurezza interna ed esterna. L'UFPP in alternanza con le autorità cantonali e comunali come pure con i gestori delle infrastrutture critiche effettua analisi dei rischi e delle vulnerabilità per migliorare la cibersicurezza, nel contesto di una prospettiva integrale dei rischi.

4. Gli strumenti del DDPS vengono impiegati già oggi sotto diverse forme allo scopo di supportare le autorità civili e altri organi (vedi risposta 3).

Per quanto concerne l'impiego sussidiario delle competenze dell'esercito a favore delle autorità civili, valgono le disposizioni dell'articolo 67 della legge militare: per determinati incarichi le autorità civili possono richiedere aiuto se l'incarico è di pubblico interesse e i mezzi per adempiere l'incarico sono esauriti oppure è dimostrabile che i mezzi necessari non sono disponibili e inoltre se non possono essere messi a disposizione in tempo utile e nella quantità necessaria da fornitori commerciali di prestazioni.

Per quanto riguarda la collaborazione dell'esercito con le autorità civili all'interno della sicurezza dei sistemi informatici, nel quadro della revisione della legge militare (prevedibilmente dal 1° gennaio 2023) sarà creata un'esplicita base giuridica in ambito "ciber". In questo modo tale collaborazione viene semplificata.

Risposta del Consiglio federale.