21.4316 · Interpellanza · 2021-10-01
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Con il furto di dati nel comune di Rolle è stato reso noto per la prima volta un caso di ciberattacco di portata maggiore a un Comune in Svizzera. Un moltiplicarsi di simili attacchi di successo contro istituzioni pubbliche conduce inevitabilmente a una perdita di fiducia dei cittadini nel settore pubblico. È opportuno che le competenze civili e militari si completino reciprocamente e che siano utilizzate in modo mirato contro i ciberattacchi, sia per prevenirli e impedirli sia per combatterli. Occorre evitare lo sviluppo parallelo di competenze e diminuire le interfacce.
Nel Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) i seguenti centri di competenza operano nell'ambito della ciberdifesa: Cyber Fusion Center, Centro operazioni elettroniche, Crittologia, Corso di formazione ciber, attività di ricerca nel Cyber-Defence Campus in collaborazione con scuole universitarie, Quadro della situazione ciber ecc. A questi si aggiungono un Comando Ciber e un battaglione ciber attualmente in fase di sviluppo. È importante chiarire quali servizi può fornire il DDPS a favore delle autorità civili tenendo conto del principio di sussidiarietà.
In questo contesto sorgono le seguenti domande:
1. il DDPS ha esaminato come poter raggruppare le competenze di ciberdifesa della Confederazione?
2. Nell'ambito della ciberdifesa, in che misura deve essere applicato il principio di sussidiarietà nella ripartizione delle competenze?
Stellungnahme des Bundesrates
1. Come conseguenza della digitalizzazione, tutti i dipartimenti dispongono di cibercompetenze. Negli ultimi anni, nel quadro dell'attuazione della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC), il Consiglio federale ha creato le strutture necessarie per favorire una stretta collaborazione di tutte le unità amministrative che operano in ambito ciber. Oggi questa collaborazione funziona adeguatamente oltre i confini dipartimentali e permette alla Confederazione di sfruttare le competenze di cui dispongono il Centro nazionale per la cibersicurezza (NCSC), l'esercito, il Servizio delle attività informative della Confederazione (SIC), armasuisse, le autorità di perseguimento penale e altri organi interessati.
Secondo la SNPC, l'ordinanza sui ciber-rischi e la Strategia Ciber DDPS, il campo d'azione della ciberdifesa è di competenza del DDPS. La ciberdifesa della Svizzera è quindi collocata e raggruppata presso il DDPS. Oltre a ciò il Dipartimento fornisce in parte prestazioni nell'ambito della cibersicurezza e garantisce la propria autoprotezione in quanto unità amministrativa. Di conseguenza possiede la quota maggiore di competenze e risorse in materia di cibersicurezza e ciberdifesa all'interno dell'Amministrazione federale (DDPS: 170; fedpol: 41,5; NCSC: 43 + 26 [DFAE, DFI, DATEC] secondo l'interpellanza 20.3496, stato agosto 2020).
Nel DDPS, l'UFPP, il SIC, armasuisse e l'esercito mirano garantire i loro compiti in tutte le situazioni. Lo statuto che l'Esercito svizzero detiene in virtù della Costituzione e del diritto internazionale lo vincola già in tempi di pace a predisporre ampie competenze nell'ambito della ciberdifesa e della cibersicurezza. Nessun'altra organizzazione della Confederazione può farlo per l'esercito. Questo conduce ad alcuni parallelismi con le organizzazioni civili nello sviluppo di competenze.
La ciberorganizzazione della Confederazione è attualmente esaminata nel quadro della verifica dell'efficacia prevista dall'SNPC per gli anni 2018-2022. Tale verifica dimostrerà in che misura è valida l'attuale ciberorganizzazione e se sono necessari adeguamenti o raggruppamenti di competenze. Il rapporto è atteso per il primo trimestre del 2022.
2. Il principio di sussidiarietà vale anche per la ciberdifesa. Dal momento che la ciberdifesa richiede conoscenze specialistiche sempre più specifiche, è necessario esaminare quale sostegno può fornire concretamente la Confederazione in quest'ambito con i propri mezzi nel settore della ciberdifesa, della cibersicurezza e del perseguimento penale della cibercriminalità. Occorre inoltre verificare in che modo il Consiglio federale può sostenere anche i Cantoni e le autorità comunali. Il Consiglio federale è disposto a effettuare tale verifica insieme ai Cantoni.
Per quanto riguarda l'impiego sussidiario di mezzi dell'esercito a favore delle autorità civili, si applicano le disposizioni dell'articolo 67 della legge militare: le autorità civili possono chiedere l'appoggio dell'esercito per determinati compiti soltanto nella misura in cui il compito è di interesse pubblico e i mezzi per l'adempimento del compito sono esauriti o chiaramente insufficienti e nessun fornitore commerciale di servizi è in grado di mettere a disposizione i mezzi mancanti tempestivamente e nella quantità necessaria.
Per la collaborazione dell'esercito con le autorità civili nell'ambito della sicurezza di sistemi informatici sarà creata una base giuridica esplicita in ambito ciber nel quadro della revisione della legge militare (prevista per il 1° gen. 2023). In tal modo sarà semplificata la collaborazione.
Risposta del Consiglio federale.