22.3415 · Interpellanza · 2022-05-09
Dipartimento delle Finanze
Liquidato
Wortlaut
Le infrastrutture critiche ricoprono un'importanza centrale per la Svizzera e comprendono tutti i sistemi tecnici e sociali indispensabili per il funzionamento di una società democratica. Contemporaneamente, tuttavia, le infrastrutture informatiche critiche sono sempre di più preda di cibercriminali, come è stato ad esempio per gli attacchi ransomware a Swissport o per i ciberattacchi a Comuni svizzeri. Cresce dunque la preoccupazione verso singoli offerenti per una mancata trasparenza sugli aspetti legati alla sicurezza o per i possibili rischi geopolitici.
Per garantire costantemente l'integrità delle infrastrutture critiche e l'approvvigionamento della Svizzera occorre ponderare maggiormente gli aspetti di sicurezza e trasparenza già negli appalti per le TIC. In tale contesto si pongono le seguenti domande.
a. Il Consiglio federale è d'accordo sul fatto che, in caso di appalti per le TIC nel settore delle infrastrutture critiche, oltre agli aspetti di prezzo e prestazione nell'aggiudicazione devono essere presi in considerazione anche tutti gli aspetti della politica di sicurezza in un contesto globale?
b. Il Consiglio federale è disposto a verificare se i gestori di infrastrutture critiche devono rispettare anche parametri di valutazione come il possesso di competenze di monitoraggio, di formazione e relative all'intero ciclo di vita e all'architettura globale, la disponibilità di un numero sufficiente di collaboratori nonché la trasparenza e la verificabilità?
c. Anche il Consiglio federale ritiene che la sicurezza dei sistemi possa essere incrementata grazie a informazioni trasparenti sulla ditta produttrice e fornitrice, sui processi di sviluppo e di produzione, sul codice sorgente alla base dei prodotti, sulla catena di fornitura e, infine, anche sul ciclo di vita (sviluppo, produzione, integrazione, esercizio e messa fuori servizio)?
d. Il Consiglio federale come valuta l'istituzione di un organo nazionale di controllo indipendente, analogamente a un Empa in ambito informatico, volto a verificare integralmente l'appalto di infrastrutture critiche, quindi tenendo conto di più parametri di valutazione?
Begründung
I criteri di valutazione per l'appalto di infrastrutture critiche sono troppo standardizzati. Attualmente, a essere prioritari per le decisioni sull'aggiudicazione sono i criteri di prezzo, prestazione e, se del caso, sicurezza dei componenti oggetto dell'appalto. Considerando la portata dei possibili rischi, tali criteri non sono sufficienti, neppure come base decisionale per garantire in maniera affidabile e sostenibile le infrastrutture critiche. Di conseguenza, è indispensabile effettuare un'analisi integrale e a lungo temine dell'intero sistema dal punto di vista della politica di sicurezza. Per assicurare il funzionamento delle infrastrutture critiche, al momento della decisione d'appalto devono essere osservati non solo i singoli elementi, ma anche l'interazione dei singoli componenti con i sistemi su un orizzonte temporale più lungo. In quest'analisi rientrano anche altre prestazioni di servizi a monte e a valle, come la possibilità dell'offerente di offrire formazioni per l'esercizio operativo. Inoltre, è necessario che un organo nazionale di controllo indipendente verifichi la sicurezza dei componenti e dei sistemi messi a concorso. In futuro, i criteri di valutazione devono includere la disponibilità dell'offerente di sottoporre a verifica i suoi sistemi e componenti in relazione ad aspetti della politica di sicurezza. Se le capacità di funzionamento delle infrastrutture critiche sono limitate o vengono a mancare, l'intero sistema diventa vulnerabile e mette in pericolo la sovranità del Paese, la sicurezza della popolazione nonché l'approvvigionamento e la capacità innovativa della Svizzera.
Stellungnahme des Bundesrates
Ad a.: nella sua Strategia nazionale per la protezione delle infrastrutture critiche, il Consiglio federale ha ribadito la necessità di adottare una procedura integrale per le questioni inerenti alla sicurezza. Di conseguenza, i gestori di infrastrutture critiche dovrebbero conoscere i rischi relativi alle catene dei loro fornitori in tutti i progetti di appalto rilevanti e tenerne conto. Ciò comprende anche lo svolgimento di analisi sugli aspetti di politica di sicurezza dei fornitori e delle loro forniture e l'inserimento dei relativi criteri nei capitolati d'oneri dei bandi di concorso. Il diritto in materia di appalti pubblici autorizza tali criteri anche per gli appalti di gestori che ne sono assoggettati. La parità di trattamento tra gli offerenti deve però essere garantita. Il mercato non può dunque essere limitato de facto a singoli offerenti per motivi di sicurezza.
Ad b.: il Consiglio federale è disposto a verificare, in casi specifici, se sono necessarie prescrizioni complementari negli appalti per le TIC e se tali prescrizioni devono essere inserite nel capitolato d'oneri del bando di concorso. Tuttavia, l'Esecutivo non ritiene opportuno elaborare delle prescrizioni generali, anche in considerazione delle grandi differenze tra le imprese fornitrici di infrastrutture critiche e i settori interessati. Tenere conto dei criteri menzionati in questi appalti rientra nell'interesse economico dei gestori di infrastrutture critiche. Le prescrizioni non considererebbero la complessità dei processi di appalto e ne comprometterebbero la rapidità facendo lievitare i costi. Inoltre, in caso di committenti privati, rappresenterebbero un'ingerenza nella libertà economica delle imprese.
Ad c.: sì, il Consiglio federale condivide questo parere.
Ad d.: il Consiglio federale riconosce la necessità di incrementare le capacità di verifica in Svizzera. Il Cantone di Zugo dispone già di un istituto di test per la cibersicurezza indipendente, denominato "Nationales Testinstitut für Cybersicherheit" (NTC). Al progetto ha collaborato il Centro nazionale per la cibersicurezza (NCSC) fornendo supporto specialistico.L'obiettivo dell'NTC è sostenere imprese e autorità effettuando verifiche di sicurezza approfondite ai sistemi e alle applicazioni TIC. L'istituto ha comprovato le sue competenze anche mediante la verifica delle funzionalità e della sicurezza del sistema svizzero dei certificati COVID.
Risposta del Consiglio federale.