Lexipedia

23.3719 · Interpellanza · 2023-06-14

Dipartimento delle Finanze

Liquidato

Wortlaut

Alla fine del 2022 l’Unione europea ha adottato la legge sulla ciberresilienza («Cyber Resilience Act»), che rafforza le regole in materia di cibersicurezza al fine di garantire una maggiore sicurezza di hardware e software. Il progetto dovrebbe entrare in vigore nel primo trimestre del 2026.

Come è noto, la Svizzera non è impermeabile agli sviluppi legislativi europei. Per citare un esempio, l’«Organisation for Machine Automation and Control» (OMAC), di cui fanno parte numerose grandi imprese svizzere, ha istituito un gruppo di lavoro incaricato di redigere una guida pratica allo scopo di aiutare i dirigenti delle imprese, gli informatici e gli ingegneri a capire le misure che devono adottare per conformarsi alla legge sulla ciberresilienza.

La normativa avrà probabilmente degli effetti sull’industria meccanica svizzera, un settore che contribuisce notevolmente alle esportazioni.

Visto che la legislazione europea riguarderà molte imprese esportatrici, il Consiglio federale non intende anticipare gli effetti che produrrà l’adozione della legislazione europea? Il Consiglio federale ritiene che il settore della formazione sia abbastanza preparato per rispondere alle sfide di questa legislazione europea, ossia per offrire al mercato gli specialisti necessari?

Stellungnahme des Bundesrates

Il Consiglio federale ha riconosciuto l’importanza del «Regolamento relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali», noto come «Cyber Resilience Act» («legge sulla ciberresilienza»), e ne sta monitorando attentamente lo sviluppo. Un gruppo di coordinamento interdipartimentale monitora regolarmente la politica digitale dell’UE e indaga il suo potenziale impatto sulla Svizzera. L’ultimo rapporto del gruppo di lavoro, datato 15 marzo, riguarda anche la legge sulla ciberresilienza. Il regolamento proposto dalla Commissione europea ha superato la prima lettura del Consiglio dell’UE e verrà sottoposto per la prima lettura al Parlamento europeo. Tale legge richiede ai produttori di articoli con componenti digitali di garantire la cibersicurezza già durante il processo di produzione e per l’intero ciclo di vita del prodotto. Il documento chiarisce che la Commissione europea è disposta a trasferire i principi della responsabilità del prodotto all’ambito riguardante la cibersicurezza.

L’atto giuridico distingue tra prodotti critici e non critici. La grande maggioranza dei prodotti appartenenti al settore dei beni di consumo è considerata non critica. Al fine di valutarne la sicurezza è pertanto sufficiente un’autovalutazione da parte del produttore. Per i prodotti critici è necessaria una valutazione da parte di terzi. I produttori di tali articoli devono inoltre monitorare la situazione di minaccia, segnalare eventuali vulnerabilità e fornire aggiornamenti di sicurezza se necessario. Ad esempio browser, password manager, firewall per uso industriale, router, carte chip e relativi lettori sono indicati come prodotti critici.

Poiché l’UE è il mercato più importante per le esportazioni di molte industrie svizzere, tale atto giuridico avrà un impatto sul nostro Paese. In futuro, gli esportatori di prodotti classificati come critici dovranno essere in grado di dimostrare che i componenti digitali utilizzati soddisfano gli standard di sicurezza e fornire valutazioni di conformità.

L’attuazione della legge sulla ciberresilienza, se approvata dal Parlamento europeo e dal Consiglio dell’UE, comporterà quindi un notevole sforzo da parte delle aziende. Tuttavia, molte di queste imprese sono già attive in settori altamente regolamentati e hanno esperienza nell’affrontare i requisiti legali dei diversi mercati.

Inoltre, poiché la legge sulla ciberresilienza adotterà come base l’atto delegato della direttiva 2014/53/UE riguardante le apparecchiature radio, l’industria ha già familiarità con il sistema, almeno per quanto riguarda gli impianti di radiocomunicazione (ad es. WiFi, dispositivi IoT e radio).

Il Consiglio federale è consapevole della carenza di lavoratori specializzati nel settore della cibersicurezza. Poiché la legge sulla ciberresilienza non è ancora stata approvata e le norme applicabili non sono ancora note, è necessario seguire lo sviluppo di tale atto per individuare le conoscenze necessarie alla sua attuazione. Nel complesso, tuttavia, il Consiglio federale ritiene che il sistema educativo svizzero sia sufficientemente flessibile per poter rispondere a ulteriori esigenze formative.