23.4449 · Interpellanza · 2023-12-21
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Nel 2023 diversi fornitori di TIC dell’Amministrazione federale sono stati vittime di ciberattacchi e alcuni dati sensibili delle autorità sono stati sottratti. Nell’estate 2023 la ditta Xplain è stata la prima vittima di un ciberattacco e nel frattempo è stato segnalato anche un attacco ransomware con ingenti ripercussioni presso la ditta Concevis. Voci critiche si sono levate secondo cui le autorità per anni non avrebbero controllato la sicurezza delle informazioni dei fornitori TIC e quindi non avrebbero fatto uso del loro diritto di audit contrattuale.
In tale contesto invito il Consiglio federale a rispondere alle seguenti domande:
Quali misure immediate sono già state adottate per quanto riguarda i fornitori TIC?
A che punto sono i lavori dello stato maggiore di crisi politico-strategico per la fuga di dati (SMCPS-D) e l’inchiesta amministrativa condotta dallo studio legale OBERSON ADELS SA?
Con quali direttive il Consiglio federale intende garantire in futuro che le unità organizzative beneficiarie di prestazioni TIC facciano uso del loro diritto di audit?
Come valuta il Consiglio federale l’introduzione di un obbligo di audit per le unità organizzative dell’Amministrazione federale che si avvalgono di prestazioni TIC esterne e come lo attuerebbe?
Il Consiglio federale ha definito in modo uniforme i criteri in base ai quali interrompere la collaborazione con i fornitori TIC che non rispettano i requisiti in materia di sicurezza delle informazioni?
Begründung
Le autorità federali dispongono potenzialmente di dati sensibili sui cittadini svizzeri. Lo Stato è quindi tenuto a proteggere i propri dati con particolare accuratezza.
Stellungnahme des Bundesrates
In merito alla domanda 1: Nel giugno 2023 il Consiglio federale ha incaricato la Cancelleria federale e i dipartimenti di verificare i contratti per prestazioni TIC relativi alla cibersicurezza. Inoltre ha incaricato il DFF di completare il modello di clausola contrattuale della Conferenza degli acquisti della Confederazione concernente i ciberattacchi e le Condizioni generali della Confederazione e di adattarli alla nuova legge sulla sicurezza delle informazioni (LSI; RS 128) entro la fine del 2023. Sempre a giugno il DFGP ha inviato una lettera ai suoi principali fornitori di prestazioni TIC esterni, ricordando loro l’obbligo di rispettare la protezione IT di base e richiedendo informazioni al riguardo. Inoltre, a titolo complementare, l’Ufficio federale delle costruzioni e della logistica (UFCL) e l’Ufficio federale dell’armamento (armasuisse) hanno inviato una lettera a tutti i principali fornitori di prestazioni TIC dell’Amministrazione federale per informarli della verifica dei contratti ordinata dal Consiglio federale. Circa 7000 contratti esistenti con fornitori di prestazioni TIC sono stati verificati entro la fine del 2023. In tale contesto ben 2200 contratti sono stati classificati come rilevanti per la sicurezza. La metà di tali contratti è risultata contenere disposizioni adeguate in materia di cibersicurezza. La seconda metà dei contratti comprendeva circa 600 contratti di cui la scadenza non è prevista nei prossimi mesi, ma che devono essere verificati in modo approfondito e, se necessario, adeguati. In merito alla domanda 2: I lavori dello stato maggiore di crisi politico-strategico per la fuga di dati (SMCPS-D) e l’inchiesta amministrativa condotta dallo studio legale OBERSON ADELS SA sono attualmente in corso. OBERSON ADELS SA elaborerà un rapporto all’attenzione del Consiglio federale entro la fine di marzo 2024. Il Consiglio federale deciderà in merito all’ulteriore procedura sulla base dei risultati di tale rapporto. In merito alla domanda 3: La nuova legge sulla sicurezza delle informazioni, in vigore dal 1° gennaio 2024, offre alla Confederazione nuove opportunità per garantire il rispetto delle direttive in materia di sicurezza delle informazioni e lo svolgimento di audit.Secondo l’articolo 9 LSIn e l’articolo 10 capoverso 3 dell’ordinanza sulla sicurezza delle informazioni (OSIn; RS 128.1), nei contratti con offerenti di TIC devono essere stabiliti requisiti chiari per la sicurezza delle informazioni e la relativa verifica o un diritto di audit a favore della Confederazione. La Segreteria di Stato della politica di sicurezza (SEPOS) e armasuisse stanno elaborando attualmente i relativi modelli di clausole. Tali modelli includono requisiti minimi che dovrebbero essere inclusi in tutti i contratti, nonché requisiti supplementari orientati ai rischi che dipendono dal rispettivo mandato e dai dati da trattare. Spetta alle unità amministrative verificare in base ai rischi il rispetto delle prescrizioni da parte dei loro fornitori. Conformemente all’articolo 13 capoverso 1 OSIn devono stabilire in un piano annuale dei controlli e audit quali verifiche effettueranno. Nel caso di mandati sensibili sotto il profilo della sicurezza, le ditte devono sottoporsi a una procedura di sicurezza relativa alle aziende già al momento dell’aggiudicazione e, secondo l’articolo 62 della LSIn, possono eseguire tali mandati soltanto dopo che il Servizio specializzato per la procedura di sicurezza relativa alle aziende della SEPOS ha rilasciato la dichiarazione di sicurezza aziendale. In applicazione dell’articolo 64 LSIn il Servizio specializzato per la procedura di sicurezza relativa alle aziende effettua controlli regolari presso tali ditte. Può anche richiedere audit o svolgerli autonomamente. In merito alla domanda 4: L’introduzione di un obbligo generale di audit per le unità organizzative dell’Amministrazione federale che beneficiano di prestazioni TIC esterne sarebbe sproporzionata e non è previsto dalla legge. Non tutte le prestazioni TIC includono mandati sensibili sotto il profilo della sicurezza. Tuttavia, i fornitori di prestazioni TIC che eseguono mandati sensibili sotto il profilo della sicurezza vengono controllati periodicamente dal Servizio specializzato per la procedura di sicurezza relativa alle aziende della SEPOS. In merito alla domanda 5: Il Consiglio federale non ha definito criteri uniformi in base ai quali interrompere la collaborazione con i fornitori TIC che non rispettano i requisiti. In linea di principio spetta all’unità amministrativa acquirente soppesare i rischi e trarre le conseguenze appropriate, tra cui la revoca dell’aggiudicazione secondo l’articolo 44 capoverso 1 lettera h della legge federale sugli appalti pubblici (LAPub; RS 172.056.1). In caso di inosservanza degli obblighi nell’ambito di mandati sensibili sotto il profilo della sicurezza, la dichiarazione di sicurezza aziendale precedentemente rilasciata dal Servizio specializzato per la procedura di sicurezza relativa alle aziende può essere ritirata al fornitore di prestazioni (art. 67 LAIn).