25.3149 · Interpellanza · 2025-03-19
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Perché la Svizzera non ha ancora uno standard minimo TIC vincolante per le infrastrutture critiche, mentre altri Paesi (ad es. UE: NIS2/DORA) stanno introducendo tali standard? Come valuta il Consiglio federale i rischi derivanti dall’assenza di un tale standard?
A livello normativo, quali possibilità vede il Consiglio federale per stabilire requisiti minimi uniformi per la cibersicurezza delle infrastrutture critiche?
Da marzo 2024 l’Ufficio federale della cibersicurezza (UFCS) è responsabile degli standard minimi TIC, ma attualmente dispone soltanto della competenza di formulare raccomandazioni. Su base volontaria, le associazioni di categoria possono dichiarare obbligatori questi o i propri standard minimi TIC. Il Consiglio federale ritiene che questo approccio decentralizzato e che non punta sull’obbligatorietà generalizzata sia efficace e al passo con i tempi?
Come valuta il Consiglio federale l’attuale resilienza delle infrastrutture critiche (KRITIS) nei confronti dei ciberattacchi? Su quali basi è in grado di valutarla e con quale regolarità vengono effettuate nuove valutazioni?
Esiste un rilevamento sistematico dei ciber-rischi nei vari settori KRITIS? In quale misura il rilevamento dei ciberincidenti (introduzione dell’obbligo di segnalazione) dovrebbe contribuire a definire misure concrete riguardo a requisiti minimi?
Il Consiglio federale come garantisce che la Svizzera non diventi «l’anello debole» nelle reti digitali internazionali?
Quali misure sono previste per armonizzare la ciberstrategia svizzera con gli standard internazionali (ad es. UE NIS2, ISO 27001, NIST Cybersecurity Framework)?
Secondo il Consiglio federale, il servizio nazionale di contatto per la cibersicurezza (UFCS, NCSC) dispone di personale e risorse finanziarie sufficienti per contrastare efficacemente le ciberminacce?
Secondo il Consiglio federale, il servizio nazionale di contatto per la cibersicurezza (UFCS, NCSC), la Segreteria di Stato della politica di sicurezza (SEPOS) nonché la FINMA dispongono delle competenze e dei poteri necessari per contrastare efficacemente le ciberminacce o per richiedere e verificare le misure necessarie?
Begründung
Le infrastrutture critiche come l’approvvigionamento energetico, il settore sanitario, i sistemi finanziari e i trasporti sono obiettivi appetibili per i ciberattacchi. Uno standard minimo TIC aggiornato potrebbe garantire che i gestori implementino misure di protezione di base per ridurre al minimo i rischi.
Stellungnahme des Bundesrates
La Svizzera persegue un approccio decentralizzato alla standardizzazione, in base al quale si stabilisce in modo specifico per settore quali standard di cibersicurezza devono essere implementati e come. Tuttavia, non è vero che i settori possono aderire a questi standard in ogni caso su base volontaria. Ad esempio, sulla base dell’ordinanza sull’approvvigionamento elettrico (RS734.71), a partire dal 1° luglio 2024 per molte aziende di fornitura di energia elettrica è obbligatorio rispettare lo standard minimo TIC. A partire da luglio 2025, ciò varrà anche per le aziende di fornitura di gas. In altri settori gli organi di vigilanza si basano su standard per valutare l’attuazione di disposizioni di carattere generale in materia di sicurezza e governance contenute nelle leggi pertinenti. L’Autorità federale di vigilanza sui mercati finanziari (FINMA) ad esempio ha esposto le proprie aspettative in merito al rispetto degli standard di cibersicurezza in diverse circolari e comunicazioni sulla vigilanza, mentre l’Ufficio federale dei trasporti si basa su standard esistenti per i propri compiti di vigilanza. Inoltre, l’ordinanza sulla sicurezza delle informazioni (RS128.1) rende vincolanti gli elementi centrali degli standard pertinenti per le unità amministrative dell’Amministrazione federale e dell’esercito. Il vantaggio dell’approccio decentralizzato alla standardizzazione risiede nel fatto che è possibile tenere conto delle specificità dei vari settori e utilizzare i processi di vigilanza esistenti. I servizi competenti possono integrare i controlli di cibersicurezza nella loro prassi di vigilanza. A livello tecnico, sono supportati dall’Ufficio federale della cibersicurezza (UFCS), che, tramite lo standard minimo per migliorare la resilienza delle TIC, garantisce che le standardizzazioni nei vari settori siano armonizzate tra loro e che gli standard siano ulteriormente sviluppati insieme alle parti interessate. L’UFCS garantisce inoltre che le direttive siano in linea con gli standard internazionali. A tal fine, l’UFCS non necessita della facoltà di impartire istruzioni, poiché è una competenza delle autorità di vigilanza. La Segreteria di Stato della politica di sicurezza e la FINMA, invece, hanno la facoltà diretta di impartire istruzioni rispettivamente alle unità amministrative dell’Amministrazione federale e dell’esercito e al settore finanziario. La resilienza delle infrastrutture critiche deve essere costantemente rivalutata in base all’evoluzione dinamica della situazione delle ciberminacce nei rispettivi settori. Gli indicatori per la valutazione sono: l’attuazione delle misure di protezione, i tempi di reazione nel colmare le vulnerabilità e il numero di ciberattacchi riusciti nonché le loro conseguenze. L’obbligo di segnalare ciberattacchi a infrastrutture critiche entrato in vigore il 1° aprile 2025 consentirà all’UFCS di ottenere una panoramica migliore di quest’ultimo indicatore. Le ciberminacce restano una sfida notevole per tutti gli attori coinvolti. Tuttavia, non vi sono elementi che indicano che le aziende svizzere siano meno protette rispetto a quelle di altri Paesi. Nell’ambito delle sue competenze, il Consiglio federale continuerà a promuovere l’attuazione degli standard di cibersicurezza. Pertanto il Consiglio federale verifica costantemente se esiste la necessità di introdurre ulteriori disposizioni legali e di aumentare le risorse per i servizi competenti e per l’UFCS. Tuttavia, una collaborazione stretta e improntata alla fiducia tra le autorità e le aziende per l’attuazione di misure di protezione contro le ciberminacce è tanto importante quanto l’introduzione e la revisione degli standard.