26.3830 · Mozione · 2026-06-18
Dipartimento della difesa, della protezione della popolazione e dello sport
Depositato
Wortlaut
Il Consiglio federale è incaricato di adeguare i criteri per l’acquisto, il rinnovamento e l’ulteriore sviluppo delle prestazioni TIC della Confederazione in modo tale che i sistemi rilevanti dal punto di vista crittografico vengano progressivamente orientati verso la cripto-agilità e la capacità di migrazione post-quantistica.
Il Consiglio federale garantisce in particolare:
di prevedere, in caso di nuovi acquisti e ammodernamenti significativi di sistemi TIC con necessità di protezione elevata, requisiti per la cripto-agilità, la documentazione di rapporti di dipendenza a livello crittografico e il successivo supporto di procedure standardizzate a prova di quantistica;
che venga preparata una migrazione prioritaria verso procedure crittografiche a prova di quantistica o ibride per i dati degni di particolare protezione e confidenziali a lungo termine nonché per le infrastrutture critiche sul piano della sicurezza della Confederazione;
che, in caso di acquisti rilevanti, i fornitori devono indicare in modo trasparente quali procedure crittografiche, biblioteche, protocolli, componenti di gestione dei certificati e delle chiavi vengono utilizzati e come questi possono essere aggiornati o sostituiti;
che le deroghe rimangano possibili, se la maturità di mercato, l’interoperabilità o il principio di proporzionalità lo richiedono, purché siano limitate nel tempo, motivate e accompagnate da una valutazione dei rischi nonché da misure di compensazione adeguate;
che l’attuazione sia improntata a standard e raccomandazioni riconosciuti a livello internazionale e che gli organi federali competenti riferiscano periodicamente in merito ai progressi, ai rischi e alla necessità di intervento.
Begründung
La Confederazione acquista e gestisce sistemi TIC che rimangono in uso per molti anni. Ciò che viene acquistato oggi determinerà l’architettura di sicurezza di domani. Se i rapporti di dipendenza a livello crittografico e la capacità di migrazione non vengono presi in considerazione già in fase di nuovi acquisti, si accumulano nuovi debiti tecnici e i cambiamenti successivi diventano più costosi e più rischiosi.Non è necessaria una sostituzione affrettata dei sistemi esistenti né un cambiamento immediato e capillare, bensì un approccio pragmatico, orientato ai rischi, basato sugli standard, neutro dal punto di vista tecnologico e con soluzioni transitorie dove opportuno. Al centro vi sono la cripto-agilità, la trasparenza in merito ai rapporti di dipendenza a livello crittografico e la capacità di migrare tempestivamente dati degni di particolare protezione verso procedure a prova di quantistica.