Art. 1 Questa disposizione riassume in forma generale lo scopo dell’atto normativo. Il capoverso 1 segnala che sia le informazioni in quanto tali sia le TIC rientrano nel campo d’applicazione della legge. La nozione di «informazione» non viene definita nella presente legge sulla sicurezza delle in- formazioni (LSIn), poiché nell’atto normativo si rinuncia a definizioni legali e la nozione nella LSIn coincide con l’uso colloquiale. In linea di principio, la legge non distingue tra «informazioni» e «dati»: entrambe le nozioni vengono sussunte sotto la nozione di «informazioni». Nella legge, la nozione di «dati» viene utilizza- ta solamente se sono interessati dati personali ai sensi della LPD. Con la nozione di «mezzi TIC», la LSIn include l’insieme delle installazioni, degli apparecchi, dei sistemi e delle applicazioni utilizzati per il tratta- mento elettronico (incl. memorizzazione e comunicazione) di informazioni. In merito alla menzione esplicita delle TIC nell’articolo concernente lo scopo si veda il numero 1.2.2.1. Capoverso 2: la sicurezza non è fine a se stessa. La protezione delle informazioni serve a determinati interes- si pubblici o interessi propri della Confederazione in quanto istituzione. Qui vengono dunque protetti in pri- mo luogo gli interessi della Confederazione o della Svizzera e non quelli di terzi. Questi interessi vengono elencati esaustivamente (lett. a-e). L’elenco si rifà sostanzialmente all’elenco dell’articolo 7 capoverso 1 LTras, che menziona gli ambiti nei quali il diritto di accesso a un documento ufficiale può essere limitato, differito o negato. L’elenco dell’articolo 1 capoverso 2 LSIn non è tuttavia del tutto identico a quello della LTras, poiché gli obiettivi e il campo d’applicazione di quest’ultima e del presente avamprogetto non sono gli stessi (in merito ai rapporti tra LSIn e LTras, si veda l’art. 3 cpv. 1). La presente legge protegge i seguenti interessi: lett. a: la protezione della capacità di decisione e d’azione delle autorità federali mediante misure per la sicurezza delle informazioni è un interesse cruciale di questa legge. Per l’adempimento dei loro compiti costituzionali e legali le autorità federali dipendono sempre di più dalla disponibilità, dall’integrità e, in determinati casi, dalla confidenzialità delle loro informazioni, nonché dal funzionamento affidabile dell’infrastruttura informatica (si veda anche l’art. 7 cpv. 1 lett. a e b LTras e i n. 2.2.2.1.1-2 del messag- gio LTras); lett. b: vengono in primo luogo protette informazioni dai settori della polizia, delle dogane, del servizio informazioni e degli affari militari e dell’approvvigionamento del Paese, nonché i mezzi che le autorità federali impiegano per garantire la sicurezza interna ed esterna. Siffatte informazioni spesso presentano un’elevata esigenza di confidenzialità, poiché il loro utilizzo abusivo rischia di pregiudicare la sopravvi- venza dello Stato, della popolazione o di determinate persone o gruppi di persone. Per lo stesso motivo, i mezzi TIC delle autorità impiegati per sostenere compiti di sicurezza critici devono rimanere sempre di-
36
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
sponibili e funzionanti anche in tempi di crisi (si veda anche l’art. 7 cpv. 1 lett. d LTras e il n. 2.2.2.1.3 del messaggio LTras); lett. c: insieme alle questioni relative alla sicurezza, le relazioni estere sono fra i settori più sensibili dell’attività dello Stato. Qui l’accento è posto sulla tutela della confidenzialità delle informazioni. In par- ticolare l’acquisizione di informazioni su situazioni e fatti all’estero, nonché sulle intenzioni di autorità estere e internazionali, assumono grande rilevanza per condurre la politica estera e curare le relazioni in- ternazionali. Per condurre a buon fine dei negoziati è fondamentale che la controparte o il pubblico non vengano a conoscenza delle relative strategie e intenzioni. Lo stesso dicasi per gli interventi diplomatici nei rapporti tra gli Stati. Occorre infine menzionare che, a motivo di impegni assunti nell’ambito di tratta- ti internazionali o di una prassi riconosciuta tra gli Stati, la Svizzera può essere tenuta a non rendere ac- cessibili al pubblico taluni documenti esteri (si veda anche l’art. 7 cpv. 1 lett. d LTras e il n. 2.2.2.1.4 del messaggio LTras); lett. d: la comunicazione non autorizzata o la falsificazione di determinate informazioni, nonché la pertur- bazione del funzionamento di sistemi d’informazione delle autorità federali, possono danneggiare consi- derevolmente gli interessi in materia di politica economica, finanziaria o monetaria della Svizzera. Nell’implacabile concorrenza internazionale attuale, questi interessi economici assumono ancora maggio- re significato (si veda anche l’art. 7 cpv. 1 lett. f LTras e il n. 2.2.2.1.6 del messaggio LTras); lett. e: qui viene considerato il settore della compliance, vale a dire il rispetto degli impegni assunti in virtù di leggi e trattati dalle autorità federali per proteggere informazioni che non rientrano nelle lettere a- d. Per adempiere i loro compiti legali, le autorità federali trattano infatti moltissime informazioni che de- vono proteggere in virtù delle più disparate disposizioni legali (p. es. LPD, LOGA, LParl, LBN, LAPub, LFC, LATer ecc.) o che ricevono da terzi soltanto a condizione di garantire una protezione adeguata. An- che se i segreti professionali, d’affari o di fabbricazione o la tutela della confidenzialità e integrità di dati personali non rappresentano interessi diretti della Confederazione, qualora dovesse emergere che le auto- rità federali non rispettano i loro impegni per proteggere queste informazioni, la loro affidabilità potrebbe tuttavia soffrirne considerevolmente. La lettera e rappresenta quindi un collettore per tutte le informazioni che le autorità federali trattano e proteggono, ma non necessariamente devono classificare. Tale lettera protegge inoltre l’interesse delle autorità federali a mantenere la loro elevata affidabilità. (Si veda anche l’art. 7 cpv. 1 lett. e, g e h LTras e i n. 2.2.2.1.5 e 2.2.2.1.7-8 del messaggio LTras).
Art. 2 L’articolo 2 include il campo d’applicazione istituzionale e amministrativo. Il capoverso 1 stabilisce quali autorità vengono assoggettate all’applicazione della legge nel loro ambito di competenza. Quali autorità assoggettate, vengono menzionati l’Assemblea federale, il Consiglio federale, i tribunali della Confederazione (Tribunale federale, Tribunale penale federale, Tribunale amministrativo fede- rale, Tribunale federale dei brevetti), il Ministero pubblico della Confederazione e la sua autorità di vigilan- za, nonché ‡ nell’interesse della politica monetaria ed economica della Confederazione ‡ la Banca nazionale svizzera. Tutte queste istituzioni, nella loro attività quali autorità, non sono assoggettate ad alcuna facoltà diretta di emanare istruzioni di un’altra autorità. In conseguenza del flusso di informazioni tra le autorità, esse vanno però obbligate ad applicare il presente atto normativo nel proprio ambito di competenza organiz- zativo. Purché la legge contenga deleghe legislative, si rivolge a queste autorità designandole sempre «auto- rità assoggettate». Riguardo ai motivi per cui tutte le autorità federali debbano rientrare nel campo d’applicazione della legge, si veda il numero 1.2.2.2. Rimane inteso che, in singole normative, la legge deve tenere conto della posizione costituzionale e delle particolarità delle varie autorità o istituzioni. Contiene perciò, ad esempio, deroghe all’obbligo del controllo di sicurezza relativo alle persone (CSP) per le persone elette dal Popolo, nonché deroghe per determinate competenze esecutive, in particolare nell’ambito dei tribunali della Confederazione. In quelle disposizioni dell’atto normativo che contengono solamente obblighi per determinate autorità o organizzazioni, questi vengono specificati di conseguenza (si vedano p. es. gli art. 19, 33 cpv. 4, 35, 36 e 84 cpv. 1). Al livello della legge non può però venire stabilita l’intera organizzazione esecutiva delle varie autorità e le competenze dei loro organi o servizi. Ciò deve avvenire mediante la relativa disposizione d’esecuzione delle singole autorità. Il capoverso 2 considera che le autorità menzionate nel capoverso 1 devono occuparsi soltanto limitatamente di veri e propri compiti esecutivi e che le organizzazioni a esse subordinate, nell’ambito dei propri compiti legali, vanno assoggettate direttamente alle nuove normative nell’ambito delle proprie competenze. La ripar- tizione tra autorità e organizzazioni subordinate è intesa in particolare a garantire che il differente diritto organizzativo delle autorità considerate non venga toccato dalla nuova normativa. Da un lato, le autorità assoggettate non devono avere l’obbligo di assumere in proprio compiti esecutivi subordinati, dall’altro, le
37
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
autorità considerate non devono però ottenere competenze normative o decisionali in deroga al diritto orga- nizzativo. L’espressione «organizzazioni assoggettate» viene introdotta come designazione abbreviata nell’interesse della semplificazione, sotto il profilo della tecnica legislativa, degli articoli successivi. Si tratta in particolare dei Servizi del Parlamento, delle amministrazioni dei singoli tribunali della Confederazione, dei Dipartimenti, della Cancelleria federale, dell’Amministrazione federale, ivi comprese le unità ammini- strative decentrate, nonché dell’esercito. la lettera d prevede un sostanziale assoggettamento alla legge per organizzazioni di diritto pubblico e privato che adempiono compiti amministrativi della Confederazione ai sensi dell’articolo 2 capoverso 4 LOGA e che, nel farlo, sono soggette alla vigilanza della Confederazione (si veda in proposito l’art. 8 cpv. 4 e 5 LOGA). Sono, in particolare, organizzazioni che per legge sono autorizzate a emanare decisio- ni nei confronti di privati. In questo contesto, presupposto per un assoggettamento è che queste organiz- zazioni esercitino attività sensibili sotto il profilo della sicurezza nell’ambito dell’adempimento dei propri compiti amministrativi (si veda il cpv. 3). L’assoggettamento vale solamente per questi compiti ammini- strativi. Non è attuabile, nell’ambito del presente atto normativo, determinare in maniera esaustiva e dura- tura le singole organizzazioni assoggettate. Spetta perciò al Consiglio federale stabilire a livello di ordi- nanza chi è assoggettato e in quale misura (si veda l’art. 87 cpv. 4); lettera e: per adempiere i rispettivi compiti, Confederazione e Cantoni dipendono da una strettissima col- laborazione. Si scambiano reciprocamente moltissime informazioni, tra le quali rientrano anche informa- zioni classificate della Confederazione. Le infrastrutture e i sistemi TIC della Confederazione e dei Can- toni vengono inoltre sempre più collegati fra loro. Aumenta così il rischio che gli attacchi e le minacce nell’ambito di competenza di un’autorità si propaghino agli ambiti di competenza di altri partecipanti. I Cantoni sono direttamente competenti per la sicurezza delle proprie informazioni. Se però adempiono compiti della Confederazione sotto la vigilanza diretta della Confederazione, in linea di massima si appli- cano anche a loro le direttive della Confederazione. La legge prevede un assoggettamento dei Cantoni se- condo criteri basati sui rischi: vanno assoggettati per adempiere compiti soltanto se nel farlo esercitano at- tività sensibili sotto il profilo della sicurezza per incarico della Confederazione e sotto la sua vigilanza di- retta (si veda il cpv. 3). La legge non include le autorità e i servizi cantonali che, di loro competenza, attuano il diritto federale. La LSIn non disciplina, in maniera specifica, il collegamento tra reti cantonali e reti federali. In simili casi le autorità della Confederazione e dei Cantoni devono concordare misure di sicurezza appropriate alla situa- zione che garantiscano materialmente il livello di protezione richiesto dalla legge per le autorità federali. In merito all’esecuzione da parte dei Cantoni, si veda l’articolo 89. Il capoverso 3 definisce la nozione di «attività sensibile sotto il profilo della sicurezza», centrale per l’applicazione di questa legge. L’esercizio di un’attività sensibile sotto il profilo della sicurezza, infatti, non è solamente il presupposto per l’applicazione della legge a organizzazioni di diritto pubblico e privato che adempiono compiti amministrativi e ai Cantoni, bensì anche per l’esecuzione di controlli di sicurezza relativi alle persone (CSP) o di procedure di sicurezza relative alle aziende (PSA) presso terzi ai quali vanno affidati compiti della Confederazione. L’attività sensibile sotto il profilo della sicurezza viene definita nel contesto della sicurezza delle informazioni. Come nell’attuale LMSI, il suo contenuto materiale pone in primo piano la gestione delle informazioni. Nella sua definizione si è badato al parallelismo con le normative sulla prote- zione delle informazioni classificate e sulla sicurezza nell’impiego di mezzi TIC. Lettera a: adducendo il livello di classificazione «CONFIDENZIALE» come punto di partenza per defini- re l’attività sensibile sotto il profilo della sicurezza, si stabilisce implicitamente che la sensibilità sotto il profilo della sicurezza di un’attività viene presunta soltanto se gli interessi di cui all’articolo 1 capoverso 2 possono venire pregiudicati almeno considerevolmente. Sensibile sotto il profilo della sicurezza nella gestione di informazioni classificate è inoltre non il semplice «accesso» a queste informazioni, bensì il lo- ro «trattamento» effettivo e autorizzato. In altre parole, ad esempio, il personale addetto alla pulizia non esercita, di regola, alcuna attività sensibile sotto il profilo della sicurezza ai sensi della presente legge, sebbene sia grande la probabilità che durante la sua attività talvolta possa accedere fattivamente a infor- mazioni classificate perché i collaboratori non sempre rispettano le prescrizioni di sicurezza. È menzionata anche la gestione del materiale classificato. Si tratta di vari materiali e oggetti la cui esi- stenza o natura deve essere protetta in quanto tale dalla conoscienza da parte di persone non autorizzate o le cui caratteristiche possono rivelare informazioni classificate: il materiale è o contiene dunque l’informazione. Ne sono interessati principalmente gli oggetti d’armamento, i sistemi d’arma o i sistemi di comunicazione integrati. Sovente uno Stato terzo che ha autorizzato la fornitura alla Svizzera prescrive una classificazione di simili materiali e oggetti. Fino a oggi la Svizzera conosce corrispondenti classifica-
38
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
zioni soltanto in ambito militare; in ambito civile (p. es. polizia e Corpo delle guardie di confine) manca- va finora una corrispondente base, che ora viene creata implicitamente con questa disposizione; lettera b: qui vengono considerate le attività connesse a particolari diritti di accesso a mezzi TIC dei due livelli di sicurezza più elevati o nell’esercizio delle quali delle persone sono in grado, ad esempio, di pre- giudicare considerevolmente gli interessi di cui all’articolo 1 capoverso 2 attraverso il furto di dati o il sa- botaggio. Il semplice utilizzo di questi mezzi TIC non viene dunque considerato come sensibile sotto il profilo della sicurezza (si decide se gli utenti esercitano un’attività sensibile sotto il profilo della sicurezza in base ai contenuti delle informazioni trattate). La lettera b include soprattutto determinati amministratori o responsabili delle applicazioni; lettera c: come sensibile sotto il profilo della sicurezza viene infine designato l’accesso alle zone di sicu- rezza disciplinate nell’articolo 31, poiché in queste zone, a causa delle informazioni e dei mezzi TIC che vi si trovano, il potenziale di danno in caso di spionaggio o di sabotaggio è molto alto. Il capoverso 3 contiene ulteriori deroghe al vigente disciplinamento secondo l’articolo 19 capoverso 1 LMSI. In virtù della presente legge, ad esempio, l’accesso periodico a dati personali degni di particolare protezione, la cui rivelazione potrebbe pregiudicare pesantemente i diritti personali degli interessati, non rappresenta più un’attività sensibile sotto il profilo della sicurezza. Neanche la gestione di segreti d’affari e di fabbricazione va considerata come sensibile sotto il profilo della sicurezza nel senso della LSIn. Rimane da osservare che una parte delle esigenze relative ai dati personali e ai segreti d’affari e di fabbricazione viene coperta attra- verso le norme nell’ambito dei mezzi TIC. Un altro importante cambiamento rispetto all’attuale disciplina- mento consiste nel fatto che l’elemento della periodicità nell’esercizio delle attività indicate non è parte inte- grante della sensibilità sotto il profilo della sicurezza di tale attività. Il trattamento, per un’unica volta, di informazioni classificate «CONFIDENZIALE» è dunque già considerato per la LSIn come sensibile sotto il profilo della sicurezza. Questo cambiamento è necessario in relazione al controllo di sicurezza di terzi desti- nati a eseguire compiti della Confederazione. Poiché queste categorie di persone non eserciteranno le proprie attività costantemente nell’ambito controllato dalle autorità o organizzazioni assoggettate, a esse devono applicarsi presupposti differenziati per l’assoggettamento al CSP. In merito al rapporto con i controlli di sicurezza relativi alle persone, si veda il numero 1.2.4.
Art. 3 Capoverso 1: con una riserva per le disposizioni della LTras viene stabilito chiaramente che il campo d’applicazione della legge sulla trasparenza non viene limitato in alcun modo dal disciplinamento della sicu- rezza delle informazioni. Le informazioni che sono state classificate in virtù della LSIn non rientrano nella riserva di cui all’articolo 4 LTras (disposizioni speciali che dichiarano segrete determinate informazioni). Quindi le disposizioni della LTras sull’accesso ai documenti ufficiali trovano applicazione anche alle infor- mazioni che sono state classificate in virtù della LSIn. La valutazione di documenti nella procedura in virtù della LTras avviene indipendentemente dalle disposi- zioni della LSIn. Per le domande di accesso ai documenti ufficiali, il servizio competente verifica dunque, indipendentemente da un’eventuale nota di classificazione, se l’accesso va accordato, limitato, differito o negato. Nella valutazione di documenti in virtù della LTras, la classificazione di informazioni può essere tuttavia considerata come indizio del carattere «non pubblico» del corrispondente documento. La decisione sulla classificazione presuppone infatti una valutazione della necessità di protezione dell’informazione ri- guardo a un pregiudizio per gli interessi pubblici di cui all’articolo 1 capoverso 2 LSIn che, di per sé, do- vrebbe corrispondere materialmente a una valutazione quanto alla limitazione, al differimento e alla nega- zione di cui all’articolo 7 capoverso 1 LTras. Dal profilo del contenuto, le disposizioni riguardanti la classifi- cazione sono impostate in maniera tale che non dovrebbero contraddire il catalogo delle eccezioni di cui all’articolo 7 LTras. Per il resto, occorre segnalare che, in linea di massima, il campo d’applicazione della LSIn deve essere più ampio rispetto a quello della LTras, in quanto la LSIn è applicabile a tutte le autorità federali. Si concentra inoltre non soltanto sulla protezione della confidenzialità, bensì protegge anche la disponibilità, l’integrità e la verificabilità di informazioni. Il capoverso 2 disciplina il rapporto del nuovo atto normativo con le numerose leggi federali che fissano requisiti per la protezione della confidenzialità, della disponibilità, dell’integrità o della verificabilità di in- formazioni o per la disponibilità e l’integrità di mezzi TIC (si veda l’art. 4 cpv. 2 lett. a-d). Le disposizioni della LSIn devono trovare un’applicazione integrativa per simili leggi. Ciò significa che la LSIn crea una cornice unitaria per la valutazione della necessità di protezione di queste informazioni e per l’applicazione dei requisiti di sicurezza posti a queste informazioni dalla legislazione speciale,.
39
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
L’esempio della LPD consente di spiegare questo principio. La LPD contiene i requisiti posti al trattamento conforme al diritto, nonché alla protezione di dati personali. Rimane inteso che i dati personali nel settore di compiti delle autorità federali devono e possono continuare a venire trattati secondo le norme della legge sulla protezione dei dati. Poiché, tuttavia, la stessa LPD contiene prescrizioni poco dettagliate riguardanti misure di protezione organizzative, in materia di personale, tecniche e fisiche, le pertinenti prescrizioni della presente legge vanno applicate quale diritto completivo al trattamento di dati personali. Purché, infine, ad esempio per la salvaguardia della sicurezza pubblica, anche dati personali debbano essere valutati come es- senziali, essi vanno trattati ed eventualmente classificati secondo le corrispondenti prescrizioni della presente legge. Capoverso 3: nella Strategia nazionale per la protezione della Svizzera contro i rischi informatici, il Consi- glio federale è rimasto fedele al principio del disciplinamento decentralizzato delle infrastrutture critiche. Sempre che vi sia una necessità di agire a livello di legge formale in determinati settori, la corrispondente legislazione specifica deve essere adeguata (si vedano i n. 1.1.2.2 e 1.2.6). Con la LSIn la Confederazione dispone però di strumenti particolari nell’ambito della sicurezza delle informazioni dei quali determinati regolatori e gestori di infrastrutture critiche vorrebbero servirsi, in particolare il CSP. Suscitano interesse in parte anche le disposizioni riguardanti la classificazione o la sicurezza nell’impiego di TIC. Determinate infrastrutture critiche già oggi si servono di questi strumenti della Confederazione. Ciò è ad esempio il caso nell’ambito delle centrali nucleari, nel quale la Confederazione prescrive determinate misure per la sicurezza delle informazioni (si vedano gli art. 5 e 24 LENu). Anche nell’ambito della sorveglianza dello spazio aereo (Skyguide), determinati impiegati vengono sottoposti preliminarmente a un CSP. Ora anche taluni impiegati della società nazionale di rete che gestisce la rete di trasporto per l’elettricità a livello svizzero (Swissgrid) andranno sottoposti al CSP. Si mantiene perciò il principio che la legislazione speciale è determinante per un assoggettamento alla LSIn (o a parti di essa). In merito alla corrispondente modifica della legislazione speciale, si vedano anche i numeri 2.9 e 2.10. 2.1.2 Misure generali per la sicurezza delle informazioni
Art. 4 L’articolo 4 considera il contenuto materiale della sicurezza delle informazioni e i più importanti principi in base ai quali deve essere attuata. Esso completa quindi l’articolo sullo scopo (art. 1), in quanto illustra gli obiettivi di protezione dettagliati. Il capoverso 1 stabilisce che le autorità e le organizzazioni assoggettate devono valutare la necessità di prote- zione delle informazioni per le quali sono competenti. La necessità di protezione delle informazioni viene definita nell’ottica del potenziale pregiudizio per gli interessi di cui all’articolo 1 capoverso 2 e definita in relazione ai dettagliati criteri del capoverso 2. Per sua stessa natura, la necessità di protezione specifica assai sovente viene implicitamente prevista da altre leggi (si vedano anche l’art. 1 cpv. 2 lett. e l’art. 3 cpv. 2). Capoverso 2: sotto il profilo materiale, la dottrina e la prassi menzionano per lo più quattro criteri di prote- zione inerenti alla sicurezza delle informazioni da ponderare di volta in volta secondo le circostanze, nello specifico la tutela della confidenzialità, integrità, disponibilità e verificabilità delle informazioni. Spesso vengono menzionati ulteriori criteri di protezione che però, in linea di principio, vengono coperti dai criteri indicati nel capoverso 2 o tutt’al più da una combinazione degli stessi, ad esempio l’autenticità (nella presen- te legge inclusa sotto «integrità»), l’imputabilità o l’incontestabilità (nella presente legge derivanti dai criteri della «integrità» e della «tracciabilità»). Lettera a: il principio della confidenzialità viene concretato nel senso che le informazioni sono acces- sibili solamente alle persone autorizzate. La cerchia delle persone autorizzate risulta dal contesto dell’adempimento dei rispettivi compiti legali, nonché dal contenuto e dalla rilevanza dell’informazione. Di conseguenza, la cerchia delle persone autorizzate può essere limitata a poche persone o assai grande. Se le informazioni vanno rese accessibili al pubblico, la cerchia è illimitata; lettera b: la disponibilità delle informazioni non va intesa in senso assoluto, ma, per garantire la ca- pacità di decisione e d’azione delle autorità e organizzazioni, è necessario che nell’ambito dell’adempimento dei compiti legali esse possano accedere tempestivamente alle informazioni ne- cessarie. I requisiti posti alla disponibilità di informazioni sono più elevati se queste devono essere disponibili sempre e senza interruzioni per l’adempimento di compiti essenziali. Ciò vale in partico- lare nel caso in cui queste informazioni vengano trattate elettronicamente; lettera c: la salvaguardia dell’integrità (inalterabilità ed esattezza) delle informazioni è un importante compito parziale della protezione di informazioni che, nell’ottica dell’affidabilità delle autorità, è ri-
40
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
levante anche per informazioni destinate a essere pubblicate. È decisiva anche per il corretto funzio- namento dei mezzi TIC. lettera d: la tracciabilità del trattamento delle informazioni è di notevole rilevanza in particolare per tutte le procedure pubbliche (procedimenti penali, procedure di ricorso ecc.), ma anche per l’esercizio delle funzioni di controllo e di vigilanza e il modo di procedere in caso di abusi. Le autorità e le organizzazioni assoggettate devono dunque procedere a una valutazione della necessità di protezione di informazioni e stabiliscono, per quale aspetto e in che misura le informazioni devono essere protette (requisiti di sicurezza). La protezione della confidenzialità è, ad esempio, necessaria solamente se tale confidenzialità deve essere garantita per una ragione giuridica (p. es. LPD, segreti d’affari o di fabbrica- zione di terzi o art. 14 LSIn). Occorre però anche osservare che determinate informazioni possono avere requisiti più elevati rispetto alla protezione della loro integrità o disponibilità, senza che questi particolari requisiti siano stabiliti per legge, per esempio se le relative informazioni devono essere necessariamente cor- rette o disponibili affinché un’autorità possa adempiere i propri compiti. Ciò riguarda in particolare le infor- mazioni e i mezzi TIC che supportano processi lavorativi critici. La necessità di protezione risulta dunque anche dall’importanza dell’adempimento dei compiti legali nei quali o per sostenere i quali vengono utilizza- te le informazioni. Capoverso 3: per una sicurezza integrale delle informazioni, la protezione della disponibilità e dell’integrità dei mezzi TIC rappresenta un’importante complemento dei quattro criteri menzionati. Sebbene questo requi- sito, in linea di massima, risulti già dal capoverso 2 lettere b e c, il requisito di una protezione adeguata dall’utilizzazione abusiva e dai disturbi viene ancora menzionato esplicitamente perché il supporto delle TIC ai processi lavorativi assume una rilevanza sempre maggiore. Il loro buon funzionamento rappresenta oggi addirittura un presupposto indispensabile per l’adempimento efficace dei compiti delle autorità federali. Capoverso 4: la sicurezza delle informazioni deve essere attuata in base ai rischi e in maniera adeguata ed economica. Una valutazione possibilmente obiettiva dei rischi deve essere determinante per l’applicazione di misure di sicurezza (si vedano gli art. 6 e 7). Rimane inteso che una sicurezza assoluta costituisce un ideale irraggiungibile e che l’onere per eliminare le esigue lacune di sicurezza rimanenti può diventare eccessiva- mente elevato. Le autorità e le organizzazioni competenti devono perciò badare a che le loro misure siano adeguate ed economiche. Di conseguenza, nel definire le misure di protezione la linea gerarchica deve pro- cedere a una ponderazione degli interessi tra i costi legati alla sicurezza e i benefici derivanti da essa. In questo contesto viene anche menzionato il principio della praticità. Le persone che trattano informazioni o gestiscono mezzi TIC, spesso devono rispettare determinate norme di comportamento affinché sia garantita la sicurezza delle informazioni (p. es. si deve chiudere a chiave la porta dell’ufficio o crittare una mail). Se però le misure di sicurezza rendono troppo difficile ai collaboratori adempiere i propri compiti, per esperien- za è grande la probabilità che non vengano rispettate oppure vengano addirittura eluse di proposito.
Art. 5 La sicurezza è affare dei capi. L’articolo 5 definisce il contenuto della massima responsabilità direttiva nell’ambito della sicurezza delle informazioni ed è diretto perciò soltanto alle autorità assoggettate (art. 2 cpv. 1), che, sole, assumono questa responsabilità. Nel capoverso 1 le autorità assoggettate vengono invitate a organizzare la sicurezza delle informazioni nel loro ambito di competenza. Lettera a: la sicurezza delle informazioni deve essere organizzata, attuata e verificata secondo lo stato della dottrina e della tecnica. Varie norme tecniche non vincolanti formulano cosiddette migliori prassi (best practices) in relazione alla gestione della sicurezza delle informazioni (p. es. norme DIN ISO/IEC 27001 e 27002). Particolarmente importante riguardo a queste norme è che, da un lato, sono state speri- mentate nella pratica e, dall’altro, sono strutturate secondo il necessario approccio integrale. Stabiliscono inoltre requisiti per l’applicazione di misure di sicurezza che possono essere adeguati ai bisogni delle ri- spettive autorità, organizzazioni o di parti di esse. Autorità più piccole (p. es. Tribunale federale dei brevetti, Tribunale militare di cassazione e autorità di vigilanza sul Ministero pubblico della Confederazione) non potranno ovviamente realizzare da sole una siffatta organizzazione. La legge consente però, ad esempio, ai tribunali della Confederazione di decidere di costituire un’unica organizzazione comune che nel contempo tuteli l’autonomia dei vari tribunali; lettera b: la realizzazione della sicurezza delle informazioni concerne molti ambiti specialistici, ad esem- pio le finanze (ripercussioni finanziarie dell’organizzazione e delle misure), i servizi del personale (com- piti del personale), i settori diritto e compliance (basi giuridiche della sicurezza delle informazioni), l’informatica (influssi della sicurezza delle informazioni sull’impiego delle TIC nonché applicazione dei
41
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
requisiti in sistemi TIC) e il settore «gestione dei rischi e controlling» (sicurezza delle informazioni come parte della gestione dei rischi). Un’efficace sicurezza delle informazioni richiede perciò che gli ambiti specialistici menzionati condividano gli obiettivi della sicurezza delle informazioni e partecipino al pro- cesso decisionale, come pure che le misure vengano coordinate trasversalmente tra tali ambiti. Capoverso 2: per la sicurezza in generale è importante che i compiti e le competenze vengano disciplinati in modo chiaro e inequivocabile. Ciò vale in particolare per la sicurezza delle informazioni, poiché molti ambiti specialistici fisseranno requisiti per il trattamento sicuro di informazioni o assumeranno responsabilità par- ziali per l’applicazione della presente legge. Competenze poco chiare possono fare sì che rischi sostanziali non vengano identificati, che nessuno si senta responsabile per l’applicazione di talune misure atte a ridurre i rischi o che nessuno assuma consapevolmente i rischi. Nel capoverso 3 le autorità assoggettate vengono invitate a stabilire, per il loro ambito di competenza, de- terminati principi intesi a rendere note le loro intenzioni riguardo alla sicurezza delle informazioni. Lettera a: gli obiettivi delle autorità assoggettate stabiliscono il livello di sicurezza che deve essere rag- giunto (stato AUSPICATO della sicurezza delle informazioni). Questi obiettivi presuppongono un’analisi costi-benefici (di quanta sicurezza vuole beneficiare l’autorità e quanto è disposta a pagarla) e devono es- sere determinanti per concedere le necessarie risorse. Esempio: i segreti d’affari di terzi che vengono trat- tati dalle autorità o organizzazioni della Confederazione devono venire protetti dalla conoscenza da parte di persone non autorizzate. Se si vogliono proteggere queste informazioni dai servizi informazioni più at- tivi e più ricchi di risorse del mondo, allora le misure da adottare sono notevolmente più dispendiose di quelle che si adotteranno se l’autorità accetta il rischio relativamente elevato che tali servizi informazioni esteri si procureranno queste informazioni. Le previste verifiche dell’efficacia (si veda l’art. 24 cpv. 2) si rifanno a questi obiettivi. Lettera b: qui si intende disciplinare in particolare come le organizzazioni assoggettate devono gestire i rischi, quali rischi possono correre senza problemi e quali rischi devono essere riferiti all’autorità (accet- tazione del rischio). Anche se la maggior parte dei rischi nel campo della sicurezza delle informazioni possono essere trattati e sostenuti a livello operativo (dipartimento, ufficio o addirittura unità subordina- ta), determinati rischi possono avere un’impronta strategica. Ciò è in particolare il caso per i rischi con- nessi con informazioni classificate «SEGRETO» (art. 14 cpv. 3) o con mezzi TIC del livello di sicurezza «protezione molto elevata» (art. 21 cpv. 3). I rischi strategici vanno comunicati all’autorità interessata prima che si verifichi un evento. Lettera c: in ogni organizzazione ci sono di continuo persone che non prendono sul serio la sicurezza delle informazioni e gestiscono informazioni o mezzi TIC in maniera contraria alle prescrizioni o senza la debita cura. Molto spesso simili infrazioni vengono scusate a priori e, di conseguenza, non vengono ana- lizzate. Queste infrazioni possono tuttavia avere, quale conseguenza, considerevoli ripercussioni. Non an- drebbero dunque considerate semplicemente come reati minori. Le autorità assoggettate devono perciò imporre in maniera coerente l’applicazione delle prescrizioni, definendo e spiegando le conseguenze in caso di inosservanza. Capoverso 4: le autorità assoggettate devono provvedere a un’informazione periodica e conforme al rispetti- vo livello dei quadri e del personale in relazione agli affari inerenti alla sicurezza delle informazioni. Si trat- ta, ad esempio, di comunicare cambiamenti nel disciplinamento dell’organizzazione e delle competenze op- pure di informare i quadri e gli specialisti sulle origini e sulle conseguenze di incidenti. Una comunicazione periodica deve avvenire perché in questo modo i quadri e il personale percepiscono che la direzione ricono- sce l’importanza della sicurezza delle informazioni e possono reagire ai cambiamenti. Tale comunicazione consente loro, nel proprio ambito di competenza, di trarre gli insegnamenti dagli incidenti. I quadri e il per- sonale andrebbero anche formati di conseguenza.
Art. 6 L’articolo 6 obbliga le autorità e le organizzazioni a esercitare una gestione dei rischi nell’ambito della sicu- rezza delle informazioni (sulla gestione dei rischi, si veda il n. 1.2.3.2). Il capoverso 1 stabilisce che le autorità e le organizzazioni assoggettate devono identificare, analizzare, valu- tare e verificare i rischi, e precisamente sia nel proprio ambito di competenza, sia nell’ambito della collabo- razione con terzi. L’ideale sarebbe che tutte le autorità e le organizzazioni assoggettate utilizzino metodi uniformi. Il Consiglio federale definirà in proposito requisiti e misure standard (si veda l’art. 88). Ciò sapen- do che i criteri per l’accettazione dei rischi, determinanti per la valutazione di questi ultimi, vengono stabiliti dalle rispettive autorità assoggettate in base alle proprie necessità in materia di sicurezza delle informazioni (si veda anche l’art. 5 cpv. 3 lett. a e b).
42
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
La valutazione dei rischi presuppone profonde conoscenze dei compiti legali e dei corrispondenti processi lavorativi critici, la valutazione periodica delle minacce e dei pericoli per i valori da proteggere, l’analisi dei punti deboli, nonché la stima della probabilità che si verifichi un evento e della portata potenziale dei danni che possono risultare da taluni rischi. Il processo di gestione dei rischi nell’ambito della sicurezza delle in- formazioni deve venire svolto in maniera continua. Ciò vale in particolare per il settore informatico, poiché ogni giorno vengono sviluppati programmi dannosi. Di conseguenza, le applicazioni e i software di sicurezza devono venire aggiornati costantemente. Secondo il capoverso 2 devono essere adottate le misure necessarie per evitare o ridurre i rischi. Ovviamente i rischi possono anche essere accettati o sostenuti (si veda il cpv. 3). Non dovrebbero però venire ignorati. I rischi possono essere evitati rinunciando del tutto a una determinata attività troppo rischiosa (p. es. si rinun- cia a un progetto informatico per il quale l’applicazione di misure in funzione dei rischi non è economica- mente sostenibile o si vieta ad esempio di trattare informazioni classificate «SEGRETO» con mezzi TIC in rete). Le misure da adottare appartengono alle seguenti categorie che in parte si sovrappongono: misure organizzative: ad esempio, emanazione di basi giuridiche, definizione della politica e dell’organizzazione di sicurezza, attribuzione di chiare responsabilità e competenze, classificazione delle informazioni, separazione delle funzioni sensibili sotto il profilo della sicurezza, normative e controlli di accesso per persone, controlli generali, normative di accesso ai sistemi, realizzazione di piani di sicurezza delle informazioni per mezzi TIC, organizzazione del trattamento di incidenti. misure in materia di personale: ad esempio, formazione e sensibilizzazione, obbligo contrattuale di ri- spettare la sicurezza delle informazioni, esecuzione di CSP, colloqui personali periodici con persone chiave per promuovere la percezione consapevole di determinati pericoli, definizione e applicazione di sanzioni. misure tecniche: ad esempio, crittaggio di informazioni, ridondanza di servizi importanti, protezione dai programmi dannosi, forte autenticazione, limitazione all’accesso a reti. misure edili: ad esempio, recinzione di perimetri sensibili sotto il profilo della sicurezza, utilizzazione di sistemi di chiusura di sicurezza, allestimento di zone e locali di sicurezza, impiego di impianti di sorve- glianza. Il capoverso 3 stabilisce che vanno chiaramente dimostrati i rischi che permangono dopo l’attuazione delle previste misure di sicurezza (cosiddetti rischi residui) o i rischi che non vanno ridotti. Affinché possano pro- cedere alla pertinente ponderazione degli interessi, ai responsabili vanno segnalati in forma documentata questi rischi e le potenziali ripercussioni. I rischi rimanenti devono essere accettati in maniera dimostrabile e di conseguenza anche essere sostenuti. Il capoverso 4 rileva che la gestione dei rischi nell’ambito della sicurezza delle informazioni deve essere imperativamente integrata a tutti i livelli nel processo generale di gestione dei rischi della Confederazione. Anche se la gestione dei rischi richiesta nel presente caso è specifica e perciò deve essere gestita ed esercitata da specialisti, la sicurezza delle informazioni rimane un obiettivo che riguarda la gestione di rischi d’esercizio abituali. Le autorità assoggettate devono perciò disciplinare la collaborazione dell’organizzazione specialistica della gestione generale dei rischi con l’organizzazione specialistica della sicurezza delle infor- mazioni.
Art. 7 Il capoverso 1 richiede che nel definire i loro requisiti e le loro misure di sicurezza le autorità e le organizza- zioni si orientino ai requisiti e alle misure standard del Consiglio federale di cui all’articolo 88. Per le autori- tà e le organizzazioni che non sono subordinate al Consiglio federale non sussiste alcun obbligo di seguire questi standard. Poiché un obiettivo importante di questa legge consiste nel raggiungere standard di sicurezza il più possibile uniformi per tutte le autorità, il Consiglio federale viene incaricato di definire requisiti e mi- sure standardizzati secondo lo stato della dottrina e della tecnica. L’economicità impone che non tutte le autorità o organizzazioni debbano «reinventare la ruota» se sono state sviluppate o trovate da un’altra autori- tà o organizzazione buone soluzioni sperimentate nella pratica. Capoverso 2: le misure di sicurezza devono orientarsi allo stato della dottrina e della tecnica. La sicurezza delle informazioni è un settore di compiti relativamente recente che evolve periodicamente. Anche se i prin- cipi organizzativi hanno raggiunto una certa stabilità e maturità perché sono conformi ai principi organizza- tivi generali nell’ambito della gestione dei rischi, periodicamente vengono sviluppate misure organizzative migliori che sono più efficaci o più economiche. «Orientarsi allo stato della dottrina» significa dunque nel contesto del presente capoverso che le autorità e le organizzazioni assoggettate devono applicare soluzioni e approcci organizzativi collaudati (best practices).
43
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Nuovi sviluppi avvengono assai rapidamente nell’ambito della sicurezza tecnica delle informazioni, in parti- colare nei mezzi TIC, ma anche nella tecnologia dei sensori (p. es. rivelatori di fuoco, calore o movimento) o nella tecnica di chiusura (p. es. sistemi di chiusura per porte). È molto importante che le misure di sicurezza non si basino su tecnologie obsolete, bensì si mostrino efficaci contro le minacce attuali.
Art. 8 Sono considerati terzi secondo la presente legge tutte le autorità, organizzazioni e persone di diritto pubblico o privato che non sono un’autorità o un’organizzazione assoggettata di cui all’articolo 2 e che perciò, in linea di principio, agiscono indipendentemente da queste autorità e organizzazioni. Per adempiere i propri compiti le autorità federali sovente dipendono dalla collaborazione dell’economia privata o di altri servizi. Le autori- tà e le organizzazioni che conferiscono i mandati devono provvedere affinché nel conferimento e nell’esecuzione dei mandati vengano rispettate le misure previste dalla legge. Di regola, questa collaborazione con terzi e le misure di sicurezza da rispettare vengono disciplinate contrat- tualmente. In linea di massima, terzi dovrebbero ottenere l’accesso a informazioni o a mezzi TIC della Con- federazione solamente se hanno attuato le misure necessarie. La LSIn richiede dalle autorità e dalle organiz- zazioni assoggettate anche che verifichino l’applicazione delle misure. Se il mandato include l’esercizio di un’attività sensibile sotto il profilo della sicurezza, le autorità e le organizzazioni assoggettate devono avvia- re il necessario CSP (si veda l’art. 32 segg.) o richiedere l’esecuzione di una PSA (si veda l’art. 56 segg.).
Art. 9 Incidenti nell’ambito della sicurezza delle informazioni si verificheranno anche in futuro. È perciò necessario applicare un approccio uniforme ed effettivo per la gestione di simili incidenti. Le autorità e le organizzazio- ni assoggettate devono dapprima adottare le misure necessarie per identificare precocemente incidenti ri- guardanti la sicurezza delle informazioni (p. es. controlli periodici, sensori, impianti d’allarme, sorveglianza della rete, valutazione periodica di log-file ecc.). Esse devono definire una procedura in base alla quale agire se vengono identificati eventi o punti deboli, nonché attribuire chiare competenze per il trattamento degli incidenti. Collaboratori interni ed esterni devono inoltre sapere come occorre reagire al verificarsi di un evento affinché le sue ripercussioni possano essere ridotte al minimo. Affinché si impari dagli incidenti, le autorità e le organizzazioni assoggettate devono fare in modo che le cause di un incidente vengano chiarite e valutate. Si intende così migliorare costantemente l’identificazione e il trattamento di incidenti.
Art. 10 Nell’ambito della sicurezza delle informazioni, le autorità devono garantire una cosiddetta gestione della continuità operativa («Business Continuity Management», BCM). BCM significa che vengono adottati tutti i provvedimenti necessari affinché le autorità possano adempiere i loro compiti cruciali entro i termini stabiliti persino in situazioni straordinarie (si veda anche l’art. 6 cpv. 3 LOGA). A motivo della crescente dipendenza dall’impiego delle TIC per adempiere il mandato, i rischi e le pianificazioni preventive nell’ambito della sicurezza delle informazioni vanno inserite obbligatoriamente nel BCM generale delle autorità. La legge richiede l’allestimento di simili pianificazioni preventive solamente per i compiti irrinunciabili delle autorità assoggettate, e non per quelli delle organizzazioni assoggettate. Per l’Amministrazione federale ciò significa che il Consiglio federale deve provvedere affinché, dal suo punto di vista strategico, vengano identificati quelli che sono i compiti più critici dell’Amministrazione federale e dell’esercito. Sebbene la legge non li impegni in tal senso, i dipartimenti e le unità amministrative sono comunque liberi di allestire le pianifica- zioni preventive per i loro compiti critici non considerati dal Consiglio federale.
Art. 11 In merito all’ente di controllo e all’ente di auditing, si veda il numero 1.2.3.3. Il capoverso 1 richiede dalle autorità e dalle organizzazioni assoggettate che verifichino periodicamente il rispetto delle prescrizioni. In linea di principio, questo controllo spetta ai superiori gerarchici. In conformità con l’articolo 84 capoverso 2 lettera c, anche gli incaricati della sicurezza delle informazioni effettueranno controlli e audit per incarico della propria autorità. Il capoverso 2 si rivolge soltanto alle autorità assoggettate. Una verifica indipendente periodica è necessaria poiché deve principalmente focalizzarsi sull’efficacia dell’organizzazione della sicurezza delle informazioni. Questa organizzazione include naturalmente i compiti di quelle persone che sono competenti per i controlli ordinari. La decisione, sia sulla periodicità della verifica dell’efficacia, sia sul servizio che deve effettuare la verifica, spetta all’autorità interessata. Le autorità possono, ad esempio, incaricare il proprio servizio di revi- sione interno oppure una ditta o un servizio esterni. Esse possono anche incaricare il servizio specializzato
44
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
della Confederazione per la sicurezza delle informazioni (si veda l’art. 86 cpv. 1 lett. c). Il Consiglio federale può inoltre chiedere al CDF di eseguire simili verifiche.
Art. 12 Il capoverso 1 stabilisce che la classificazione di informazioni è obbligatoria purché siano soddisfatti i criteri per la classificazione di cui all’articolo 14. Oggi ogni autorità assoggettata è, in linea di massima, libera di definire il proprio sistema di classificazione (eventualmente), i propri motivi di classificazione, nonché le proprie prescrizioni in materia di trattamento. Alcuni incidenti negli ultimi anni hanno mostrato che questo trattamento variabile delle informazioni classificate può comportare una maggiore mancanza di fiducia. È necessario un disciplinamento uniforme dei livelli e dei motivi di classificazione. Con il capoverso 2 si intende enunciare nella legge che, in considerazione del principio di trasparenza e an- che dell’onere connesso con la classificazione, la classificazione di informazioni deve, in linea di principio, costituire un’eccezione. Il capoverso 3 rileva che la classificazione va, per quanto possibile, limitata nel tempo. Spesso, con il passare del tempo, le informazioni non sono più degne di protezione o quest’ultima diventa superflua dopo un de- terminato evento (p. es. pubblicazione di un rapporto o fine di una determinata misura). La classificazione di siffatte informazioni (p. es. non più attuali) non si giustifica allora più: causerebbe semplicemente un onere inutile o comporterebbe problemi dopo l’archiviazione delle informazioni. Le informazioni che devono ri- manere classificate per un lungo periodo necessitano inoltre di provvedimenti di protezione tecnici diversi rispetto a quelle che sono degne di protezione solamente per un periodo limitato. Sempre che non sia possibile stabilire in anticipo una classificazione temporanea, mediante l’obbligo di veri- ficare periodicamente la necessità delle classificazioni, contenuto nel capoverso 4, si garantisce che le infor- mazioni non rimangano classificate inutilmente.
Art. 13 Capoverso 1: le autorità assoggettate devono stabilire chi è competente per la classificazione. Nell’Amministrazione federale oggi questa competenza viene assegnata all’autore di un documento perché conosce meglio di chiunque altro la necessità di protezione delle informazioni ed è in grado di stimare even- tuali rischi. La normativa del Consiglio federale non deve però essere vincolante per le altre autorità federali, le quali così possono anche decidere che la classificazione, ad esempio, può essere fatta dalla direzione dell’autorità, da un organo competente centrale o soltanto della linea gerarchica. La nozione di «servizio incaricato della classificazione» è importante in particolare per decidere in merito alla cerchia dei destinatari abilitati, per declassificare, archiviare e distruggere informazioni classificate, ma anche per eventuali misure di protezione provvisorie che devono essere adottate se vengono minacciate informazioni classificate (si veda l’art. 18). Nel capoverso 2 viene disciplinato il carattere vincolante della classificazione. Se un’informazione è classifi- cata, viene per così dire «accompagnata» da questa classificazione per tutto il suo iter. Chi ottiene l’accesso a una simile informazione deve rispettare le direttive connesse con la classificazione. A una modifica o a una soppressione della classificazione può, in linea di massima, procedere solamente il servizio che ha stabilito la classificazione. Rimane inteso che anche qui sono previsti la via di servizio, la vigilanza gerarchica e le rela- tive facoltà di emanare istruzioni dei servizi o delle autorità di vigilanza gerarchicamente superiori. Queste ultime possono, se del caso, correggere decisioni del servizio incaricato della classificazione.
Art. 14 In merito agli obiettivi del disciplinamento della classificazione, si veda il numero 1.2.3.4. L’articolo 14 disciplina i presupposti materiali per la classificazione di informazioni per tutte le autorità e le organizzazioni assoggettate e stabilisce i livelli di classificazione. Il testo proposto si limita a criteri per la classificazione piuttosto generali e si riferisce direttamente agli interessi pubblici da proteggere definiti nell’articolo 1 capoverso 2 lettere a-d. Il rimando a questi interessi è tuttavia: la protezione degli interessi pubblici ai sensi della lettera e non rappresenta un vero e proprio motivo per la classificazione. Con la prote- zione di questo interesse si intende infatti garantire il trattamento conforme al diritto di informazioni la cui protezione è prevista in altre leggi o viene convenuta contrattualmente con terzi. I dati personali ai sensi della LPD o i segreti d’affari, di fabbricazione o professionali non vengono quindi, in linea di massima, classifica- ti, a meno che singole informazioni debbano essere classificate per proteggere un interesse di cui all’articolo 1 capoverso 2 lettere a-d. Lo stesso vale per informazioni che vengono trattate presso i tribunali o i ministeri pubblici nell’ambito dei loro procedimenti ordinari. La maggioranza di queste informazioni sono dati perso- nali che, pur essendo degni di protezione, non devono però essere classificati in virtù della presente legge. Le particolari misure che vengono adottate per proteggere simili informazioni possono o devono invece venire
45
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
classificate. Se, ad esempio, vengono trattati in un sistema d’informazione dati personali degni di particolare protezione, allora deve venire classificato il corrispondente concetto in materia di sicurezza delle informa- zioni. Per il livello di classificazione stesso, è determinante il grado di pregiudizio che una conoscenza da parte di persone non autorizzate può arrecare agli interessi di cui all’articolo 1 capoverso 2 lettere a-d. Per l’assegnazione a un livello di classificazione è determinante se la conoscenza da parte di persone non auto- rizzate: può pregiudicare gli interessi in questione: livello di classificazione AD USO INTERNO; può pregiudicare considerevolmente gli interessi in questione: livello di classificazione CONFIDENZIA- LE; può pregiudicare gravemente gli interessi in questione: livello di classificazione SEGRETO. Queste fattispecie rappresentano nozioni giuridiche indeterminate che vanno ancora rese concrete tenendo conto della politica in materia di gestione dei rischi. Sebbene il criterio della gravità del potenziale pregiudi- zio per gli interessi di cui all’articolo 1 capoverso 2 lettere a-d sia determinante per la classificazione, da solo non è sufficiente. Occorre anche un nesso causale ragionevole tra la conoscenza non autorizzata dell’informazione e questo potenziale pregiudizio per gli interessi protetti. Indispensabile è quindi che venga considerata anche la probabilità che si verifichi il danno. La classificazione di un’informazione corrisponde dunque al risultato di una valutazione dei rischi e deve quindi rispecchiare l’effettiva necessità di protezione di questa informazione. Nel valutare la necessità di protezione di informazioni di natura politica è indispensabile usare particolare prudenza. Pur se la protezione della libera formazione dell’opinione e della volontà delle autorità e delle organizzazioni assoggettate viene considerata dall’articolo 1 capoverso 2 lettera a (capacità di decisione), in una moderna democrazia appartiene però alla normale attività del Governo che idee politiche, proposte, piani e decisioni vengano discussi dall’opinione pubblica ed eventualmente (anche aspramente) criticati. La classi- ficazione non deve dunque servire a sottrarre al pubblico dibattito determinati argomenti se non sussiste al- cun interesse pubblico preponderante in tal senso. La proposta indicata qui con tre livelli di classificazione corrisponde formalmente alle norme dell’OPrI vi- genti attualmente. Come menzionato all’inizio, vengono però aumentati i valori limite per la classificazione nei rispettivi livelli (sulla relazione con il principio di trasparenza si veda l’art. 3 cpv. 1). Capoverso 1: una classificazione «AD USO INTERNO» viene richiesta se una comunicazione dell’informazione ha quale conseguenza un pregiudizio per gli interessi pubblici di cui all’articolo 1 capo- verso 2 lettere a-d. Quale criterio per distinguere tra «non classificato» e «classificato» occorre quindi, anche nel caso di un pregiudizio «semplice» agli interessi in questione, che vi siano indizi qualificati in grado di giustificare la classificazione «AD USO INTERNO». Il danno potenziale che può derivare da una conoscen- za da parte di persone non autorizzate, non può essere semplicemente trascurabile: il pregiudizio per gli inte- ressi di cui all’articolo 1 capoverso 2 lettere a-d deve piuttosto essere sensibile. Quando si tratta di informazioni rilevanti per la sicurezza ai sensi dell’articolo 1 capoverso 2 lettera b, il valore soglia per la classificazione «AD USO INTERNO» viene per lo più raggiunto relativamente in fretta. «AD USO INTERNO» viene anche utilizzata il più sovente per siffatti casi. Così, singole documentazioni di sicurezza su mezzi TIC o semplici piani d’intervento di forze di sicurezza possono, di regola, venire classifi- cate «AD USO INTERNO». Ma, ad esempio, è anche ipotizzabile che il fatto di conoscere uno scadenzario per l’applicazione di una misura concreta potrebbe procurare un vantaggio ingiustificato a determinate per- sone. Anche se così non verrebbe impedita la misura in quanto tale, verrebbe per lo meno pregiudicata la sua attuazione conforme alla legge e quindi la capacità di decisione e d’azione dell’autorità federale interessata. In questo caso sarebbe giustificata una classificazione «AD USO INTERNO» dello scadenzario limitata nel tempo. In linea di principio, classificazioni globali «AD USO INTERNO» sono contrarie alle prescrizioni. La prassi (ipotetica) di un’unità organizzativa dell’Amministrazione federale, in virtù della quale tutti gli appunti di colloqui e verbali di sedute verrebbero classificati fin da principio «AD USO INTERNO», ignorando l’effettiva necessità di protezione delle informazioni, contraddirebbe sia lo spirito della LTras sia la norma del capoverso 1. Sarebbe invece, ad esempio, giustificata la classificazione di verbali di sedute con contenuto operativo dal settore di fedpol. Tuttavia, di regola, le informazioni dai lavori di commissioni parlamentari possono venire classificate «AD USO INTERNO». In questo modo può essere fatta chiarezza in merito a quali informazioni dal lavoro parlamentare, per la protezione della libera formazione dell’opinione e della volontà del Parlamento, sono destinate soltanto a una cerchia di persone limitata.
46
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Capoverso 2: per la classificazione «CONFIDENZIALE» è richiesto che gli interessi di cui all’articolo 1 capoverso 2 lettere a-d possano essere «gravemente pregiudicati» nel caso di una conoscenza non autorizza- ta. In confronto all’attuale norma, in virtù della quale è richiesto semplicemente un «danno» non qualificato (art. 6 OPrI), la nuova normativa proposta rappresenta un aumento dei requisiti per la classificazione. Anche la concretizzazione dettagliata della nozione di «grave pregiudizio» deve ancora avvenire tenendo conto della politica in materia di gestione dei rischi. Con l’espressione scelta è tuttavia richiesto un danno chiaro, ad esempio: la libera formazione dell’opinione e della volontà delle autorità assoggettate viene temporaneamente resa più difficile in maniera illecita; un’organizzazione assoggettata è temporaneamente incapace di agire; l’adempimento di taluni compiti di un’autorità o di un’organizzazione viene reso considerevolmente più difficile su un lungo periodo; determinate risorse dell’esercito o degli organi di sicurezza della Confederazione non sono temporanea- mente operative; la posizione della Svizzera nell’ambito di negoziati internazionali viene resa considerevolmente più diffi- cile; la sicurezza di persone o gruppi di persone viene minacciata; alla Confederazione ne deriva un considerevole danno finanziario. Capoverso 3: per la classificazione «SEGRETO» (massimo livello di classificazione) è richiesto che gli inte- ressi di cui all’articolo 1 capoverso 2 lettere a-d possano essere «gravemente pregiudicati» nel caso di una conoscenza non autorizzata. Come per i livelli di classificazione «AD USO INTERNO» e «CONFIDEN- ZIALE», anche per questo livello di classificazione deve essere ancora concretizzata la nozione chiave di «grave pregiudizio». Con la formulazione scelta è tuttavia richiesto un danno particolarmente consistente per la Confederazione, ad esempio: un’autorità assoggettata è temporaneamente incapace di decidere o di agire o la sua capacità di decisione e d’azione è resa seriamente più difficile su un lungo periodo; l’adempimento di compiti irrinunciabili di un’organizzazione assoggettata viene temporaneamente impe- dito o reso seriamente più difficile su un lungo periodo; risorse essenziali dell’esercito o degli organi di sicurezza della Confederazione non sono operative; la vita e l’integrità di gruppi della popolazione vengono minacciate; la fornitura di prestazioni di servizi da parte di infrastrutture critiche viene interrotta; le funzioni di un impianto nucleare particolarmente sensibili sotto il profilo della sicurezza vengono sabo- tate; la Confederazione subisce un grave danno finanziario.
Art. 15 Il capoverso 1 definisce i presupposti per l’accesso a informazioni classificate, il quale è a sua volta il pre- supposto per il trattamento delle corrispondenti informazioni. Il principio «conoscere soltanto se necessario» si applica a ogni singola informazione classificata. Non vi è dunque un diritto generale ad avere accesso a tutte le informazioni classificate. Ciò vale anche per gli organi di verifica, di controllo o di vigilanza che, certo, beneficiano, se del caso, di un diritto d’informazione generale, ma che per ogni singola informazione classificata devono fornire la prova che per adempiere il proprio incarico devono effettivamente conoscere le informazioni in questione. Nel caso di un diritto di accesso convenuto contrattualmente, i relativi contratti devono prevedere l’accesso a informazioni classificate e disciplinarne il trattamento. «Offrire la garanzia» di un trattamento appropriato presuppone che le persone che devono trattare informazioni classificate siano state adeguatamente formate. Devono poi, eventualmente, fornire la prova della capacità di poter rispettare le necessarie misure di sicurezza tecniche e fisiche. Per le informazioni classificate «CONFIDENZIALE» o «SEGRETO», l’esecuzione di un CSP (si veda l’art. 32 segg.) può inoltre costituire un ulteriore presupposto per il trattamento. Capoverso 2: la maggioranza dei Paesi e delle organizzazioni internazionali con i quali la Svizzera ha con- cluso un accordo per lo scambio di informazioni classificate richiede che le loro informazioni classificate vengano trattate esclusivamente da persone in possesso della cittadinanza del Paese in questione o della cit- tadinanza svizzera (cosiddetta «clausola dell’esclusione degli Stati terzi»). Siffatte informazioni non possono
47
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
dunque, in linea di massima, essere rese accessibili a persone di altra nazionalità. È fatta salva un’autorizzazione preliminare dell’autore delle informazioni classificate.
Art. 16 Capoverso 1: le informazioni classificate devono venire trattate in modo tale da venire protette dalla cono- scenza da parte di persone non autorizzate. Questa protezione deve essere garantita per l’intero periodo du- rante il quale le informazioni in questione sono considerate degne di essere protette. Le informazioni classi- ficate non vengono archiviate fintanto che, secondo le disposizioni della LSIn, sono ancora degne di essere protette. Conformemente al capoverso 2, le informazioni classificate devono contenere un’indicazione relativa al ser- vizio incaricato della classificazione. Questa indicazione è importante in particolare per declassificare, archi- viare e distruggere informazioni classificate, ma anche per eventuali misure di protezione provvisorie che devono essere adottate se tali informazioni classificate sono minacciate (si veda l’art. 18). Capoverso 3: sempre che la Svizzera abbia concluso un accordo per lo scambio di informazioni classificate con un determinato Paese o una determinata organizzazione internazionale, il trattamento delle informazioni che rientrano nel campo d’applicazione di tale accordo viene disciplinato secondo le particolari prescrizioni previste nell’accordo stesso. In mancanza di quest’ultimo, il trattamento di informazioni classificate prove- nienti dall’estero si fonda sulle prescrizioni della LSIn e sulle sue disposizioni d’esecuzione.
Art. 17 L’articolo 17 capoverso 1 contiene una riserva del diritto procedurale dell’Assemblea federale e di quello dei tribunali e dei ministeri pubblici. Per la comunicazione di informazioni classificate (p. es. nell’ambito dell’utilizzazione delle stesse come base decisionale o come mezzo di prova) va applicato il rispettivo diritto procedurale. Le leggi di procedura federali contengono norme che stabiliscono fino a che punto simili infor- mazioni possono essere rese accessibili ai partecipanti alla procedura per consultazione, fino a che punto possono essere rese note nell’ambito di procedure pubbliche o fino a che punto i testimoni possono rifiutare di deporre adducendo obblighi legali di mantenere il segreto (si vedano p. es. gli art. 47, 150, 153 e 154 LParl, gli art. 56 cpv. 2 e 59 cpv. 2 LTF, gli art. 16 cpv. 2, 18 cpv. 2, 27 e 28 PA, l’art. 40 cpv. 3 LTAF o gli art. 70, 170, 173 cpv. 2 e 194 cpv. 2 CPP, nonché gli art. 45, 48 cpv. 2, 77 PPM; si veda anche l’art. 58 dell’ordinanza del 24 ottobre 1979 concernente la giustizia penale militare [RS 322.2]). Tuttavia, conformemente al capoverso 2, prima di decidere in merito alla comunicazione di informazioni classificate si può dare al servizio incaricato della classificazione l’opportunità di esprimersi quanto ai motivi di classificazione e consultarlo in merito alle eventuali ripercussioni di una comunicazione. L’organo o il tribunale competenti decideranno poi come procedere ulteriormente alla luce delle circostanze.
Art. 18 Gli obblighi qui formulati corrispondono dal profilo materiale ai vigenti articoli 15 e 16 OPrI. Purché il ser- vizio incaricato della classificazione non risulti evidente dall’informazione, la comunicazione va fatta all’autorità di vigilanza competente che, avvalendosi del suo potere di apprezzamento, deve stabilire come procedere ulteriormente.
Art. 19 Il capoverso 1 richiede previamente dalle autorità assoggettate (ma non dalle organizzazioni) che stabiliscano una procedura per l’attuazione e il miglioramento continui della sicurezza delle informazioni nell’impiego di mezzi TIC. La procedura deve definire compiti, competenze e responsabilità inerenti alla sicurezza di quei servizi che pianificano e decidono l’impiego di mezzi TIC nonché li sviluppano, esercitano, amministrano, modificano, mantengono, verificano e infine li mettono fuori servizio. La procedura include in particolare i disciplinamenti materiali degli articoli 20-26. Tutte le autorità federali utilizzano già oggi una simile procedura. Ma queste procedure devono essere siste- matizzate e, dove necessario, completate. Le più importanti fasi procedurali devono venire uniformate. Spes- so, inoltre, l’esecuzione della procedura non viene verificata o viene verificata soltanto parzialmente. Soltan- to assai di rado le misure attuate vengono verificate quanto alla loro efficacia. Conformemente al capoverso 2 la competenza per l’esecuzione della procedura di sicurezza spetta a quell’autorità o a quell’organizzazione che conferisce il mandato dell’impiego di mezzi TIC (beneficiario di prestazioni). Il beneficiario di prestazioni è infatti responsabile dei processi lavorativi e dell’attuazione dei requisiti di sicurezza. Deve perciò comunicare chiaramente le proprie esigenze aziendali e di sicurezza a quel servizio che gestisce i mezzi TIC (fornitore di prestazioni).
48
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Nel capoverso 3 viene stabilito il principio che la procedura di sicurezza (o almeno le relative fasi procedura- li) deve essere ripetuta in caso di mutamento dei rischi. La sicurezza delle informazioni è una condizione che cambia in modo continuo e dinamico. Le autorità assoggettate devono perciò fissare la verifica periodica o in base ai rischi delle condizioni di sicurezza e la ripetizione della procedura.
Art. 20 L’analisi delle necessità di protezione di cui al capoverso 1 rappresenta la prima fase della procedura di sicu- rezza. Un servizio che esegue lo sviluppo, l’acquisizione o la modifica di un mezzo TIC o conferisce un mandato in tal senso, vuole impiegare questo mezzo TIC per determinati scopi e per una durata stabilita. Questa prima fase in relazione all’attuazione della sicurezza delle informazioni consiste, nella definizione della finalità d’impiego del mezzo TIC, nel determinare i processi lavorativi che vanno supportati con il mezzo TIC da impiegare e nell’identificare le informazioni che vanno trattate con esso. A quel momento, dunque nella fase di pianificazione, il beneficiario di prestazioni deve rilevare la necessità di protezione delle informazioni di cui all’articolo 4 capoverso 1 e valutare le potenziali ripercussioni di disturbi o di un’utilizzazione abusiva del mezzo TIC da impiegare sugli interessi di cui all’articolo 1 capoverso 2. Nella valutazione della necessità di protezione occorre anche considerare che i mezzi TIC per lo più vengono mes- si in rete e gestiti in un determinato ambiente tecnico e/o logico (cosiddetta architettura). L’identificazione precoce delle interconnessioni e dipendenze aiuta anche ad attuare le misure di sicurezza là dove sono più efficaci. Oggigiorno, in parte non si procede ad alcuna valutazione della necessità di protezione oppure essa viene avviata solamente quando il mezzo TIC è già in funzione. L’attuazione a posteriori di misure di sicurezza è però, di regola, molto più difficile da realizzare e genera costi nettamente maggiori. Dall’analisi delle necessità di protezione risultano i requisiti posti alla protezione della confidenzialità, di- sponibilità, integrità e verificabilità delle informazioni, nonché alla disponibilità e all’integrità del mezzo TIC. L’analisi delle necessità di protezione è anche determinante per i livelli di sicurezza dei mezzi TIC di cui all’articolo 21. Nel capoverso 2 viene disciplinato il caso di un’autorità o di un’organizzazione che vuole impiegare una nuova tecnologia (hardware o software), dunque non solamente un nuovo mezzo TIC. L’autorità o l’organizzazione interessata deve valutare i rischi connessi con l’impiego di questa nuova tecnologia prima di impiegarla. Si richiede poi che l’autorità o l’organizzazione comunichi la sua valutazione dei rischi al servizio specializzato della Confederazione per la sicurezza delle informazioni. Informando il servizio spe- cializzato si intende garantire che le nuove tecnologie possibilmente vengano valutate soltanto una volta e che tutte le autorità e le organizzazioni assoggettate ne possano trarre un adeguato vantaggio. Le valutazioni dei rischi eseguite devono servire anche a esaminare la conformità delle nuove tecnologie con le basi, anche strategiche, esistenti. Conformemente all’articolo 86 capoverso 1 lettera d, le autorità assoggettate hanno la possibilità di incarica- re il servizio specializzato della Confederazione di eseguire questa valutazione dei rischi.
Art. 21 L’articolo 21 sistematizza e uniforma i livelli di sicurezza dei mezzi TIC per tutte le autorità e le organizza- zioni assoggettate. Le vigenti prescrizioni dell’Amministrazione federale prevedono soltanto due livelli: una necessità di protezione generale e una necessità di protezione elevata. Il nuovo modello di classificazione con tre livelli si rifà allo standard del Bundesamt für Sicherheit in der Informationstechnik (BSI) tedesco. I livelli di sicurezza sono in primo luogo una misura per identificare la criticità di un determinato mezzo TIC in relazione agli interessi pubblici di cui all’articolo 1 capoverso 2. L’assegnazione a un livello di sicurezza stabilisce anche quali requisiti di sicurezza si applicano e come devono essere definite le misure di protezio- ne (si vedano gli art. 22-24). Per ogni livello di sicurezza, il Consiglio federale deve fissare requisiti e misure di sicurezza standardizzati quanto a protezione della confidenzialità, integrità, disponibilità e verificabilità (si veda l’art. 88). La standardizzazione dei requisiti e delle misure di sicurezza è obbligatoriamente necessaria per uno scambio di informazioni tra autorità efficiente e sicuro. Essa presenta un importante vantaggio: ai servizi di sviluppo e agli organi di acquisizione di mezzi TIC vengono indicati sin dall’inizio chiari requisiti di sicurezza da adempiere che li aiuteranno nell’implementare la sicurezza nei mezzi TIC. I costi della sicu- rezza diventano più trasparenti e più semplici da calcolare e pianificare (i costi legati alla sicurezza sono costi progettuali). Capoverso 1: il livello di sicurezza «protezione di base» si applica a tutti i mezzi TIC che non presentano requisiti di protezione delle informazioni particolarmente elevati (si veda anche l’art. 22). Dati personali, informazioni classificate «AD USO INTERNO» e ulteriori informazioni che, pur dovendo essere protette
49
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
quanto alla loro confidenzialità, non necessitano però di una protezione elevata, vengono trattate con mezzi così classificati. Capoverso 2: ai mezzi TIC del livello di sicurezza «protezione elevata» si applicano, oltre ai requisiti della protezione di base, requisiti e misure di sicurezza particolari, ad esempio il requisito dell’allestimento di un concetto in materia di sicurezza delle informazioni, nonché l’esecuzione di un CSP per le persone che devo- no provvedere all’esercizio, all’amministrazione, alla manutenzione o alla verifica di simili mezzi. Lettera a: i mezzi TIC rientrano in questo livello di sicurezza se le informazioni che vanno trattate con essi presentano requisiti elevati quanto a confidenzialità, disponibilità, integrità o verificabilità. I rispettivi requisiti vengono valutati riguardo a un pregiudizio potenzialmente considerevole per gli interessi di cui all’articolo 1 capoverso 2 che può essere causato dalla violazione di uno dei quattro criteri di protezione menzionati. Per le informazioni classificate «CONFIDENZIALE» il pregiudizio potenziale è già contenu- to nella definizione del livello di classificazione (considerevole pregiudizio). I mezzi TIC con i quali van- no trattate le informazioni classificate «CONFIDENZIALE» rientrano quindi nel livello «protezione ele- vata». Ciò vale anche per i mezzi TIC che vanno utilizzati per il trattamento di dati personali degni di par- ticolare protezione o di segreti professionali o di fabbricazione, sempre che il danno potenziale in caso di violazione della confidenzialità di queste informazioni sia considerevole. Lettera b: se con un mezzo TIC vengono supportati processi lavorativi il cui venire meno può comportare un considerevole pregiudizio per la capacità d’azione di un’autorità, allora il mezzo TIC va parimenti as- segnato a questo livello di sicurezza. Ma la lettera b è di fatto già contenuta nella lettera a, poiché le TIC servono esclusivamente al trattamento di informazioni e non sono fini a se stesse. I disturbi e l’utilizzazione abusiva della funzionalità del mezzo TIC stesso vengono però ripresi nella legge come mo- tivo di classificazione perché questa norma è assai più comprensibile per molti non specialisti. Capoverso 3: i mezzi TIC rientrano nel livello «protezione molto elevata» se le informazioni che vanno trat- tate con essi presentano requisiti molto elevati quanto a confidenzialità, disponibilità, integrità o verificabili- tà. Questa disposizione si sviluppa in modo identico al capoverso 2, ma il danno potenziale deve essere gra- ve. Qui si tratta ad esempio di mezzi TIC con i quali vengono trattate informazioni classificate «SEGRETO», o di quelli il cui venire meno può arrecare gravi danni agli interessi di cui all’articolo 1 capoverso 2.
Art. 22 Capoverso 1: la prassi ha mostrato che con un adeguato numero di determinati e predefiniti requisiti e misure i rischi per una maggioranza dei mezzi TIC possono essere ridotti a un’entità accettabile. La totalità di tutti questi requisiti e misure forma la protezione di base. Il vantaggio di una protezione di base definita e stan- dardizzata consiste nel fatto che, per i mezzi TIC di questo livello, le autorità e le organizzazioni non devono effettuare valutazioni dei rischi dettagliate e dispendiose. Le autorità assoggettate devono stabilire quale li- vello di sicurezza minimo vogliono richiedere per tutti i loro mezzi TIC. Fissare una protezione di base non è una faccenda tecnica che va decisa da esperti, bensì un compito direttivo che presuppone la ponderazione di obiettivi in materia di sicurezza e costi. Secondo l’intensità della protezione di base, le misure organizzative, in materia di personale, tecniche e fisiche da attuare possono infatti risultare più o meno costose. Il capoverso 2 stabilisce il principio che, indipendentemente dal livello di sicurezza assegnato loro, tutti i mezzi TIC devono adempiere i requisiti della protezione di base. Essa viene quindi anche definita come fon- damenta sulle quali devono svilupparsi mezzi TIC dei livelli di sicurezza «protezione elevata» e «protezione molto elevata». Le misure della protezione di base devono quindi essere configurate anche in maniera relati- vamente flessibile e modulare. Se determinate misure non sono attuabili per un particolare mezzo TIC, vanno applicate altre misure che consentono una protezione equivalente.
Art. 23 Capoverso 1: per i mezzi TIC dei livelli di sicurezza «protezione elevata» e «protezione molto elevata» non bastano i requisiti e le misure della protezione di base. Per simili mezzi viene dapprima richiesta l’esecuzione di un’analisi dei rischi riferita all’oggetto, dando la massima importanza alla protezione di quei criteri che hanno requisiti di protezione elevati. Se, a motivo di requisiti elevati posti alla disponibilità, un mezzo TIC viene classificato nel livello «protezione elevata», ma nel contempo non presenta requisiti elevati quanto alla protezione della confidenzialità, allora devono venire valutati in primo luogo i rischi per la disponibilità. Dopo l’analisi dei rischi, deve essere allestito un concetto in materia di sicurezza delle informazioni. La re- sponsabilità in merito è del beneficiario delle prestazioni, ma è necessaria una stretta collaborazione con il fornitore di prestazioni. L’applicazione delle misure tecniche si situa infatti, in linea di principio, nell’ambito di competenza di quel servizio che provvederà all’esercizio del mezzo TIC e per questo dispone del know- how tecnico.
50
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Il capoverso 2 stabilisce le competenze per la verifica e l’approvazione del concetto in materia di sicurezza delle informazioni. Per assicurare che il concetto in materia di sicurezza delle informazioni venga verificato da personale comprovatamente competente, la legge richiede che sia l’incaricato della sicurezza delle infor- mazioni (art. 84) a procedere a queste verifiche. Si tratta di esaminare se il concetto adempie i requisiti for- mali, giuridici e aziendali, così che descriva l’effettivo stato della sicurezza delle informazioni e mostri nel dettaglio i rischi residui da sostenere. L’ideale sarebbe che l’incaricato della sicurezza delle informazioni accompagni l’allestimento del concetto in materia di sicurezza delle informazioni per riconoscere precoce- mente eventuali problemi e risolverli in modo mirato. In seguito il concetto in materia di sicurezza delle in- formazioni deve essere approvato dall’autorità o dall’organizzazione stessa. Questa approvazione ha luogo già nella fase di pianificazione o in quella concettuale, dunque ancora prima che il progetto TIC si trovi nella fase di realizzazione. In questo modo si intende garantire che la direzione assuma precocemente la propria responsabilità riguardo alla sicurezza delle informazioni. Essa non deve trovarsi nella situazione di dover decidere praticamente alla vigilia dell’entrata in servizio del mezzo TIC (si veda l’art. 25), quando sono già stati impiegati notevoli mezzi finanziari. Capoverso 3: il concetto in materia di sicurezza delle informazioni non è un documento che deve essere alle- stito semplicemente una volta (in occasione della pianificazione dell’impiego di un mezzo TIC) e poi rimane in forma invariata. Le misure pianificate spesso non coincidono con quelle effettivamente attuate. Perciò, il concetto in materia di sicurezza delle informazioni deve essere costantemente aggiornato per descrivere l’attuale stato della sicurezza. Anche nel caso di mutamenti dei rischi deve essere adeguato di conseguenza.
Art. 24 Il capoverso 1 richiede, per tutti i mezzi TIC che ottengono il nullaosta per la messa in funzione in conformi- tà con i criteri di sicurezza, una prova che la procedura di sicurezza è stata eseguita conformemente al diritto e che sono state attuate le misure della protezione di base o eventualmente del concetto in materia di sicurez- za delle informazioni. Le autorità assoggettate devono stabilire chi deve eseguire questa verifica. Capoverso 2: per i mezzi TIC del livello di sicurezza «protezione molto elevata» si richiede in più che venga verificata l’efficacia delle misure attuate. In occasione di tale verifica dell’efficacia vengono eseguiti attacchi reali contro il mezzo TIC, così da identificare e correggere prima della messa in funzione eventuali falle nella sicurezza e punti deboli che qualcuno potrebbe sfruttare a proprio vantaggio (p. es. mediante test di penetra- zione, penetration test). La verifica dell’efficacia viene richiesta solamente per i mezzi TIC del livello «pro- tezione molto elevata», perché è connessa a un onere finanziario non indifferente (dallo 0,5 al 2 per cento del totale dei costi di investimento).
Art. 25 Capoverso 1: la direzione dell’autorità o dell’organizzazione beneficiaria delle prestazioni assume la respon- sabilità della sicurezza delle informazioni. Si richiede perciò che la stessa direzione dell’autorità o dell’organizzazione rilasci il nullaosta per la messa in funzione dei propri mezzi TIC in conformità con i criteri di sicurezza. Capoverso 2: il nullaosta di sicurezza significa che l’autorità o l’organizzazione conosce i rischi residui iden- tificati ed è anche disposta a sostenerli. Se ritiene che i rischi residui siano ancora troppo elevati, può rifiuta- re il nullaosta e richiedere l’applicazione di misure aggiuntive atte a ridurre i rischi.
Art. 26 Per una gestione efficace dei rischi è necessario mantenere una visione d’insieme su tutti i mezzi TIC impie- gati. Le autorità e le organizzazioni assoggettate devono perciò registrare in un inventario o in un portafoglio i mezzi TIC che impiegano. Tutti i mezzi TIC devono potere essere attribuiti a una persona o a un servizio competente. L’inventario deve fra l’altro contenere i livelli di sicurezza dei mezzi TIC, il nome della persona o la deno- minazione del servizio competenti, le documentazioni di sicurezza, nonché tutte le dovute informazioni sul sistema che sono necessarie per ripristinare l’esercizio nel caso di un disturbo o di una interruzione del fun- zionamento dei mezzi TIC.
Art. 27 Autorità, organizzazioni o terzi che gestiscono mezzi TIC su mandato delle autorità e delle organizzazioni assoggettate, sono responsabili di garantire la sicurezza delle informazioni nell’esercizio di tali mezzi. I for- nitori di prestazioni interni rientrano tutti nel campo d’applicazione della presente legge e devono perciò applicare anche gli articoli 19-26 alle proprie attività. I fornitori di prestazioni esterni, per contro sono consi- derati terzi ai sensi dell’articolo 8 e devono essere obbligati contrattualmente a osservare le misure della pre-
51
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
sente legge. Le autorità e le organizzazioni assoggettate che danno mandato di gestire i mezzi TIC devono convenire con il fornitore di prestazioni i loro requisiti inerenti ai mezzi. Nell’esercizio, quanto alla sicurezza delle informazioni, il fornitore di prestazioni deve assicurare le seguenti capacità e attività: gestione della rete, ad esempio: ruoli e responsabilità; design della rete; audit di sicurezza; gestione del traffico, ad esempio: configurazione di dispositivi di rete; normative per la gestione degli accessi, crittaggio e autenticazione; firewall; accessi esterni; accessi attraverso tecnologie wireless; esercizio della rete, ad esempio: descrizioni dettagliate delle prestazioni e osservanza degli accordi sui livelli di servizio SLA; monitoraggio (incl. sorveglianza della rete); release-, change-, life-cycle- management; incident- e security-management; capacity- e ressource-management; desaster- e recovery- management; rapporto di audit al beneficiario delle prestazioni.
Art. 28 Le persone che devono gestire informazioni o mezzi TIC della Confederazione, devono soddisfare determi- nati requisiti. Spetta al datore di lavoro o al mandante provvedere affinché i lavoratori o i mandatari adem- piano questi requisiti. Lettera a: nella scelta delle persone da assumere o da incaricare, i criteri devono corrispondere a quelli per le informazioni degne di protezione o alla criticità dei mezzi TIC. I datori di lavoro sono responsabili del- le loro decisioni in materia di personale. L’assoggettamento di una persona al CSP non li dispensa da questa responsabilità; lettera b: le autorità e le organizzazioni assoggettate devono formare a sufficienza i propri impiegati e mandatari. Nell’ambito della sicurezza delle informazioni non basta fornire una formazione una tantum. I lavoratori e i mandatari devono essere formati e sensibilizzati periodicamente. Occorre prestare particola- re attenzione all’istruzione dei superiori; lettera c: sempre che gli impiegati o i mandatari debbano gestire informazioni che presentano requisiti elevati quanto alla protezione dalla confidenzialità, devono essere tenuti a mantenere il segreto. In virtù dell’articolo 22 LPers, gli impiegati della Confederazione che sono sottoposti alla LPers devono mantene- re il segreto d’ufficio. Per i terzi che eseguono mandati per la Confederazione, l’obbligo di mantenere il segreto deve essere stabilito per scritto nel contratto ed essere connesso a chiare conseguenze in caso di inosservanza.
Art. 29 Chi lavora o esegue un mandato per un’autorità federale necessita eventualmente, per adempiere i compiti, di un accesso a determinate informazioni, mezzi TIC o locali. Il capoverso 1 enuncia un principio centrale della sicurezza delle informazioni. I lavoratori e i mandatari devono ricevere soltanto le autorizzazioni di cui effet- tivamente necessitano per adempiere i propri compiti. Il rischio di un’utilizzazione abusiva può essere ridotto considerevolmente se una persona non può trattare senza motivo informazioni di un altro settore. Il capoverso 2 richiede l’amministrazione permanente di queste autorizzazioni. Succede che, al termine del rapporto di lavoro, scaduto il contratto o ultimato un compito particolare, ex impiegati o mandatari non ven- gano invitati a restituire la propria chiave o il proprio badge, oppure che il loro conto di utente non venga bloccato. Simili autorizzazioni «scadute» possono in seguito venire utilizzate per agire contro gli interessi del datore di lavoro o del mandante. Quando un impiego, un contratto o un compito è terminato, le pertinenti autorizzazioni devono essere revocate. Se vi è motivo di supporre di essere in presenza di una minaccia per la sicurezza delle informazioni, le autorizzazioni devono essere subito bloccate o revocate. Entrambe le mi- sure devono contribuire a ridurre il rischio di un reato dall’interno. Il capoverso 3 richiede un processo adeguato per verificare periodicamente le autorizzazioni.
Art. 30 Con le misure di protezione fisiche si tratta di ridurre i rischi dovuti a minacce fisiche. Fanno tra l’altro parte di questi rischi atti umani quali lo spionaggio, il furto, il vandalismo o il sabotaggio, ma anche i danni causati da elementi naturali, quali quelli dovuti al calore, al fuoco, all’acqua, alla polvere, alle vibrazioni ecc. Per la valutazione delle misure di protezione fisica, della cosiddetta protezione delle opere, è competente fedpol in collaborazione con l’UFCL. Per parti del DDPS e l’esercito, è competente la PIO in collaborazione con ar- masuisse o l’UFCL.
52
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Il capoverso 1 stabilisce il principio che le autorità e le organizzazioni assoggettate devono garantire la pro- tezione fisica delle loro informazioni e dei loro mezzi TIC nei loro locali. Occorre in particolare impedire l’accesso non autorizzato a informazioni o mezzi TIC, ad esempio mediante controlli dell’entrata, videoca- mere, sistemi di chiusura, locali e contenitori di sicurezza, apparecchi di distruzione di documenti e di sup- porti di dati, protezione visiva ecc. Contro i danni causati da elementi naturali vengono ad esempio impiegati impianti di rivelazione e di segnalazione di incendi e impianti di spegnimento automatici. Il capoverso 2 disciplina il caso di informazioni o mezzi TIC che sono accessibili pubblicamente. Si tratta, da un lato, di informazioni e mezzi TIC che vengono portati via dal loro posto abituale (ufficio) e che in seguito, al di fuori del perimetro di sicurezza abituale, devono essere protetti adeguatamente. Ma si tratta anche di informazioni e installazioni, cavi e linee di distribuzione che non stanno sotto il costante controllo dell’autorità o dell’organizzazione. Occorre prestare particolare attenzione, ad esempio, ai punti di accesso quali le zone di consegna e di carico.
Art. 31 Nella LSIn, la nozione di «zona di sicurezza» viene utilizzata per locali e settori nei quali sovente vengono trattate informazioni classificate del livello «CONFIDENZIALE» o «SEGRETO» o gestiti mezzi TIC del livello di sicurezza «protezione elevata» o «protezione molto elevata» e che a tale scopo vengono partico- larmente protetti. L’esclusione di questi locali o settori quale zona di sicurezza rappresenta una misura fisica della sicurezza delle informazioni che già oggi viene parzialmente adottata presso la Confederazione, in par- ticolare per proteggere i locali dei server o determinati locali di condotta. Una zona di sicurezza deve essere predefinita, identificabile ed essere protetta di conseguenza. Le disposizioni d’esecuzione del Consiglio fede- rale definiranno probabilmente due generi di zone di sicurezza, secondo la criticità delle informazioni o dei mezzi TIC. Le misure nelle zone di sicurezza dei rispettivi livelli dovranno essere impostate in funzione dei rischi. Il Consiglio federale e i servizi federali competenti per la protezione delle opere (fedpol, UFCL, PIO e armasuisse), stabiliranno misure standard per le zone di sicurezza in collaborazione con il servizio specializ- zato della Confederazione per la sicurezza delle informazioni (si veda l’art. 88). Nel capoverso 1 vengono dapprima stabiliti i presupposti per designare una zona di sicurezza in virtù della LSIn: nel settore da designare devono sovente venire trattate informazioni classificate «CONFIDENZIALE» o «SEGRETO» o gestiti mezzi TIC del livello di sicurezza «protezione elevata» o «protezione molto eleva- ta». Contrariamente alla legislazione di altri Paesi o di organizzazioni internazionali (si veda anche cpv. 5), per le autorità e le organizzazioni assoggettate in virtù della LSIn non sussiste però alcun obbligo di designa- re simili settori quali zone di sicurezza. In merito al loro effettivo allestimento decide la valutazione dei ri- schi. Il capoverso 2 stabilisce che solamente le persone identificate e autorizzate possono ottenere l’accesso a una zona di sicurezza. L’accesso deve dunque essere necessario per adempiere un determinato compito. Ciò pre- suppone corrispondenti controlli d’accesso e la verbalizzazione degli accessi. Il capoverso 3 disciplina i particolari poteri dell’autorità o dell’organizzazione che allestisce una zona di sicurezza: lettera a: per il controllo dell’accesso l’autorità o l’organizzazione può utilizzare metodi di identificazione biometrici (p. es. impronta digitale o scansione dell’iride). Questi metodi di identificazione sono netta- mente più affidabili dell’identificazione mediante un normale documento. Già oggi vengono impiegati in taluni ambiti; lettera b: può essere limitata la possibilità di prendere con sé taluni oggetti in una zona di sicurezza. Di regola, prendere con sé apparecchi per registrazioni audiovisive (incl. smartphone o notebook con perti- nenti funzioni) è consentito soltanto con un’autorizzazione particolare; lettera c: settori della zona di sicurezza che sono particolarmente importanti per la sicurezza delle infor- mazioni (p. es. la zona d’accesso a un particolare locale server, il posto di lavoro dell’amministratore del sistema o il locale archivio con informazioni classificate «SEGRETO»), possono venire essere mediante apparecchi di registrazione video; lettera d: all’entrata o all’uscita, l’autorità o l’organizzazione può far eseguire controlli di borse e persone. In questo modo si intende impedire che persone portino con sé senza autorizzazione apparecchi nella zona di sicurezza (si veda la lettera b) o sottraggano informazioni (p. es. con una chiave USB); lettera e: per applicare prescrizioni in materia di sicurezza delle informazioni, devono essere possibili controlli di uffici anche in una zona di sicurezza. Nei controlli di uffici viene fra l’altro verificato il rispet- to della cosiddetta «Clean Desk Policy» (non devono esserci sulla scrivania o in altro luogo informazioni degne di protezione, il PC deve essere bloccato o spento, i supporti di dati devono essere tenuti sotto
53
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
chiave, i cassetti devono essere chiusi a chiave, il cestino dei rifiuti non deve contenere informazioni clas- sificate ecc.). Il controllo può avere luogo anche in assenza delle persone interessate, ad esempio durante la notte. Conformemente al capoverso 4, in determinate zone di sicurezza l’autorità o l’organizzazione deve avere la possibilità, se necessario, di esercitare un impianto di telecomunicazione che provoca interferenze di cui all’articolo 34 capoverso 1ter della legge del 30 aprile 1997 sulle telecomunicazioni (LTC; RS 784.10). L’effettiva necessità e le condizioni per l’esercizio di un simile impianto vengono valutate in virtù della LTC. Nel capoverso 5 vengono fatte salve le prescrizioni per zone di sicurezza conformemente ai trattati interna- zionali (art. 90) e le corrispondenti prescrizioni sulla protezione di impianti militari. In entrambi i casi, l’allestimento di una zona di sicurezza o di una zona di protezione non costituisce un’opzione, bensì un ob- bligo (si veda, p. es., ISA CH-EU). 2.1.3 Controlli di sicurezza relativo alle persone
Art. 32 Il controllo di sicurezza relativo alle persone (CSP) è una misura preventiva per la protezione contro gli auto- ri di reati dall’interno. È intesa a identificare il rischio di un pregiudizio per gli interessi di cui all’articolo 1 capoverso 2 che è connesso con l’esercizio di un’attività sensibile sotto il profilo della sicurezza da parte di una determinata persona. Si tratta dunque di stimare la probabilità che una determinata persona da sottoporre al controllo pregiudicherà intenzionalmente o per negligenza gli interessi di cui all’articolo 1 capoverso 2. A tale scopo vengono rilevati dati rilevanti sulla condotta di vita di questa persona. Basandosi su questi dati, specialisti formati a tale scopo (Risk Profiler) procedono a una valutazione del rischio per la sicurezza. Ri- mane inteso che una simile valutazione non può essere mai assolutamente affidabile. Dopo avere preso atto della valutazione del rischio da parte del servizio specializzato CSP competente, è unicamente l’autorità o l’organizzazione assoggettata a decidere se vuole sostenere un eventuale rischio ele- vato, se vuole ridurlo mediante determinate condizioni o se vuole evitarlo non assumendo o licenziando la persona in questione. Per la comprensione della normativa proposta sono fondamentali due punti: la valutazione del rischio per la sicurezza da parte del servizio specializzato CSP competente rappresenta una raccomandazione. Per la decisione in merito a un’eventuale assunzione o un eventuale incarico è competente unicamente il servizio che assume o che conferisce mandati. Di conseguenza, il rischio non viene mai sostenuto dal servizio specializzato CSP competente per la valutazione del rischio per la sicu- rezza. Ciò vale sia nel caso di una dichiarazione di rischio (sussiste un rischio per la sicurezza) sia nel ca- so di una dichiarazione di sicurezza (non sussiste alcun rischio per la sicurezza). Anche se alla persona sottoposta al controllo è stata rilasciata una dichiarazione di sicurezza, i superiori non vengono esonerati dall’obbligo di identificare eventuali rischi elevati connessi con tale persona e, se del caso, farvi fronte; il CSP deve venire impiegato in funzione dei rischi. La presente legge stabilisce chiari presupposti per l’esecuzione del controllo. Ciò non significa che quelle funzioni, che finora sono state sottoposte al con- trollo in via supplementare, sarebbero meno importanti o non sarebbero esposte a un rischio elevato. Per queste funzioni e per tutte le altre funzioni che non vengono sottoposte al controllo, la responsabilità della valutazione del rischio per la sicurezza viene però unicamente e solamente assunta dalla linea gerarchica. Con la proposta introduzione di un nuovo articolo 20a LPers, in futuro i datori di lavoro di cui all’articolo 3 LPers disporranno a tal fine di mezzi idonei (estratti del casellario giudiziale e del registro esecuzioni e fallimenti).
Art. 33 L’articolo 33 disciplina, in combinato disposto con l’articolo 34 capoverso 1, l’assoggettamento dei membri delle autorità e delle organizzazioni assoggettate. Le autorità assoggettate (dunque non le organizzazioni di cui all’articolo 2 cpv. 2) devono emanare per il loro ambito di competenza un elenco di quelle funzioni per l’adempimento dei cui compiti è necessario esercitare un’attività sensibile sotto il profilo della sicurezza e che quindi vanno sottoposte al controllo. Per i presupposti materiali per iscrivere una funzione nell’elenco delle funzioni non viene però semplicemente ripreso l’attuale sistema. Come menzionato al numero 1.2.4, pur prescindendo dal criterio della periodicità, in particolare nel trattamento di informazioni classificate, decisiva per l’assoggettamento degli impiegati federali al controllo di sicurezza relativo alle persone è però la questione se il titolare di una determinata funzione per l’ adempimento dei propri compiti deve esercitare un’attività sensibile sotto il profilo della sicurezza. Se una simile attività è necessaria per l’adempimento dei
54
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
compiti inerenti alla funzione, allora - e solamente allora - la funzione deve essere inserita nell’elenco delle funzioni da sottoporre al controllo. Alcuni esempi fittizi sono utili per spiegare l’applicazione del principio: nell’ambito dei suoi compiti, una collaboratrice dell’Ufficio federale dell’ambiente è competente per l’esame dell’impatto sull’ambiente relativo alle costruzioni e agli impianti militari. Per adempiere i propri compiti deve trattare informazioni classificate e talvolta avere l’accesso a tali impianti. La sua funzione deve venire inserita nell’elenco delle funzioni; un collaboratore dell’Amministrazione federale delle finanze deve, eccezionalmente, valutare le ripercus- sioni di una proposta, classificata «CONFIDENZIALE», del DFGP al Consiglio federale. Per simili affari sono normalmente competenti altri collaboratori che però sono assenti per ferie o malattia. In linea di massima, questo compito non fa parte della sua funzione, che di conseguenza non può essere menzionato nell’elenco; il personale di pulizia di un’autorità ha talvolta, senza volerlo, accesso a informazioni classificate quando, nell’ambito dell’adempimento ordinario dei suoi compiti, pulisce gli uffici degli impiegati federali e que- sti ultimi non conservano o smaltiscono i supporti d’informazione conformemente alle prescrizioni. Tut- tavia non fa parte del settore di compiti del personale di pulizia trattare informazioni classificate. Non può perciò venire inserito nell’elenco, a meno che non sia competente per la pulizia all’interno di una zona di sicurezza. Il criterio della periodicità, anche se de facto sarà quasi sempre soddisfatto, de iure è irrilevante. Pure se, nell’elenco degli obblighi di una funzione, soltanto il 5 per cento del grado d’occupazione è previsto per l’adempimento di compiti sensibili sotto il profilo della sicurezza, questa funzione va inserita nell’elenco delle funzioni. Anche se magari la titolare della funzione interessata durante un lungo periodo non deve af- fatto adempiere simili compiti. L’eventualità dell’esercizio, inerente alla funzione, di un’attività sensibile sotto il profilo della sicurezza non è invece un motivo per inserire una funzione nell’elenco delle funzioni. L’applicazione di questo approccio restrittivo presuppone che le autorità e le organizzazioni assoggettate abbiano una chiara visione d’insieme dei processi lavorativi interni e intersettoriali come pure dei compiti necessariamente connessi con attività sensibili sotto il profilo della sicurezza. Acquisire e mantenere una visione d’insieme in questo campo rappresenta nel contempo una sostanziale misura nel quadro della gestio- ne dei rischi della sicurezza delle informazioni. I motivi per iscrivere una funzione nell’elenco delle funzioni devono essere dimostrabili: le descrizioni dei posti (o gli elenchi degli obblighi) delle rispettive funzioni devono contenere un’esatta definizione dei compiti per il cui adempimento è necessario l’esercizio di un’attività sensibile sotto il profilo della sicurezza. Inoltre, indipendentemente da un eventuale assoggetta- mento al controllo di sicurezza relativo alle persone, le autorità e le organizzazioni assoggettate devono adot- tare le necessarie misure organizzative e personali per limitare al minimo necessario la cerchia delle persone che devono esercitare attività sensibili sotto il profilo della sicurezza. L’espressione «emanano» chiarisce che si tratta di una formale delega di legiferare alle autorità assoggettate. Gli elenchi delle funzioni si troveranno quindi in ordinanze o regolamenti. Riguardo all’Amministrazione federale occorre quindi, in linea di principio, mantenere l’attuale sistema, in virtù del quale il Consiglio fede- rale designa queste funzioni nell’allegato all’OCSP (si veda il n. 1.2.4). In virtù dei disciplinamenti delle competenze in conformità con la LOGA, potrà però continuare ad autorizzare i dipartimenti e la Cancelleria federale a emanare i propri elenchi dettagliati.
Art. 34 Capoverso 1: l’articolo 34 stabilisce chi deve essere sottoposto al controllo. Lettera a: nel caso degli impiegati delle autorità e delle organizzazioni assoggettate, vengono sottoposte al controllo solamente quelle persone la cui funzione è contenuta negli elenchi delle funzioni di cui all’articolo 33. L’elenco delle funzioni è dunque vincolante. Le eccezioni sono disciplinate nei capoversi 3 e 4. Lettera b: per terzi, il controllo viene eseguito se nell’ambito di un mandato, partecipano all’esercizio di un’attività sensibile sotto il profilo della sicurezza. Lettera c: il presupposto per l’esecuzione del CSP nel contesto internazionale viene disciplinato da perti- nenti trattati internazionali. In linea di massima, si applica la norma del capoverso 2. Capoverso 2: il principio del capoverso 1 lettera b si applica anche alle persone che, su mandato di un’autorità estera o internazionale, devono esercitare un’attività sensibile sotto il profilo della sicurezza.
55
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Il capoverso 3 disciplina il caso di una funzione che soddisfa i criteri di cui all’articolo 33, ma ancora non è stata inserita nel relativo elenco. In questo caso il controllo può essere eseguito, sempre che l’autorità assog- gettata lo consenta. L’elenco dovrà poi essere adeguato di conseguenza. Capoverso 4: nel caso di membri di autorità che vengono eletti dal Popolo o di magistrati eletti dall’Assemblea federale, non può essere eseguito preliminarmente un controllo di sicurezza relativo alle persone, anche se queste persone spesso esercitano le attività più sensibili sotto il profilo della sicurezza.
Art. 35 Riguardo ai livelli di controllo, la LMSI non contiene alcuna normativa precisa. Il principio di legalità ri- chiede però, a motivo della profonda ingerenza nei diritti fondamentali delle persone da sottoporre al control- lo connessa con l’esecuzione del CSP, che le più importanti modalità dell’ingerenza vengano stabilite a livel- lo di legge. Poiché i livelli di controllo sono determinanti per la gravità dell’ingerenza, devono essere disci- plinati nella legge. L’avamprogetto prevede ora (si veda il n. 1.2.4) i due livelli di controllo seguenti: lettera a: il controllo di sicurezza di base si applica alle attività sensibili sotto il profilo della sicurezza il cui esercizio contrario alle prescrizioni o non appropriato può pregiudicare considerevolmente gli interes- si di cui all’articolo 1 capoverso 2. Si tratta dunque implicitamente, in base al potenziale di danno men- zionato, di quanto segue: (a) trattamento di informazioni classificate «CONFIDENZIALE»; (b) ammini- strazione, esercizio, verifica o manutenzione di mezzi TIC del livello di sicurezza «protezione elevata»; e (c) accesso alle zone di sicurezza nei quali vengono esercitate attività di cui ad (a) e a (b). Per l’accesso a zone di protezione 2 di un impianto militare è parimenti necessario un CSP di questo livello. Lettera b: il CSP ampliato si applica di conseguenza: (a) al trattamento di informazioni classificate «SE- GRETO»; (b) all’amministrazione, all’esercizio, alla verifica o alla manutenzione di mezzi TIC del livello di sicurezza «protezione molto elevata»; e (c) all’accesso alle zone di sicurezza nelle quali vengono eser- citate attività di cui ad (a) e a (b). Per l’accesso a zone di protezione 3 di un impianto militare è parimenti necessario un CSP di questo livello. Spetta alle autorità assoggettate stabilire i livelli di controllo per le funzioni e i mandati corrispondenti.
Art. 36 I servizi specializzati CSP non possono in alcun caso avviare ed eseguire un CSP di propria iniziativa; neces- sitano sempre di un pertinente mandato. Da un lato, non può essere di competenza delle massime autorità avviare direttamente tutte le procedure di controllo, dall’altro, neppure ogni servizio dovrebbe poter conferire simili mandati di propria iniziativa. L’articolo 36 prevede perciò che ciascuna autorità assoggettata designi per il proprio ambito di competenza quei servizi che sono autorizzati ad avviare le procedure di controllo e a conferire il relativo mandato ai servizi specializzati CSP. Si tratta di una competenza formale. In questo con- testo occorre segnalare che il servizio che chiede l’avvio del controllo sovente non coincide con il servizio che dopo il controllo, in applicazione dell’articolo 44, decide in merito all’attribuzione del compito sensibile sotto il profilo della sicurezza (servizio competente per l’attribuzione). Purché lo reputi opportuno, il Consiglio federale può anche autorizzare determinati terzi ad avviare CSP. Ciò concerne in particolare le aziende che sovente esercitano per la Confederazione attività sensibili sotto il pro- filo della sicurezza e sono in possesso di una dichiarazione di sicurezza aziendale di cui all’articolo 68. Può anche essere il caso dei Cantoni o delle organizzazioni di cui all’articolo 2 capoverso 2 lettera e.
Art. 37 L’esecuzione del CSP richiede, in linea di principio, il consenso della persona interessata (cpv. 1). Secondo il capoverso 2, unicamente nell’ambito dell’esercito o della protezione civile possono venire eseguiti CSP sen- za il consenso della persona interessata. Questa eccezione è necessaria perché altrimenti, rifiutando il con- senso, i militari e i militi della protezione civile impedirebbero l’esecuzione del controllo e quindi potrebbero sottrarsi al proprio obbligo di prestare servizio.
Art. 38 Il diritto vigente (art. 19 cpv. 3 LMSI) richiede che il CSP venga eseguito prima di attribuire la carica o la funzione o conferire il mandato. L’applicazione della (di per sé opportuna) normativa vigente, in pratica non può tuttavia avvenire senza un sostanziale aumento delle risorse di personale dei servizi specializzati. Perciò, nel capoverso 1 viene attenuata la norma per gli impiegati delle autorità e delle organizzazioni assoggettate: si richiede ancora che soltanto per questo gruppo di persone il CSP venga avviato prima dell’attribuzione della funzione. I datori di lavoro continuano ovviamente a essere liberi di attendere la dichiarazione del ser-
56
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
vizio specializzato CSP prima di assumere la persona interessata. In pratica, di regola, essi inseriranno pro- babilmente nel contratto di lavoro una clausola in virtù della quale il rilascio di una dichiarazione di sicurez- za con riserva (art. 43 cpv. 1 lett. b), di una dichiarazione di rischio (art. 43 cpv. 1 lett. c) o di una dichiara- zione di constatazione (art. 43 cpv. 1 lett. d) può costituire un motivo per sciogliere immediatamente il rap- porto di lavoro. Quanto alla temporanea riduzione dei rischi, i datori di lavoro possono richiedere un estratto del casellario giudiziale o del registro esecuzioni e fallimenti (art. 20a LPers). Il capoverso 2 corrisponde al diritto vigente (art. 19 cpv. 3 LMSI) ed è una conseguenza dell’inchiesta della Commissione della gestione del Consiglio nazionale sulle circostanze che all’epoca hanno portato alla nomi- na del comandante di corpo Roland Nef a capo dell’esercito. La normativa indicata è stata decisa con modi- fica della LMSI del 23 dicembre 2011 ed è entrata in vigore il 1° luglio 2012. Il capoverso 3 disciplina il momento del CSP per terzi destinati a eseguire per un’autorità o un’organizzazione assoggettata un mandato sensibile sotto il profilo della sicurezza. In questo caso, deve continuare a essere applicata l’attuale normativa: il CSP deve essere concluso prima che alla persona possa essere affidato l’esercizio di un’attività sensibile sotto il profilo della sicurezza. Il motivo della disparità di trattamento sul piano giuridico tra gli impiegati interni e i terzi risiede nel particolare rapporto degli impiega- ti federali con la Confederazione, per i quali si può, in linea di massima, presupporre un elevato grado di lealtà nei confronti degli interessi della Confederazione. Inoltre, gli impiegati della Confederazione lavorano per lo più direttamente presso il datore di lavoro, il che consente un controllo più semplice. Conformemente al capoverso 4, il momento del CSP per le persone che devono essere controllate in virtù di un accordo internazionale si rifà alle prescrizioni di tale accordo. Anche se non è disciplinato esplicitamente nell’accordo, in questi casi si richiede sempre che venga rilasciata una dichiarazione di sicurezza prima di esercitare un’attività sensibile sotto il profilo della sicurezza.
Art. 39 Questa disposizione disciplina l’acquisizione dei dati per entrambi i livelli di controllo. L’acquisizione dei dati si orienta per lo più alla legislazione e alla prassi attuali. A motivo della riduzione da tre a soltanto due livelli di controllo, l’acquisizione dei dati all’interno dei livelli di controllo è stata riorganizzata in modo che il controllo di base viene rafforzato in particolare grazie alla possibilità di consultare i registri degli uffici di esecuzione e fallimento. Per quanto riguarda l’acquisizione dei dati, per entrambi i livelli di controllo si tratta di una prescrizione po- testativa. I servizi specializzati, per valutare il rischio, non devono dunque necessariamente servirsi di tutti i mezzi disponibili. Ciò è importante in particolare nel controllo ampliato, perché la riduzione da tre a due livelli non deve fare sì che i costi del CSP aumentino in misura considerevole. Il Consiglio federale, che emanerà le disposizioni d’esecuzione relative ai CSP, potrà anche stabilirvi quali dati e quando devono esse- re acquisiti. Capoverso 1: per il controllo di base possono venire consultate le seguenti fonti: lettere a-d: il casellario giudiziale, nonché le raccolte di dati del Servizio delle attività informative e delle autorità di polizia e di sicurezza della Confederazione e dei Cantoni possono contenere indicazioni sull’affidabilità e sugli eventuali precedenti di una persona. Nella LSIP, ai servizi specializzati CSP viene accordato il diritto all’accesso online al registro nazionale di polizia (si veda il n. 2.10). Ora i dati degli organi di polizia cantonali connessi si schiuderanno loro in maniera semplice ed efficiente. Ovviamente, eventuali risultati vanno ponderati nell’ottica della prevista attività della persona da sottoporre al controllo e posti nel giusto contesto; lettera e: le informazioni dai registri delle autorità di esecuzione e fallimento sono necessari per poter valutare la situazione finanziaria delle persone da sottoporre al controllo nell’ottica di un eventuale ri- schio per la sicurezza come, ad esempio, la corruttibilità; la lettera f prevede ora che possono essere addotti anche le documentazioni e i risultati di precedenti con- trolli di sicurezza; lettera g: qui è stabilito esplicitamente che i servizi specializzati CSP possono ricorrere anche a dati da fonti accessibili pubblicamente (p. es. da Internet, con motori di ricerca come Google). Un’esigenza in tal senso risulta, da un lato, dalla prevista funzione e da eventuali indicazioni inerenti al singolo caso. Le in- formazioni dai social network che non sono rivolte alla collettività, bensì sono destinate solamente a cer- chie di persone chiuse, non possono tuttavia essere acquisite. Capoverso 2: oltre alle fonti di cui al capoverso 1, nel CSP ampliato possono venire consultate le seguenti fonti:
57
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
lettera a: dati dai registri fiscali federali e cantonali possono fornire informazioni supplementari sulla situazione economica delle persone da sottoporre al controllo, ad esempio nel caso di evidenti discrepanze tra tenore di vita e dati fiscali; lettera b: i dati dai registri dei controlli degli abitanti non sempre vengono acquisiti perché spesso hanno soltanto un valore aggiunto limitato. Esse possono però, in funzione della situazione, fornire importanti indicazioni per la valutazione della situazione personale degli interessati; lettera c: nel controllo ampliato viene esaminata nel dettaglio la situazione finanziaria della persona sotto- posta al controllo. Perciò, possono essere acquisiti sistematicamente dati presso istituti finanziari e banche con i quali la persona interessata intrattiene relazioni d’affari; lettera d: l’audizione personale serve ad affrontare argomenti che non risultano o risultano solamente in modo poco chiaro dalle consultazioni dei registri. Il capoverso 3 disciplina l’acquisizione dei dati all’estero. I dati che secondo i capoversi 1 e 2 possono essere acquisiti in Svizzera, se necessario possono essere acquisiti anche all’estero. Il capoverso 4 chiede che per la valutazione del rischio per la sicurezza, i servizi specializzati CSP devono potersi basare su una quantità sufficiente di dati relativi a un periodo di tempo adeguato. Se questi requisiti non sono soddisfatti, non si può valutare se esiste un rischio per la sicurezza. Se necessario, la persona inte- ressata viene sentita anche secondo il capoverso 5. Ciò può, ad esempio, essere il caso se prima del controllo la persona interessata ha soggiornato per un lungo periodo in un Paese nel quale non è possibile acquisire dati o, comunque, non è possibile acquisire dati affidabili. L’espressione «periodo di tempo adeguato» è stata consapevolmente formulata in modo aperto. L’attuale normativa dell’articolo 19 capoverso 3 OCSP, in virtù della quale i servizi specializzati CSP devono disporre almeno di dati concernenti i cinque anni prece- denti l’avvio del controllo di base e i dieci anni precedenti l’avvio del controllo ampliato, è stata in parte giudicata sproporzionata e troppo assoluta. Sono perciò ipotizzabili due approcci di soluzione: o, nell’ambito delle sue disposizioni d’esecuzione sui CSP, il Consiglio federale precisa l’espressione «quantità sufficiente di dati relativi a un periodo di tempo adeguato», oppure l’interpretazione di questa espressione rimane a discrezione dei servizi specializzati CSP. Il capoverso 5 prevede che i servizi specializzati CSP possono sentire personalmente la persona da sottoporre al controllo indipendentemente dal livello di controllo se nell’ambito dell’acquisizione dei dati vengono sco- perte circostanze rilevanti in materia di sicurezza. Una simile audizione può avere luogo anche se ai sensi del capoverso 4 il servizio specializzato CSP non ha potuto acquisire una quantità sufficiente di dati relativi a un periodo di tempo adeguato. Questa audizione personale non va confusa con l’audizione di cui al capoverso 2 lettera d. Quest’ultima può essere eseguita senza indizi di un rischio per la sicurezza e non è limitata quanto alla sua portata. Per il chiarimento di particolari circostanze rilevanti o per ottenere dati supplementari su un periodo di tempo più lungo il servizio specializzato CSP può anche sentire terzi. Simili audizioni possono avvenire soltanto con il consenso della persona sottoposta al controllo e dei terzi interessati. Capoverso 6: succede che i dati necessari per la valutazione del rischio non riguardino soltanto le persone sottoposte al controllo, bensì anche terzi. Ciò può, ad esempio, essere il caso degli estratti conto bancari di una persona sposata. Il capoverso 6 prevede perciò che anche questi dati personali devono poter essere tratta- ti, sempre che siano indivisibilmente connessi con i dati sulla persona sottoposta al controllo e indispensabili per la valutazione del rischio. L’onere connesso ogni volta con l’ottenimento del consenso della persona terza al trattamento dei dati sarebbe sproporzionatamente elevato per i servizi specializzati CSP. Per ragioni di trasparenza, i servizi specializzati CSP devono dunque informare questi terzi sul trattamento dei dati. Se l’informazione non è possibile o lo è solamente con un onere sproporzionato, si applica l’articolo 18a capo- verso 4 lett. b LPD.
Art. 40 Il concorso di autorità alla procedura deve continuare a essere fornito gratuitamente (cpv. 1). I terzi, ad esempio banche o istituti di credito, ai quali si ricorre affinché collaborino, devono essere indennizzati se l’onere così causato è considerevole. Un siffatto onere diventa considerevole in particolare se va oltre l’allestimento di estratti conto e simili e richiede ricerche particolarmente intense da parte dei terzi interpella- ti. Il Consiglio federale disciplinerà i presupposti e l’ammontare di simili indennizzi nelle disposizioni d’esecuzione.
Art. 41 Capoverso 1: una procedura di controllo già avviata viene abbandonata se la persona da sottoporre al control- lo nel corso della procedura revoca il suo consenso o rifiuta di collaborare, oppure se per un altro motivo
58
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
essa non entra più in considerazione per la funzione cui mirava o il mandato in questione (p. es. insolvenza della ditta per la quale la persona da sottoporre al controllo avrebbe dovuto operare). Il capoverso 2 prevede che sia la persona da sottoporre al controllo sia il servizio che ha avviato la procedura vengano informati dell’abbandono della procedura. La persona interessata è di conseguenza considerata «non controllata» e non può esercitare la pertinente attività sensibile sotto il profilo della sicurezza o non può as- sumere la relativa funzione. Il capoverso 3 stabilisce che dopo l’abbandono della procedura di controllo i dati e i documenti già acquisiti dal servizio specializzato CSP siano distrutti. Vengono distrutti i dati acquisiti, ma non la dichiarazione di abbandono e il verbale di distruzione. Né l’una né l’altro possono però contenere dati che potrebbero essere svantaggiosi per la persona interessata. Le disposizioni d’esecuzione del Consiglio federale disciplineranno la durata di conservazione della dichiarazione di abbandono e del verbale di distruzione.
Art. 42 In passato è stato da più parti criticato il fatto che la normativa vigente della LMSI non menziona esplicita- mente che cosa va considerato come rischio per la sicurezza. Perciò ora sarà inserita una corrispondente norma che renda, per analogia, il senso della giurisprudenza del Tribunale amministrativo federale e del Tri- bunale federale. Rimane inteso che non vi è alcun metodo di valutazione puramente quantitativo quando si tratta di stimare il rischio in relazione alle azioni o alle omissioni umane. Si applica perciò un metodo quali- tativo con il quale vengono valutati la presenza e il concorso di fattori di rischio. Capoverso 1: il rischio è, nella dottrina, il prodotto della probabilità che si verifichi un evento e delle riper- cussioni di tale evento. L’espressione «attività sensibile sotto il profilo della sicurezza», determinante per l’assoggettamento al CSP, contiene nella sua definizione le ripercussioni delle quali va impedito il verificar- si. Si tratta di un «notevole o grave pregiudizio per gli interessi di cui all’articolo 1 capoverso 2». Se la per- sona da sottoporre al controllo adempie in maniera appropriata e conforme alle prescrizioni i compiti che le vanno assegnati, il danno non può allora verificarsi per causa sua. L’evento da evitare è dunque e contrario l’esercizio non conforme alle prescrizioni o non appropriato, da parte della persona interessata, dell’attività sensibile sotto il profilo della sicurezza. Un rischio per la sicurezza deve quindi venire presunto nel senso della presente legge se è elevata la probabilità che la persona sottoposta al controllo eserciterà l’attività sen- sibile sotto il profilo della sicurezza in maniera contraria alle prescrizioni o non appropriato e che così pre- giudicherà almeno considerevolmente gli interessi di cui all’articolo 1 capoverso 2. Il capoverso 2 statuisce chiaramente che i servizi specializzati CSP si focalizzano in primo luogo sulla pro- babilità che si verifichi l’evento. Nella valutazione di una simile probabilità si tratterà inevitabilmente sem- pre di una previsione associata a incertezze. La base per questa previsione è costituita dalla totalità di tutte le circostanze, ad esempio la personalità della persona interessata, la sua vita anteriore e le sue condizioni di vita, sempre che da esse sia possibile dedurre il suo futuro comportamento. Nel capoverso 2 vengono perciò resi concreti i fattori di rischio che portano a supporre un’elevata probabilità di un pregiudizio, in quanto vi sono definite caratteristiche personali che sono particolarmente ad alto rischio. L’enumerazione si rifà dal profilo materiale all’attuale prassi dei servizi specializzati CSP, nonché alla giurisprudenza del Tribunale amministrativo federale e del Tribunale federale. Anche se le definizioni mirano, in linea di massima, a caratteristiche accertabili nella maniera più obiettiva possibile, sovente queste possono essere dedotte solamente da indizi o dal contesto e in parte si sovrappon- gono. Con integrità e affidabilità si mira primariamente al carattere, alle abitudini e alle relazioni di una per- sona con il suo ambiente. Queste caratteristiche sono i requisiti di idoneità per antonomasia nell’esercizio di un’attività sensibile sotto il profilo della sicurezza. In presenza di queste caratteristiche, si può essere certi con elevata probabilità che la persona alla quale è stata affidata una simile attività è leale rispetto al suo compito e tutela gli interessi in materia di sicurezza del datore di lavoro o dell’istituzione. Quali tra gli indizi e i nessi dimostrano la mancanza di affidabilità di una persona, la sua presunta ricattabilità o la sua pregiudi- cata capacità di valutare e di decidere, non può essere specificato al livello della legge, bensì deve, in ultima analisi, essere accertato e illustrato in ogni singola valutazione. Il capoverso 3 chiarisce che può esserci un rischio per la sicurezza anche senza una colpa della persona inte- ressata. Il CSP è una misura preventiva per proteggere interessi pubblici preponderanti da reati dall’interno, commessi intenzionalmente o per negligenza, fondata su una minaccia obiettiva e non su un comportamento colpevole. Ciò contrariamente, ad esempio, al diritto penale, nel quale la colpa è sempre il presupposto per una pena. Diversamente che nel diritto penale (in dubio pro reo), nel dubbio la sicurezza dello Stato o l’interesse del Paese prevalgono quindi sugli interessi della persona in questione. Si stabilisce altresì che la presunzione di un rischio per la sicurezza deve essere fondata su fatti e circostanze effettive riguardo alla
59
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
persona da sottoporre al controllo. Non sono ammesse pure congetture, in particolare se riguardano l’orientamento politico della persona da sottoporre al controllo. Il capoverso 4 deve infine assicurare l’autonomia dei servizi specializzati CSP per la valutazione del rischio per la sicurezza. Il CSP non può essere utilizzato abusivamente per intrighi politici.
Art. 43 Il capoverso 1 disciplina le varie dichiarazioni dei servizi specializzati CSP nelle quali viene registrato il risultato della valutazione: lettera a: se il servizio specializzato CSP giunge alla conclusione che la persona sottoposta al controllo non presenta rischi per quanto riguarda l’attività sensibile sotto il profilo della sicurezza, rilascia una di- chiarazione di sicurezza; lettera b: se il servizio specializzato CSP accerta che nell’esercizio dell’attività sensibile sotto il profilo della sicurezza da una persona sottoposta al controllo derivano taluni rischi per la sicurezza e che questi però possono essere ridotti imponendo determinate condizioni, rilascia una dichiarazione di sicurezza con riserva e raccomanda al servizio competente per l’attribuzione pertinenti condizioni; lettera c: se giunge alla conclusione che l’esercizio dell’attività sensibile sotto il profilo della sicurezza da parte la persona sottoposta al controllo costituisce un rischio, il servizio specializzato CSP rilascia una di- chiarazione di rischio; lettera d: se a motivo dell’insufficienza dei dati acquisti di cui all’articolo 39 capoverso 4 una persona non può essere valutata secondo le norme, il servizio specializzato CSP rilascia una dichiarazione di constata- zione. Capoverso 3: sebbene, di per sé, il diritto formale di essere sentiti non si applichi senza problemi nel caso di un atto materiale (si veda l’art. 51 cpv. 3), il capoverso 3 è inteso a garantire che la persona interessata possa tutelare adeguatamente i propri interessi già a questo stadio della procedura. La disposizione prevede perciò che prima del rilascio delle dichiarazioni di cui alle lettere b-d, alla persona sottoposta al controllo debba essere data l’opportunità di esprimersi al riguardo. Di fatto, ciò significa che, in presenza di una bozza di dichiarazione di cui alle lettere b-d, la persona interessata va informata in modo adeguato sul contenuto e le va concesso un termine adeguato per esprimersi al riguardo.
Art. 44 Conformemente al capoverso 1, la dichiarazione deve essere comunicata per scritto alla persona controllata e al servizio competente per l’attribuzione dell’attività sensibile sotto il profilo della sicurezza. Anche se la dichiarazione non costituisce una decisione ai sensi dell’articolo 5 PA (si veda l’art. 51 cpv. 3), la persona interessata deve avere la possibilità di prendere atto dei risultati della valutazione ed eventualmente chiedere che venga emanata una decisione. Questo capoverso corrisponde sostanzialmente al diritto vigente (art. 21 cpv. 2-4 LMSI). Il capoverso 2 stabilisce che, nel caso delle persone che vanno nominate dal Consiglio federale, la comunica- zione della valutazione deve essere fatta al dipartimento proponente. Il capoverso 3 disciplina il caso in cui viene avviato un CSP, ma la persona interessata è soggetta a un con- trollo anche in relazione con un’altra attività di cui alle lettere a-c (p. es. secondo l’articolo 20b LPers). In questo caso il servizio specializzato CSP deve potere informare il rispettivo servizio competente per l’attribuzione in merito al risultato del controllo principale. Il disciplinamento dell’esame dell’affidabilità di cui all’articolo 20b LPers, nonché di cui all’articolo 14 LM, esige che le due procedure vengano riunite se, in virtù della presente legge, una persona deve parimenti essere sottoposta a un CSP. Il capoverso 4 consente ai servizi specializzati CSP, in caso di militari potenzialmente violenti, di informare in merito al risultato della loro valutazione il servizio competente in virtù dell’articolo 113 LM per la cessio- ne o il ritiro dell’arma militare personale. Se, nell’ambito di un controllo, il servizio specializzato CSP con- stata che la persona interessata, che è soggetta all’obbligo di prestare servizio militare, presenta un elevato potenziale di violenza, deve informare le autorità militari affinché queste possano decidere in merito al ritiro dell’arma militare.
Art. 45 L’articolo 45 prevede che, nel caso di una fondata riserva riguardo alla sicurezza e di urgenza, nell’ottica della prevenzione dai pericoli i servizi specializzati CSP possono informare in merito alle loro constatazioni i competenti servizi di cui all’articolo 44 già prima che la procedura sia conclusa. In seguito a ciò, il servizio competente può adottare misure di sicurezza preventive, il che corrisponde al vigente articolo 20 OCSP.
60
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Art. 46 Il capoverso 1 stabilisce che il servizio competente per l’attribuzione dell’attività o funzione sensibile sotto il profilo della sicurezza (servizio competente per l’attribuzione) non è vincolato alla dichiarazione del servizio specializzato CSP. Ciò corrisponde all’attuale articolo 21 capoverso 4 LMSI. Non spetta ai servizi specializ- zati CSP adottare o limitare la responsabilità della linea gerarchica per decisioni in materia di personale, bensì unicamente informare l’autorità che decide in merito al rischio connesso con l’attribuzione di un’attività sensibile sotto il profilo della sicurezza a una determinata persona. Capoverso 2: prima della sua decisione, il servizio competente per l’attribuzione deve però prendere cono- scenza della dichiarazione del servizio specializzato CSP, poiché soltanto allora può decidere tenendo conto degli eventuali rischi. Il capoverso 3 autorizza il servizio competente per l’attribuzione, in particolare sulla base delle raccomanda- zioni del servizio specializzato CSP, a imporre condizioni per l’esercizio dell’attività sensibile sotto il profilo della sicurezza. Queste condizioni rappresentano misure atte a ridurre i rischi che per lo più riguardano il diritto in materia di personale. Il servizio competente per l’attribuzione può, ad esempio, esigere che la per- sona interessata renda nota periodicamente la sua situazione finanziaria o si sottoponga a un test antidroga ecc. Importante in questo contesto è la precisazione che queste condizioni devono orientarsi esclusivamente all’esercizio dell’attività sensibile sotto il profilo della sicurezza e non possono riferirsi all’esercizio di altri compiti. Se, ad esempio, il servizio competente per l’attribuzione decide che la persona interessata non può esercitare l’attività sensibile sotto il profilo della sicurezza, ma sarà impiegata per altri compiti non rilevanti sotto il profilo della sicurezza, allora non si può più stabilire alcuna condizione. Per lo più, le condizioni più idonee vengono raccomandate dal servizio specializzato CSP. Il servizio competente per l’attribuzione non è però vincolato a queste condizioni e può stabilire autonomamente le condizioni. Se tuttavia il servizio com- petente si scosta dalle condizioni raccomandate, allora deve informare per scritto il servizio specializzato CSP (si veda l’art. 47 lett. b).
Art. 47 Questo articolo statuisce un obbligo di comunicazione del servizio competente per l’attribuzione. Se prende una decisione, che si discosta dalla valutazione del servizio specializzato CSP, deve darne comunicazione a quest’ultimo. La comunicazione può avere luogo mediante un’annotazione nel sistema d’informazione per i CSP di cui agli articoli 52-54. Si tratta, per il servizio specializzato CSP, di mantenere la visione d’insieme sulla prassi dei servizi competenti per l’attribuzione e di trarne i necessari insegnamenti.
Art. 48 Se alla persona da sottoporre al controllo è già stata rilasciata una dichiarazione ancora valida ed equivalente, per motivi di economia procedurale non deve, per quanto possibile, essere eseguita una nuova procedura di controllo. L’articolo 48 prevede perciò che in questo caso vi si può rinunciare. Di regola, nella prassi questa normativa non rappresenta alcun problema se è stata rilasciata una dichiarazione di sicurezza per lo stesso livello di controllo o uno superiore. Problemi possono però risultare, ad esempio, se per un livello di control- lo superiore a una determinata persona è stata rilasciata una dichiarazione di sicurezza con riserva o una di- chiarazione di rischio. È infatti assolutamente possibile che per il trattamento di informazioni classificate «SEGRETO» sussista un rischio per la sicurezza, che però questo rischio sia sostenibile se riferito al tratta- mento di informazioni classificate «CONFIDENZIALE». Il Consiglio federale dovrà rendere concreta questa prescrizione potestativa a livello di ordinanza.
Art. 49 Le autorità di sicurezza estere accordano esclusivamente a persone che sono state sottoposte al CSP l’accesso a informazioni classificate, a materiale classificato o a zone di protezione e zone di sicurezza. L’autorità svizzera competente può rilasciare l’attestazione di sicurezza relativa alle persone necessaria in siffatti casi esclusivamente alle persone che hanno ricevuto una dichiarazione di sicurezza.
Art. 50 Il capoverso 1 disciplina l’ordinaria ripetizione del CSP. Nella legge si rinuncia a prescrivere intervalli fissi per la ripetizione. Essa fissa unicamente principi generali per la ripetizione del controllo. Il motivo è che in futuro la ripetizione dovrà avvenire sempre più in conformità con l’effettiva esigenza di sicurezza. Il Consi- glio federale dovrebbe disciplinare in dettaglio le ripetizioni nelle sue disposizioni d’esecuzione. Ovviamente potrà però anche lasciare tale competenza alle autorità e alle organizzazioni assoggettate e non prescrivere nulla.
61
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Il capoverso 2 conferisce sia al servizio che chiede l’avvio della procedura sia al servizio competente per l’attribuzione la possibilità di predisporre una ripetizione del CSP al di fuori dei cicli di ripetizione legali. Il motivo di una simile ripetizione anticipata è l’insorgere di nuovi rischi inerenti alla persona interessata, ad esempio l’apertura di un procedimento penale contro di essa che presenta un rapporto con l’attività sensibile sotto il profilo della sicurezza. Questa norma corrisponde alla disposizione d’esecuzione vigente (si veda l’art. 18 cpv. 2 OCSP). Nell’ambito della sua competenza a emanare diritto completivo sulla procedura dei CSP (si veda l’art. 55), il Consiglio federale dovrà anche decidere se vuole introdurre ulteriori ripetizioni anticipate del controllo. Un controllo successivo potrebbe, ad esempio nel caso di dichiarazioni di sicurezza con riserva, essere utile per esaminare l’efficacia delle condizioni imposte.
Art. 51 I capoversi 1 e 2 disciplinano la possibilità della persona controllata di consultare i documenti del controllo e di esigere la rettifica dei dati errati. Nonostante l’adeguamento della formulazione, la normativa corrisponde al diritto vigente (si veda l’art. 21 cpv. 2 LMSI). Capoverso 3: secondo il diritto vigente, le dichiarazioni dei servizi specializzati CSP vengono emanate sotto forma di decisione (si veda l’art. 20 cpv. 3 LMSI e l’art. 22 OCSP). Tuttavia, qualificare come decisioni le dichiarazioni è giuridicamente sbagliato, poiché esse hanno solamente carattere di raccomandazione (si veda l’art. 21 cpv. 4 LMSI, nonché l’art. 46 cpv. 1 LSIn). I diritti delle persone controllate vengono toccati soltan- to se i servizi competenti per l’attribuzione in seguito non attribuiscono la funzione o l’incarico. Le dichiara- zioni corrispondono giuridicamente piuttosto al risultato di un assessment che le autorità e le organizzazioni sovente fanno eseguire prima di assumere persone chiave. Anche la valutazione da parte degli addetti agli assessment non viene comunicata sotto forma di decisione impugnabile perché il datore di lavoro può deci- dere liberamente. Le dichiarazioni dei servizi specializzati CSP rappresentano atti materiali ai sensi dell’articolo 25a PA. Per la presente situazione ciò significa che, entro 30 giorni dal ricevimento della di- chiarazione, la persona interessata può richiedere una decisione impugnabile al servizio specializzato CSP. L’ulteriore iter procedurale si fonda sulla PA. La normativa prevista ridurrà l’onere per il CSP delle persone soggette all’obbligo di leva nell’ambito del reclutamento militare. I servizi specializzati CSP potranno sem- plicemente comunicare i risultati della valutazione alle persone soggette all’obbligo di leva e soltanto in caso di contestazione delle stesse, emanare una decisione completa.
Art. 52 L’articolo 52 corrisponde sostanzialmente al diritto vigente (si vedano gli art. 144-149 LSIM). Il capoverso 1 stabilisce che i servizi specializzati CSP devono impiegare un sistema d’informazione per l’esecuzione e la gestione dei CSP. Capoverso 2: ciascun servizio specializzato CSP è responsabile del trattamento dei dati conforme al diritto. Capoverso 3: tra questi dati possono anche esserci dati personali degni di particolare protezione e profili della personalità (art. 3 lett. c e d LPD). Il capoverso 4 enumera i dati che vengono trattati nel sistema d’informazione. Capoverso 5: i dati che vengono trattati al di fuori del sistema d’informazione devono esservi menzionati. Si tratta in particolare di documenti cartacei e di registrazioni audio nell’ambito delle audizioni.
Art. 53 L’articolo 53 corrisponde sostanzialmente al diritto vigente (si vedano gli art. 144-149 LSIM). Capoverso 1: procedura di richiamo lettera a: i servizi specializzati CSP hanno accesso a tutti i dati per i quali sono competenti; lettera b: i servizi che chiedono l’avvio del controllo ottengono soltanto l’accesso a quei dati che essi stes- si hanno acquisito in occasione dell’avvio, nonché al risultato del CSP; la lettera c stabilisce a quali dati hanno accesso i servizi competenti per l’attribuzione; la lettera d disciplina a quali dati hanno accesso gli incaricati della sicurezza delle informazioni per l’adempimento dei loro compiti di controllo; lettera e: le organizzazioni della Confederazione e dei Cantoni presso i quali sono acquisiti dati hanno accesso soltanto a dati sull’identità delle persone da sottoporre al controllo o controllate. Esse necessitano di questi dati per sapere su quale persona devono eseguire ricerche supplementari e fornire dati. Capoverso 2: interfacce
62
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
la lettera a disciplina a quali dati ha accesso il servizio specializzato per la sicurezza aziendale; lettera b: affinché (come finora) lo Stato maggiore dell’esercito possa trattare efficacemente le richieste di visite all’estero con accesso a informazioni classificate, i dati di cui all’articolo 52 capoverso 4 lettere a e d devono venire trasferiti attraverso un’interfaccia nel sistema d’informazione per le richieste di visita; la lettera c numeri 1-3 disciplina a quali dati lo Stato maggiore di condotta dell’esercito ha accesso per il controllo dell’accesso alle zone di sicurezza, per l’adempimento dei suoi compiti legali in relazione al Si- stema di gestione del personale dell’esercito e per l’esecuzione del reclutamento delle persone soggette all’obbligo di leva e del personale previsto per il promovimento della pace. Capoverso 3: ulteriori organizzazioni della Confederazione (in particolare fornitori di prestazioni TIC) ne- cessitano dei risultati del CSP per controllare l’accesso a zone di sicurezza. Capoverso 4: i servizi specializzati CSP comunicano alle autorità e alle organizzazioni assoggettate elenchi e statistiche solamente se esse ne hanno bisogno per l’adempimento dei loro compiti di controllo secondo la presente legge. Siffatti elenchi vengono dunque consegnati soltanto in caso di corrispondente necessità. La comunicazione di simili elenchi avviene al di fuori del sistema d’informazione di cui all’articolo 52.
Art. 54 L’articolo 54 corrisponde sostanzialmente al diritto vigente (si vedano gli art. 144-149 LSIM, nonché l’OCSP). Il capoverso 1 costituisce il fondamento giuridico per la registrazione audio delle audizioni. Capoverso 2: la durata di conservazione dei dati non deve superare dieci anni. Qualora una persona sia già stata sottoposta a più controlli, vanno cancellati i dati riguardanti controlli che risalgono a oltre dieci anni prima. Il capoverso 3 disciplina la distruzione di dati di una persona già controllata che non ha dato seguito alla sua assunzione (si veda anche l’art. 41). Capoverso 5: i dati che vengono trattati al di fuori del sistema d’informazione (si veda l’art. 52 cpv. 5), de- vono essere conservati e distrutti conformemente ai capoversi 2 e 3. Quando si distruggono questi dati vanno nel contempo cancellate le menzioni nel sistema. Capoverso 6: se dei documenti vanno archiviati secondo le prescrizioni in materia di archiviazione, non pos- sono essere distrutti.
Art. 55 Nell’articolo 55 vengono indicati quei settori nei quali il Consiglio federale deve emanare normative comple- tive o suppletive. Non si tratta dunque semplicemente di disposizioni d’esecuzione, per le quali il Consiglio federale è senz’altro competente sulla base dell’articolo 182 Cost. Lettere a-b: riguardo all’organizzazione va osservato che oggi vi sono due servizi specializzati CSP. Uno è aggregato alla Cancelleria federale e controlla all’attenzione del Consiglio federale i quadri superiori e gli impiegati dell’altro servizio specializzato CSP. Attualmente esegue perciò esclusivamente CSP am- pliati con audizione. L’altro servizio specializzato CSP, nel DDPS, è aggregato alla Protezione delle in- formazioni e delle opere, in seno allo Stato maggiore dell’esercito, ed esegue la stragrande maggioranza dei controlli. La lettera b lascia la possibilità di più servizi specializzati, consentendo però al Consiglio federale di scegliere se mantenere questa organizzazione. Lettere c-d: in applicazione dell’articolo 16 capoverso 2 LPD, il Consiglio federale deve emanare norma- tive completive sulla protezione dei dati nell’ambito del CSP. Ne sono interessati in particolare l’organizzazione delle competenze e delle responsabilità per la protezione dei dati (incl. la sicurezza dei dati) in relazione con il sistema d’informazione di cui all’articolo 52, nonché il controllo indipendente pe- riodico della legalità del trattamento dei dati. 2.1.4 Procedura di sicurezza relativa alle aziende
Art. 56 In merito allo scopo della PSA, si veda il numero 1.2.5.
Art. 57 Capoverso 1: quale «azienda» ai sensi della legge non si considera necessariamente l’intera impresa. Ne sono interessati piuttosto solamente quelle parti e persone dell’impresa alle quali è effettivamente affidato il mandato sensibile sotto il profilo della sicurezza.
63
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
La lettera a menziona il caso di applicazione principale: l’intenzione di un’autorità o di un’organizzazione assoggettata di conferire un mandato sensibile sotto il profilo della sicurezza di cui all’articolo 56 a un’impresa che vi si candida. La PSA costituisce, in linea di principio, una questione nazionale. Perciò, le aziende con sede all’estero che vogliono candidarsi per un mandato sensibile sotto il profilo della sicurez- za della Svizzera, devono farsi controllare da parte dello Stato nel quale si trova la loro sede. Le compe- tenze e le modalità di controllo sono parte integrante dei pertinenti trattati internazionali di cui all’articolo 90. In siffatti casi viene richiesta alle autorità di sicurezza estere mediante una cosiddetta «Facility Secu- rity Clearance Information Sheet» la prova di una dichiarazione di sicurezza aziendale (DSA) del manda- tario o, qualora l’azienda in questione non fosse stata ancora controllata, l’avvio della procedura di con- trollo. Il capoverso 1 lettera b considera il caso di aziende con sede in Svizzera che vogliono candidarsi per un mandato dall’estero e devono presentare alle autorità del Paese interessato una dichiarazione di sicurezza delle autorità dello Stato in cui si trova la loro sede. Questa procedura e la certificazione ivi connessa rap- presentano un’attività ufficiale che non può essere attribuita all’economia privata perché le autorità estere esigono, senza eccezioni, un «sigillo di sicurezza» ufficiale dello Stato in cui ha sede l’azienda. Il capoverso 2 rileva che, in ogni caso, una PSA può essere eseguita soltanto con il consenso dell’azienda interessata. In pratica, il necessario consenso dell’azienda per l’esecuzione della PSA non rappresenta tutta- via mai un problema perché le aziende hanno un interesse finanziario al conferimento del mandato. Capoverso 3: nel caso d’applicazione del capoverso 1 lettera b, la Confederazione non ha alcun interesse proprio diretto all’esecuzione della procedura. Il Consiglio federale disciplinerà la questione dei costi a livel- lo di ordinanza.
Art. 58 Capoverso 1: la PSA viene eseguita solamente se vengono soddisfatti determinati criteri e presupposti (p. es. il consenso). Se nel corso della PSA l’azienda non soddisfa più questi criteri, la procedura viene abbandona- ta. Secondo la lettera d, ciò può anche avvenire se l’azienda, nel caso del proprio fallimento o della distru- zione dello stabilimento in seguito a un incendio, non è assolutamente più in grado di adempiere il mandato. Il capoverso 2 prescrive che, dopo l’abbandono della procedura, vanno distrutti tutti i dati e i documenti con- nessi con essa.
Art. 59 Il capoverso 1 stabilisce in primo luogo che le PSA vengano eseguite da un «servizio specializzato per la sicurezza aziendale» (servizio specializzato SA). In seno alla Confederazione (come finora) un unico servi- zio deve dunque occuparsi di questa procedura. Il servizio specializzato SA si attiva soltanto su domanda (e non su mandato) di un’autorità o di un’organizzazione assoggettata. Queste ultime sono però tenute a presen- tare una domanda in tal senso se vogliono conferire a un’azienda un mandato sensibile sotto il profilo della sicurezza. Capoverso 2: nel loro ambito di competenza, le autorità assoggettate devono stabilire chi presenta la doman- da di avvio della procedura. A seconda delle loro necessità organizzative, può trattarsi di un servizio centrale o di qualsiasi servizio che dispone della competenza di conferire mandati sensibili sotto il profilo della sicu- rezza a imprese dell’economia privata. Il capoverso 3 disciplina la competenza nel caso di un mandato sensibile sotto il profilo della sicurezza di un’autorità estera o internazionale. Di regola, la procedura viene avviata mediante una domanda da parte dell’autorità di sicurezza estera (Facility Security Clearance Information Sheet, FSCIS) alle autorità di sicu- rezza e una conferma dell’azienda interessata. Alla domanda si risponde secondo una procedura standardiz- zata i cui dettagli vanno disciplinati mediante ordinanza.
Art. 60 Capoverso 1: una volta giunta la domanda di esecuzione della PSA, il servizio specializzato SA esamina dapprima se vi sono i presupposti per l’avvio della procedura (p. es. presenza di un mandato sensibile sotto il profilo della sicurezza) e se del caso avvia la PSA. Capoverso 2: se, nel caso concreto, i rischi per la sicurezza delle informazioni possono essere ridotti al mi- nimo mediante altre misure, il servizio specializzato SA, per motivi di economia amministrativa, può rinun- ciare all’esecuzione della PSA. Se, ad esempio, il mandato viene svolto sotto la vigilanza del servizio che conferisce il mandato nei suoi locali e al mandatario (azienda) non viene consegnata alcuna documentazione, bastano ad esempio, eventualmente, i corrispondenti CSP. Se il servizio specializzato SA rinuncia a eseguire
64
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
la PSA, allora raccomanda anche le misure di sicurezza che reputa opportune. In questo caso il servizio spe- cializzato SA non dispone più di alcuna competenza di attuazione.
Art. 61 Dopo l’avvio della procedura, il servizio specializzato SA si mette in contatto con il servizio che conferisce il mandato (mandante) e discute i dettagli del mandato. D’intesa con il mandante, definisce i requisiti in mate- ria di sicurezza delle informazioni per l’adempimento del mandato. Sempre che l’esercizio di un’attività sensibile sotto il profilo della sicurezza sia necessario già nell’ambito della procedura di aggiudicazione, anche per questa fase vengono stabiliti i requisiti. In particolare, ciò si verifica periodicamente se per l’allestimento di un’offerta durante la procedura di aggiudicazione è necessario conoscere informazioni clas- sificate.
Art. 62 La nozione di «idoneità» va intesa nel senso della sistematica del diritto in materia di appalti pubblici. Anche se la garanzia della sicurezza delle informazioni non rappresenta un esplicito criterio di idoneità di cui all’articolo 9 LAPub, il presente avamprogetto lo introduce però per l’esecuzione di mandati sensibili sotto il profilo della sicurezza. Capoverso 1: il mandante deve comunicare al servizio specializzato SA tutte le aziende che entrano in consi- derazione per l’aggiudicazione del mandato. Capoverso 2: il servizio specializzato SA valuta quindi se tali aziende sono idonee per l’esecuzione del man- dato sensibile sotto il profilo della sicurezza oppure se con il conferimento del mandato a una determinata azienda o a determinate aziende si crea un rischio per la sicurezza di cui all’articolo 64. Se sussiste un rischio per la sicurezza in relazione a un offerente/fornitore, questi non è quindi idoneo sotto il profilo della sicurez- za delle informazioni. Capoverso 3: il servizio specializzato SA non deve essere vincolato a istruzioni per valutare l’idoneità. Qui si tratta di eseguire la valutazione senza farsi condizionare da interessi di politica economica (si veda anche l’art. 42 cpv. 4 per il CSP).
Art. 63 L’articolo 63 costituisce la base legale formale per l’acquisizione dei dati in vista della valutazione dell’idoneità delle aziende sotto il profilo della sicurezza di cui all’articolo 62 capoverso 2. Il capoverso 1 elenca quali dati può rilevare il servizio specializzato SA per la valutazione dell’idoneità. Le modalità per simili domande e le informazioni che vengono fornite di conseguenza vanno disciplinate a livel- lo di ordinanza. Secondo la lettera a, sostanzialmente i dati necessari vengono acquisiti presso l’azienda stessa con il suo consenso (si veda anche l’art. 57); la lettera b costituisce la base legale formale per ulteriori informazioni che il servizio specializzato SA richiede al Servizio delle attività informative della Confederazione; la lettera c consente al servizio specializzato SA, se necessario, di acquisire dati sulla ditta dal regi- stro di commercio o da Internet. Simili ricerche possono fornire importanti indicazioni sull’affidabilità della ditta (si veda l’art. 39 cpv. 1 lett. g per il CSP). Capoverso 2: il servizio specializzato SA, ad esempio, sfrutterà questa possibilità se ditte estere si candide- ranno presso le autorità federali per un mandato sensibile sotto il profilo della sicurezza.
Art. 64 Questa disposizione è simmetrica all’articolo 42 (valutazione del rischio per la sicurezza nella CSP). I mec- canismi di valutazione del rischio sono, in linea di massima, identici. Secondo il capoverso 1 sussiste un rischio per la sicurezza quando vi sono indizi concreti che l’azienda con elevata probabilità eserciterà l’attività sensibile in materia di sicurezza in maniera contraria alle prescrizioni o non appropriata. Il capoverso 2 elenca in seguito i tre più importanti motivi per un’elevata probabilità che il mandato venga eseguito in maniera contraria alle prescrizioni o non appropriata. Lettera a: ciò può, ad esempio, essere il caso se i dati acquisiti mostrano che l’azienda ha commesso reati che sono rilevanti per la sicurezza delle informazioni; lettera b: con questa disposizione si intende impedire il trasferimento di informazioni sensibili sotto il profilo della sicurezza alle aziende che per i loro rapporti di proprietà, le loro strutture organizzati-
65
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
ve o le loro relazioni d’affari, vengono ad esempio dirette da servizi informazioni esteri o da orga- nizzazioni di stampo criminale; lettera c: se l’azienda è costituita da una singola persona sussiste (ditta individuale) o se per l’adempimento del mandato sono indispensabili determinate persone (p. es. perché queste persone sono esperti che non possono essere sostituiti o perché dirigono l’azienda e il mandato non può esse- re eseguito senza il loro impiego), il rilascio di una dichiarazione di rischio nell’ambito del CSP può avere quale conseguenza per queste persone che l’azienda nella sua totalità debba essere valutata come un rischio per la sicurezza. Il capoverso 3 rileva che il rischio menzionato deve essere motivato dalle circostanze effettive dell’azienda interessata. In tale contesto, è irrilevante se all’azienda stessa o ai suoi collaboratori è imputabile una qualsi- voglia colpa, ad esempio se la ditta cui appartiene l’azienda è diretta da persone legate a servizi informazioni o alla criminalità.
Art. 65 Capoverso 1: il servizio specializzato SA notifica all’azienda interessata la propria valutazione quanto all’idoneità. Se essa non è d’accordo con la valutazione del rischio, può presentare ricorso contro questa de- cisione dinanzi al Tribunale amministrativo federale (art. 76 cpv. 3). Il mandante può continuare la procedura di aggiudicazione o le sue trattative con tutte le aziende nelle quali non è riconoscibile alcun rischio per la sicurezza. Esso non è autorizzato a presentare ricorso e perciò viene solamente informato sulla valutazione. Capoverso 2: se il servizio specializzato SA riconosce rischi per la sicurezza in relazione a un’azienda o più aziende, il mandante non può invece né aggiudicare il mandato a quell’azienda (o a quelle aziende), né stipu- lare il contratto con una simile azienda (o con simili aziende). Esso esclude dalla procedura di aggiudicazio- ne l’azienda o le aziende in questione in quanto non idonee sotto il profilo della sicurezza. Il mandante è dunque vincolato alla valutazione del servizio specializzato SA. Il motivo consiste nel fatto che un’impresa o un’azienda alla quale viene rilasciata una dichiarazione di sicurezza aziendale, riceve un «sigillo di sicurez- za» statale. La salvaguardia dell’integrità di questo sigillo può essere assicurata soltanto se la decisione sull’idoneità viene presa da specialisti.
Art. 66 Capoverso 1: appena il mandante ha aggiudicato il mandato, informa il servizio specializzato SA, che avvia le ulteriori fasi della procedura. Capoverso 2: affinché sia garantita la necessaria sicurezza delle informazioni nell’azienda che deve esercita- re l’attività sensibile sotto il profilo della sicurezza, occorre adottare pertinenti misure organizzative, in mate- ria di personale, tecniche e fisiche. In un concetto in materia di sicurezza viene perciò stabilito come devono essere applicati i requisiti posti alla sicurezza delle informazioni già definiti dal servizio specializzato SA con il mandante dopo l’avvio della procedura (si veda l’art. 61). Capoverso 3: di regola, le aziende hanno già adottato misure di sicurezza nei più svariati ambiti che devono soltanto essere ancora verificate e, ove necessario, completate dal servizio specializzato SA. Tutte le misure necessarie, quelle già adottate e quelle necessarie in aggiunta, vengono sancite nel concetto di cui al capover- so 2. Il servizio specializzato acquisisce i dati necessari direttamente presso l’azienda.
Art. 67 Capoverso 1: per i collaboratori che devono esercitare un’attività sensibile sotto il profilo della sicurezza viene eseguito un CSP. Queste persone vengono controllate in virtù dell’articolo 34 capoverso 1 lettera b ed eventualmente lettera c o dell’articolo 34 capoverso 2. Il livello di controllo si fonda sull’articolo 35. Capoverso 2: il servizio specializzato SA decide successivamente al CSP, in modo vincolante, se alla perso- na sottoposta al controllo può essere affidata l’attività sensibile sotto il profilo della sicurezza.
Art. 68 Capoverso 1: appena l’azienda ha adottato le necessarie misure di sicurezza e ha così comprovatamente at- tuato il concetto in materia di sicurezza, il servizio specializzato SA le rilascia una dichiarazione di sicurezza aziendale (DSA). La DSA è una decisione secondo l’articolo 5 PA. Capoverso 2: se il concetto in materia di sicurezza non viene attuato dall’azienda, il che finora in pratica è successo soltanto assai di rado, non vengono soddisfatti i requisiti relativi alla sicurezza delle informazioni. Perciò, in siffatti casi, il servizio specializzato SA rifiuta di rilasciare la DSA e dispone l’abbandono della procedura. Prima di poter disporre il rifiuto di rilasciare la DSA, il servizio specializzato SA deve accordare un termine suppletorio all’azienda affinché possa ottemperare ai suoi obblighi.
66
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Capoverso 3: diversamente dalla dichiarazione di sicurezza nell’ambito del CSP, il rilascio o il mancato rila- scio della DSA costituisce una decisione perché espleta effetti giuridici diretti per i partecipanti (si veda l’art. 69 segg.). Se non è d’accordo con la decisione del servizio specializzato SA, l’azienda può presentare ricorso contro questa decisione dinanzi al Tribunale amministrativo federale (art. 76 cpv. 1). La decisione viene co- municata anche al mandante, perché non può più affidare un’attività sensibile sotto il profilo della sicurezza all’azienda alla quale è stata rifiutata la DSA (art. 69). A quel momento il mandante ha probabilmente inve- stito già molto denaro nel progetto e in questo caso, contrariamente all’articolo 65 capoverso 1, anch’esso ha dunque diritto di presentare ricorso. Capoverso 4: limitando a cinque anni la durata di validità della DSA si intende garantire che si proceda pe- riodicamente a una nuova valutazione dell’idoneità sotto il profilo della sicurezza di cui all’articolo 62 segg.. Grazie a essa sarà possibile tenere conto delle modifiche fondamentali nell’azienda che influiscono sulla sicurezza delle informazioni.
Art. 69 Il mandante è vincolato alla decisione del servizio specializzato SA. Esso non può più affidare un’attività sensibile sotto il profilo della sicurezza all’azienda alla quale è stata rifiutata la DSA (si veda l’art. 68 cpv. 3). Viceversa, le aziende con una DSA valida sono autorizzate a eseguire mandati sensibili sotto il profilo della sicurezza se è stato aggiudicato loro il pertinente mandato e il contratto si concretizza. La DSA deve essere rilasciata prima che il mandante faccia eseguire il mandato all’azienda. Questa norma corrisponde al principio dell’articolo 38 capoverso 3 nell’ambito del CSP.
Art. 70 Capoverso 1: le aziende titolari di una DSA sono tenute a cooperare e collaborare. Il loro obbligo più impor- tante consiste nell’applicare in permanenza le misure del concetto in materia di sicurezza. Secondo il capoverso 2, queste aziende devono inoltre annunciare al servizio specializzato SA tutti i cam- biamenti fondamentali per la salvaguardia della sicurezza delle informazioni nell’adempimento del mandato sensibile sotto il profilo della sicurezza. Ad esempio, vanno annunciati nuovi collaboratori ai quali deve esse- re affidato l’esercizio di attività sensibili sotto il profilo della sicurezza affinché nei loro confronti venga eseguito un CSP. L’azienda deve poi annunciare senza indugio al servizio specializzato SA se si è verificato un incidente rilevante sotto il profilo della sicurezza.
Art. 71 Il capoverso 1 autorizza il servizio specializzato SA a controllare nell’azienda il rispetto delle misure di sicu- rezza, previste nel concetto in materia di sicurezza e rilevanti per il mandato. Può verificare gli ambiti dell’azienda nei quali viene eseguito un mandato sensibile sotto il profilo della sicurezza. Può anche consul- tare documenti dell’azienda rilevanti per il mandato. Per sua stessa natura, l’ispezione può anche avvenire senza preavviso. Può essere eseguita solamente in compagnia o alla presenza di una persona appartenente all’azienda, di regola l’incaricato della sicurezza. Capoverso 2: in presenza di indizi concreti di una minaccia per la sicurezza delle informazioni, il servizio specializzato SA può adottare le necessarie misure di protezione. Il servizio specializzato SA può, ad esem- pio, disporre l’immediata messa sotto chiave o restituzione di taluni documenti o materiali. Qualora la sicu- rezza delle informazioni non possa essere garantita diversamente, è persino autorizzato a sequestrare deter- minati documenti o materiali. Ciò vale anche per i casi nei quali, dopo il fallimento di un’azienda, i docu- menti o i mezzi TIC ancora esistenti devono essere separati rapidamente dalla massa fallimentare.
Art. 72 Capoverso 1: nell’aggiudicazione di altri mandati sensibili sotto il profilo della sicurezza, le aziende titolari di una DSA sono considerate idonee ai sensi dell’articolo 62. La loro idoneità non viene valutata di nuovo. Si applica una procedura semplificata, che il Consiglio federale disciplinerà a livello di ordinanza. Secondo il capoverso 2, in siffatti casi occorre tuttavia esaminare se il concetto in materia di sicurezza in vigore deve essere adeguato. Ciò potrebbe ad esempio essere il caso se finora l’azienda in questione ha dovu- to trattare «soltanto» informazioni classificate «CONFIDENZIALE», ma in futuro dovrà trattare anche in- formazioni classificate «SEGRETO».
Art. 73 Le aziende con sede in Svizzera che vogliono candidarsi per un mandato estero sensibile sotto il profilo della sicurezza, devono presentare alle autorità di quel Paese una dichiarazione di sicurezza delle autorità svizzere (si vedano l’art. 57 cpv. 1 lett. b e l’art. 68 cpv. 1). Il servizio specializzato SA rilascia perciò alle aziende con una DSA, su loro richiesta, una corrispondente attestazione.
67
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Art. 74 Capoverso 1: la DSA viene revocata se l’azienda non adempie i propri obblighi di cui all’articolo 70 o se, nell’ambito di una ripetizione della procedura, una nuova valutazione di cui all’articolo 62 fa emergere un rischio per la sicurezza. Secondo il capoverso 2, la revoca deve avvenire sotto forma di una decisione contro la quale, in virtù dell’articolo 76 capoverso 3, si può presentare ricorso dinanzi al Tribunale amministrativo federale. Il diritto di ricorso spetta anche al mandante poiché una revoca può essere svantaggiosa anche per esso. Può, ad esempio, avere un considerevole interesse finanziario che la DSA non venga revocata.
Art. 75 La PSA viene ripetuta se alla scadenza della durata di validità della DSA un mandato sensibile sotto il profi- lo della sicurezza è ancora pendente e viene elaborato dall’azienda. Durante la procedura di ripetizione l’adempimento del mandato non viene interrotto. Se il mandato è quasi adempiuto e non sono stati assegnati nuovi mandati, per motivi di economia procedurale il servizio specializzato SA non ripeterà la procedura. Se sussiste un motivo concreto per presumere che in seguito a cambiamenti sostanziali in seno all’azienda sono emersi nuovi rischi per la sicurezza, la procedura va parimenti ripetuta.
Art. 76 Il capoverso 1 accorda agli organi dell’azienda vari diritti (consultare i documenti, esigere la rettifica dei dati errati, esigere la soppressione di dati obsoleti, far apporre una menzione di contestazione) analogamente all’articolo 51 capoverso 1 per i CSP. Secondo il capoverso 2, contro le decisioni del servizio specializzato SA è ammesso il ricorso al Tribunale amministrativo federale. Con questa norma si stabilisce che, nel presente caso, non si applica la disposizione d’eccezione dell’articolo 32 capoverso 1 lettera a della legge sul Tribunale amministrativo federale (la so- stanziale inammissibilità del ricorso contro le decisioni in materia di sicurezza interna o esterna del Paese). Se tuttavia una decisione del servizio specializzato SA si fonda su informazioni di intelligence che non de- vono giungere all’azienda o all’opinione pubblica, allora trovano applicazione le corrispondenti disposizioni procedurali (art. 27 e 28 PA).
Art. 77 Capoverso 1: il servizio specializzato SA impiega un sistema d’informazione per eseguire e gestire la PSA. Tale sistema esiste da anni e, di recente, è stato completamente ripensato. Per ragioni di sistematica, l’attuale base giuridica per il sistema (art. 150 segg. LSIM) va spostata nella presente legge. Capoverso 2: poiché il sistema può contenere dati personali degni di particolare protezione e profili della personalità, necessita di una base legale formale (art. 17 cpv. 2 LPD), costituita dagli articoli 77-80. Il capoverso 3 elenca esaustivamente tutti i dati memorizzati nel sistema d’informazione. Il capoverso 4 disciplina la responsabilità per il trattamento conforme al diritto dei dati nel sistema e per la sicurezza del sistema stesso.
Art. 78 L’articolo 78 fornisce la base necessaria per rendere accessibili a determinati servizi taluni dati del sistema d’informazione. Lettera a: i mandanti hanno accesso ai dati che li riguardano e all’elenco con tutte le aziende titolari di una DSA. Ciò consente loro di vedere rapidamente se un’azienda è già titolare di una DSA; lettera b: nel suo diritto esecutivo il Consiglio federale può autorizzare determinate aziende ad avvia- re autonomamente CSP per il proprio ambito di competenza. In questo caso tali aziende devono ot- tenere l’accesso a determinati dati del sistema d’informazione. Già con l’attuale sistema gli incaricati della sicurezza di talune aziende possono inoltre consultare la decisione in merito al controllo e il li- vello di sicurezza (livello di controllo) dei collaboratori della loro azienda.
Art. 79 Il disciplinamento della conservazione e della distruzione dei dati corrisponde, mutatis mutandis, a quello proposto per il CSP (si veda l’art. 54).
Art. 80 Il Consiglio federale deve emanare le necessarie disposizioni completive alla PSA.
68
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
2.1.5 Sicurezza delle informazioni nelle infrastrutture critiche (IC) In merito alla Strategia nazionale per la protezione della Svizzera contro i rischi informatici, si vedano i nu- meri 1.1.2.2 e 1.2.6. Gli articoli 81-83 disciplinano i compiti della Confederazione per sostenere i gestori di infrastrutture critiche nel campo della sicurezza delle informazioni. Per partecipare al partenariato pubblico-privato nell’ambito di MELANI e ricevere le prestazioni di servizio della Confederazione non è necessario alcun assoggettamento alla legge, in virtù di una legislazione speciale, ai sensi dell’articolo 3 capoverso 3. La collaborazione avvie- ne su base volontaria.
Art. 81 Conformemente al capoverso 1, il sostegno da parte della Confederazione concerne in particolare l’individuazione precoce e la valutazione di minacce e pericoli per informazioni e sistemi d’informazione degni di protezione, la corrispondente valutazione dei rischi, l’individuazione di incidenti, il ripristino della sicurezza delle informazioni a seguito di incidenti e l’analisi di incidenti. Per i gestori di infrastrutture criti- che si tratta di importanti prestazioni di servizio della Confederazione. Conformemente al capoverso 2, la Confederazione, da un lato, gestisce un servizio nazionale di allarme pre- coce che analizza costantemente la situazione di minaccia nell’ambito della sicurezza delle informazioni e rielabora le informazioni riguardanti minacce e pericoli identificati all’attenzione dei gestori di infrastrutture critiche, per sostenerne il processo di sicurezza delle informazioni e di gestione dei rischi. Dall’altro, gestisce un punto di contatto per misure preventive e reattive nell’ambito della sicurezza tecnica delle informazioni (Governmental Computer Emergency Response Team, GovCERT) che può procedere ad analisi tecniche, ad esempio su software nocivi ed emanare raccomandazioni per misure tecniche concrete volte a sventare peri- coli o individuare incidenti. Per acquisire conoscenze, i servizi ai quali vengono assegnati compiti di cui al capoverso 2 possono anche simulare sistemi vulnerabili (honeypot) nelle reti. Conformemente al capoverso 3, il Consiglio federale provvede affinché possa avere luogo uno scambio di informazioni sicuro tra la Confederazione e i gestori di infrastrutture critiche e tra gli stessi gestori di infra- strutture critiche. Sovente minacce e pericoli riguardano non soltanto un singolo obiettivo, bensì varie orga- nizzazioni operanti in un determinato settore o addirittura tutti i gestori di infrastrutture critiche di vari setto- ri. Tuttavia, il ricorso alle prestazioni di servizio di cui all’articolo 81 e la partecipazione al partenariato pub- blico-privato poggiano completamente sulla volontarietà. Il principio secondo il quale le infrastrutture criti- che assumono la responsabilità del proprio operato viene dunque implicitamente ripetuto. Mediante uno scambio di informazioni permanente si intende creare trasparenza e fiducia. In questo modo, non acquisisco- no know-how soltanto i gestori di infrastrutture critiche, bensì anche le autorità federali nella loro qualità di proprietari e gestori di infrastrutture critiche. Esse possono ottenere importanti informazioni per valutare i propri rischi e per sventare pericoli.
Art. 82 Le informazioni riguardo ai pericoli e agli indicatori per incidenti nell’ambito della sicurezza tecnica delle informazioni contengono periodicamente indicazioni su elementi d’indirizzo nel settore delle telecomunica- zioni (p. es. indirizzi IP, indirizzi e-mail, nomi di dominio). Questi elementi d’indirizzo sono accomunati dal fatto che (per lo meno in teoria) si riferiscono, rispettivamente, a determinate o determinabili persone e ad apparecchi o collegamenti di telecomunicazione che a loro volta possono essere attribuiti a una determinata o determinabile persona. Di conseguenza, gli elementi d’indirizzo vanno potenzialmente considerati dati per- sonali e, in conformità con gli articoli 4 capoverso 3 e 17 capoverso 1 LPD, necessitano di una base legale per il loro trattamento. Il capoverso 1 prevede di conseguenza che i servizi competenti secondo l’articolo 81 possano trattare dati personali. Tuttavia, in particolare nel caso di elementi d’indirizzo registrati all’estero, l’identificazione perio- dica della persona interessata, che comunque non è affatto necessaria per sventare pericoli, non è possibile o lo è soltanto con una spesa notevole. Poiché dunque, di norma, non ha luogo alcuna identificazione, il tratta- mento di dati non può né essere reso noto alle persone interessate, né esse possono venire informate in merito al trattamento. Il presente articolo va quindi visto come lex specialis rispetto all’articolo 4 capoverso 4 LPD. Se invece sussiste il sospetto che un elemento d’indirizzo (svizzero) o che un apparecchio che utilizza questo elemento d’indirizzo venga utilizzato abusivamente da persone non autorizzate e che così ne risulta un peri- colo, l’utente conforme al diritto può eventualmente essere identificato e venire informato in merito all’abuso. L’identificazione non deve tuttavia avvenire per forza da parte delle autorità competenti: ad esem- pio, nel caso di indirizzi IP dinamici, il fornitore di servizi di telecomunicazione può venire informato affin-
69
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
ché possa inoltrare le relative indicazioni ai clienti interessati, consentendo loro così di adottare misure per impedire ulteriori abusi e, in presenza di reati, di denunciarli. Nel capoverso 2 viene accordata la competenza per il trattamento dei dati per dati personali connessi con procedimenti e sanzioni di carattere amministrativo o penale. Conformemente all’articolo 3 lettera c numero 4 LPD, simili dati personali sono considerati dati personali degni di particolare protezione e, in virtù dell’articolo 17 capoverso 2 LPD, gli organi federali necessitano di una base legale formale per poterli tratta- re. Lo scambio di informazioni su infrastrutture criminali e abusi di elementi d’indirizzo può essere necessa- rio per sventare pericoli o individuare incidenti. Anche se non viene comunicato il fatto che è stata avviata una procedura riguardante un elemento d’indirizzo o che è stata inflitta una sanzione, dall’indicazione che un elemento d’indirizzo è stato utilizzato per scopi criminali la persona che riceve l’informazione può dedurre che è in corso un procedimento in tal senso. Con la competenza stabilita in questo capoverso si intende im- pedire che questo scambio non possa più avere luogo appena viene avviata un’inchiesta penale o una sanzio- ne amministrativa riguardo a un elemento d’indirizzo. Il capoverso 3 concede a gestori di mezzi TIC e fornitori di servizi TIC la possibilità di comunicare volonta- riamente ai servizi competenti di cui all’articolo 81 informazioni connesse con pericoli e incidenti nell’ambito della sicurezza tecnica delle informazioni. In virtù di questa disposizione, per sventare pericoli e di conseguenza per impedire danni essi possono dare indicazioni in merito alle prestazioni di servizi, alle trasmissioni e ad altre operazioni effettuate. Essa consente loro anche il trattamento conforme al diritto di corrispondenti dati personali. Poiché, mediante una simile comunicazione di dati, in un eventuale procedi- mento può essere pregiudicata la tutela di diritti di difesa, i dati così acquisiti non sono utilizzabili a fini giu- diziari. Ai procedimenti giudiziari continuano ad applicarsi le rispettive norme per l’assunzione delle prove.
Art. 83 Il Consiglio federale deve disciplinare a livello di ordinanza la ripartizione dei compiti e la collaborazione tra i servizi che assumono i compiti di cui all’articolo 81. Essi devono presentarsi compatti nei confronti dei gestori di infrastrutture critiche. Viceversa, il Consiglio federale è libero di organizzare come vuole al loro interno questi servizi, affinché possano assumere i compiti della Confederazione nel modo più efficiente possibile. Nella futura legge federale sulle attività informative sono previste competenze di quest’ultimo nel campo della protezione delle infrastrutture critiche. Il Consiglio federale deve potere stabilire nel dettaglio la ripartizione dei compiti e la collaborazione pertinenti. In ragione delle particolarità che comporta il tratta- mento di informazioni di intelligence, il Consiglio federale deve disciplinare nello specifico il loro scambio tra servizi federali e la loro comunicazione ai gestori di infrastrutture critiche. I servizi competenti non vanno necessariamente collocati nel medesimo dipartimento. Per creare trasparenza e garantire certezza del diritto, il Consiglio federale disciplina il trattamento di dati e lo scambio di dati tra questi servizi nonché la sicurezza dei dati da considerare in proposito. 2.1.6 Organizzazione ed esecuzione
Art. 84 In merito al ruolo degli incaricati della sicurezza delle informazioni, si veda il numero 1.3.2.1. Capoverso 1: in ragione della necessità preponderante di una direzione integrale dell’attuazione della presen- te legge, la legge interviene nell’autonomia organizzativa delle autorità. Chiede che, per il proprio ambito di competenza, le autorità assoggettate nonché i dipartimenti e la Cancelleria federale provvedano a designare un incaricato della sicurezza delle informazioni (a livello internazionale: Chief Information Security Officer, CISO) e un’adeguata supplenza. Poiché, da un lato, un’efficace direzione integrale della sicurezza delle in- formazioni presuppone conoscenze politiche, giuridiche, organizzative e anche tecniche e, dall’altro, gli in- caricati della sicurezza delle informazioni devono assumere moltissimi compiti, l’attuazione pratica esige che almeno due persone per autorità assumano questi compiti. Non viene tuttavia richiesto che entrambe le per- sone siano impiegate a tempo pieno per tale scopo. Il Consiglio federale stesso deve, parimenti, designare i propri incaricati della sicurezza delle informazioni. Per contro, a motivo del suo limitato effettivo di personale, l’autorità di vigilanza sul Ministero pubblico della Confederazione non va obbligata in tal senso. I tribunali della Confederazione non vengono indicati singolarmente perché sarebbe sproporzionato esigere simili servizi dai tribunali con un effettivo di personale relativamente esiguo (p. es. Tribunale federale dei brevetti e Tribunale militare di cassazione). La legge am- mette dunque che, ad esempio, i tribunali della Confederazione possano designare un organo e un relativo sostituto unici per tutti i tribunali oppure scelgano un approccio diverso che preservi l’autonomia delle auto- rità. Anche gli Uffici federali e l’Amministrazione federale decentralizzata non vengono obbligati dalla legge a designare un incaricato della sicurezza delle informazioni. Nell’ambito dell’adempimento del suo obbligo
70
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
organizzativo, il Consiglio federale deve decidere a livello di ordinanza come deve essere organizzata e diret- ta la sicurezza dell’informazione fino a questo livello. Il capoverso 2 definisce in forma generale il settore di compiti e le competenze degli incaricati della sicurez- za delle informazioni: la lettera a sottolinea che le competenze decisionali e la responsabilità per le decisioni nell’ambito della sicurezza tecnica delle informazioni devono continuare a rimanere presso la linea gerarchica, dunque presso le autorità competenti e i servizi subordinati. Gli incaricati della sicurezza delle informazioni de- vono però assistere e sostenere la linea gerarchica nelle questioni tecniche; la lettera b stabilisce che, per incarico della propria autorità o organizzazione, gli incaricati della sicurezza delle informazioni devono dirigere la sicurezza delle informazioni e la corrispondente gestione dei rischi sotto il profilo tecnico; la lettera c prevede che gli incaricati della sicurezza delle informazioni abbiano un obbligo generale di verificare regolarmente il rispetto delle prescrizioni della presente legge, che redigano rapporti all’attenzione della propria autorità e che, in caso di accertata necessità di agire, debbano presentare una richiesta in tal senso; la lettera d rileva che gli incaricati della sicurezza delle informazioni possono annunciare incidenti accer- tati rilevanti sotto il profilo della sicurezza sia al servizio specializzato della Confederazione per la sicu- rezza delle informazioni (art. 86) e alla Conferenza degli incaricati della sicurezza delle informazioni (art. 85), sia ai servizi che assumono i compiti riguardanti la sicurezza delle informazioni presso le infrastrut- ture critiche. Si rinuncia quindi a un obbligo generale di annuncio per tutte le autorità. Anche se la comu- nicazione di simili incidenti è assai raccomandabile, l’autonomia delle autorità non va però toccata. Capoverso 3: gli incaricati della sicurezza delle informazioni devono essere indipendenti nella loro posizione e nell’assunzione dei loro compiti e non possono essere esposti ad alcun conflitto di interessi materiale. Nella pratica, la mancanza di una separazione delle funzioni porta di continuo a problemi nell’esecuzione delle direttive di sicurezza. Così oggi, ad esempio, la maggioranza degli incaricati della sicurezza delle TIC è an- cora subordinata alle direzioni delle TIC. Spesso i responsabili delle TIC perseguono priorità diverse dalla sicurezza e, in ragione dell’urgenza e/o dei costi, nei progetti si rinuncia periodicamente ad attuare le neces- sarie misure di sicurezza. Agli incaricati della sicurezza delle informazioni non andrebbe neanche affidato l’esercizio diretto di mezzi TIC, né essi andrebbero impiegati quali responsabili di progetti non riguardanti in primo luogo la sicurezza delle informazioni, poiché proprio in questo accumularsi di compiti gli altri requisi- ti dell’azienda collidono periodicamente con una valutazione possibilmente obiettiva dei rischi per la sicu- rezza. L’esatta collocazione della funzione è affidata alle autorità o ai dipartimenti e alla CaF. Basandosi su espe- rienze pratiche, la dottrina mostra tuttavia che gli incaricati della sicurezza delle informazioni sono più effi- caci se vengono collocati relativamente vicino alla direzione dell’autorità perché così possono avere una migliore visione d’insieme dei processi lavorativi e valutare le esigenze aziendali. Sarebbe inoltre auspicabi- le, collocare gli incaricati della sicurezza delle informazioni in modo che possano assicurare uno stretto coordinamento con gli attuali gestori dei rischi, consulenti alla protezione dei dati, incaricati della sicurezza (protezione delle opere) ed eventualmente consulenti in materia di trasparenza.
Art. 85 In merito alla Conferenza, si veda il numero 1.3.2.2. Il capoverso 1 stabilisce chi è membro permanente in questa Conferenza. In particolare devono essere rap- presentati i dipartimenti e la Cancelleria federale. Il capoverso 2 definisce i compiti della Conferenza, che servono tutti a coordinare efficacemente l’esecuzione. Il servizio specializzato della Confederazione per la sicurezza delle informazioni (si veda l’art. 86), da istituire ex novo, dovrà servire a consultare e coinvolgere la Conferenza su tutte le questioni impor- tanti relative alla sicurezza delle informazioni. Particolarmente importante è la consulenza al servizio specia- lizzato da parte della Conferenza nelle questioni riguardanti la strategia in materia di sicurezza delle infor- mazioni. La Conferenza deve anche servire a riconoscere tendenze o rischi e a pianificare a lungo termine misure appropriate. Solamente così sarà possibile trovare soluzioni efficaci e creare il necessario consenso. Appare importante anche che il coordinamento con l’IFPDT venga sancito esplicitamente quale mandato (lett. d). Per i suoi accertamenti e la formazione di una propria opinione, la Conferenza può ricorrere anche a rappresentanti dei Cantoni e a esperti indipendenti. Il capoverso 3 stabilisce che la Conferenza deve definire la propria organizzazione e i propri processi lavora- tivi e decidere inoltre sulla propria direzione.
71
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Art. 86 In merito al servizio specializzato della Confederazione per la sicurezza delle informazioni, si veda il n. 1.3.2.3. Il capoverso 1 contiene un catalogo dei compiti e delle competenze, concernenti tutte le autorità, del futuro servizio specializzato: la lettera a obbliga il servizio specializzato a fornire consulenza alle autorità assoggettate e ai loro incari- cati della sicurezza delle informazioni. Esse possono anche chiedere l’assistenza tecnica del servizio spe- cializzato, in particolare nell’elaborazione di incidenti nell’ambito della sicurezza delle informazioni; secondo la lettera b, il servizio specializzato deve potere raccomandare misure di protezione preventive in caso di minacce dirette alla sicurezza delle informazioni; lettera c: le autorità assoggettate o i servizi da esse autorizzati possono incaricare il servizio specializzato di eseguire presso di loro determinati controlli e audit nell’ambito della sicurezza delle informazioni. Il servizio specializzato non può eseguire spontaneamente simili verifiche. In particolare per audit di sicu- rezza tecnici sono necessarie elevate conoscenze specialistiche che non tutte le autorità assoggettate do- vrebbero procurarsi per sé: approntare un pool di esperti è più economico; lettera d: in virtù dell’articolo 20, le autorità e le organizzazioni assoggettate che vogliono impiegare nuo- ve tecnologie sono tenute a eseguire una valutazione dei rischi. Per le tecnologie particolarmente impor- tanti o che possono avere un ampio campo d’applicazione, devono potere chiedere al servizio specializza- to di eseguire questa analisi dei rischi; la lettera e, su richiesta delle autorità e delle organizzazioni assoggettate, autorizza l’organo specializzato a esaminare, per quanto riguarda aspetti rilevanti sotto il profilo della sicurezza, l’idoneità di determinati processi, mezzi, installazioni, oggetti e prestazioni di servizio. Nell’ambito della sicurezza delle informa- zioni a livello tecnico, i fornitori di prestazioni TIC sono, ad esempio, interessati a sapere se le soluzioni tecniche che sviluppano soddisfano i requisiti fissati dalla Confederazione. Se ciò è il caso, allora possono impiegarli molto più semplicemente per altri progetti o mezzi TIC. Lo stesso vale anche, ad esempio, per casseforti o per prestazioni di servizio. Anche se i requisiti sono soddisfatti, la responsabilità rimane tut- tavia sempre dell’autorità o dell’organizzazione che impiega simili mezzi. Questa competenza è necessa- ria anche per il contesto internazionale: il servizio specializzato deve assumere il ruolo (oggi mancante), usuale a livello internazionale, della National Accreditation Authority (si veda il n. 4.2); lettera f: se vengono avviati importanti progetti che coinvolgono più autorità e hanno un sostanziale rap- porto con la sicurezza delle informazioni, su richiesta delle autorità assoggettate il servizio specializzato deve assumere all’interno dei progetti la direzione e il coordinamento delle questioni inerenti alla sicurez- za delle informazioni; lettera g: poiché le corrispondenti conoscenze specialistiche vanno raggruppate per la Confederazione nel previsto servizio specializzato, quest’ultimo deve essere anche l’interlocutore della Confederazione per i servizi svizzeri, esteri e internazionali nell’ambito della sicurezza delle informazioni. Esso assumerà an- che i necessari ruoli nell’ambito dei contatti internazionali tra autorità (si veda il n. 4.2.). Altre autorità o organizzazioni potranno però continuare a intrattenere contatti specialistici in questo settore; lettera h: il servizio specializzato dovrà allestire annualmente un rapporto per il Consiglio federale. In conformità con il capoverso 3, nel suo diritto esecutivo il Consiglio federale deve disciplinare l’organizzazione del servizio specializzato. Per questo dovrà stabilire quali compiti deve esercitare il servizio specializzato stesso e quali adempiere in collaborazione con altri servizi federali. In questo contesto, il Con- siglio federale dovrà ovviamente decidere anche sulla questione della loro collocazione.
Art. 87 Capoverso 1: l’autonomia delle autorità assoggettate non sarà messa in discussione. Esse non saranno assog- gettate alle disposizioni d’esecuzione del Consiglio federale. Per contro, dovranno emanare per il proprio ambito le disposizioni necessarie per l’esecuzione della presente legge. Il capoverso stabilisce anche che il Consiglio federale può delegare alla Cancelleria federale l’emanazione di disposizioni esecutive in relazione con la gestione degli affari del Consiglio federale (si veda anche art. 15 cpv. 2 LOGA). Capoverso 2: con questa normativa e l’articolo 70 LParl, l’Assemblea federale ha tutte le disposizioni neces- sarie affinché essa e i Servizi del Parlamento possano applicare direttamente la LSIn e le sue disposizioni d’esecuzione. Nel capoverso 3 viene stabilito un cosiddetto «opting out»: le disposizioni d’esecuzione del Consiglio fede- rale di cui al capoverso 1 si applicano, per analogia, a tutte le autorità assoggettate, sempre che non emanino
72
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
proprie disposizioni d’esecuzione. Rimane inteso che il Consiglio federale consulta le altre autorità prima di emanare le proprie disposizioni d’esecuzione. Che il Consiglio federale sia competente, in maniera autono- ma, per l’emanazione delle disposizioni d’esecuzione necessarie al controllo di sicurezza relativo alle perso- ne e alla procedura di sicurezza relativa alle aziende risulta dal fatto che i relativi servizi competenti sono parte dell’Amministrazione federale, la cui organizzazione è affare del Consiglio federale. Capoverso 4: prima che le organizzazioni di diritto pubblico o privato di cui all’articolo 2 capoverso 2 lettera e possano essere assoggettate alla legge, si deve valutare se esercitano attività della Confederazione sensibili sotto il profilo della sicurezza. Il Consiglio federale deve procedere a tale valutazione per queste organizza- zioni e in seguito fissare a livello di ordinanza il campo d’applicazione dettagliato. Ciò può avvenire nelle disposizioni d’esecuzione della legislazione speciale o nelle disposizioni d’esecuzione della presente legge. Se necessario, il Consiglio federale può fare applicare da queste organizzazioni soltanto parti della legge (p. es. disposizioni sulla classificazione, sull’impiego delle TIC o sui controlli di sicurezza relativi alle persone).
Art. 88 Capoverso 1: per raggiungere il necessario livello di sicurezza uniforme, il Consiglio federale deve stabilire, secondo lo stato della dottrina e della tecnica, requisiti e misure standard. Non si tratta di requisiti e misure organizzative fondamentali bensì, in primo luogo, di requisiti di minore importanza, ad esempio: standard per rilevare le necessità di protezione di informazioni in relazione ai quattro criteri dell’articolo 4 capoverso 2; metodo standard per valutare il rischio di cui all’articolo 6 capoverso 1; standard per le misure organizzative, in materia di personale, tecniche ed edili di cui all’articolo 6 capo- verso 2; requisiti standard per determinati processi e mezzi volti a proteggere informazioni classificate di cui agli articoli 12-18; requisiti e misure standard per la protezione di base, per l’allestimento di piani di sicurezza delle informa- zioni e per la sicurezza di mezzi TIC dei livelli di sicurezza «protezione elevata» e «protezione molto ele- vata» di cui agli articoli 19-27; ecc. Capoverso 2: se necessario, il Consiglio federale delegherà a servizi subordinati l’elaborazione e l’adozione degli standard. Ciò concerne in primo luogo il servizio specializzato della Confederazione per la sicurezza delle informazioni, ma anche, ad esempio, fedpol nell’ambito della protezione delle opere. I fornitori di pre- stazioni TIC della Confederazione dovrebbero, parimenti, potere elaborare standard di sicurezza tecnici ed eventualmente, ai fini della standardizzazione, farli verificare dal servizio specializzato quanto alla loro ido- neità per la Confederazione (si veda l’art. 86 cpv. 1 lett. e). Una simile delega da parte del Consiglio federale non deve però avvenire in modo globale. Determinate misure tecniche possono comportare notevoli conse- guenze finanziarie che non necessariamente andrebbero decise da servizi subordinati. Anche nel caso di un’eventuale delega, il Consiglio federale deve dunque garantire che deciderà esso stesso le misure di ampia portata e più costose. Capoverso 3: gli standard non sono vincolanti per le altre autorità assoggettate.
Art. 89 Capoverso 1: in casi nei quali i Cantoni o le loro autorità e i loro servizi rispettivi rientrano nel campo d’applicazione della legge (si veda l’art. 2 cpv. 2 lett. f), devono adottare le necessarie misure di sicurezza secondo la presente legge. I servizi federali non ricevono così però alcuna facoltà diretta di emanare istruzio- ni bensì, in linea di principio, sono i Cantoni stessi responsabili dell’esecuzione nel loro ambito di competen- za. Capoverso 2: il Consiglio federale deve disciplinare nel suo diritto esecutivo la verifica dell’applicazione delle misure e l’esecuzione di controlli di sicurezza relativi alle persone per gli impiegati cantonali. In parti- colare dovrà disciplinare come, eventualmente, le autorità federali controllano l’applicazione delle prescri- zioni da parte dei Cantoni. Rimane inteso che, nel farlo, terrà conto dello statuto istituzionale dei Cantoni e in particolare della loro autonomia organizzativa. Nel capoverso 3 i Cantoni vengono obbligati, per simili casi, a designare ciascuno un servizio quale interlo- cutore delle autorità e delle organizzazioni assoggettate competenti. In questo modo si intende garantire che lo scambio di informazioni abbia luogo sistematicamente e che l’applicazione delle misure secondo la pre- sente legge avvenga in modo coordinato.
73
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Art. 90 I trattati internazionali nel campo della sicurezza delle informazioni contengono previamente normative tec- niche sul riconoscimento reciproco di prescrizioni e procedure nazionali (p. es. la procedura del controllo di sicurezza relativo alle persone e la procedura di sicurezza relativa alle aziende), elenchi di concordanza sull’applicazione di classificazioni nonché normative sull’esecuzione di controlli reciproci. Per proteggere informazioni messe a disposizione della Confederazione da altri Stati o organizzazioni internazionali, può inoltre essere necessario adottare trattati che in singoli punti (p. es. presupposti per la classificazione, per l’accesso a informazioni classificate o il trattamento di informazioni classificate o per il rilascio delle dichia- razioni di sicurezza) derogano alle prescrizioni legali. In simili casi, il fornitore delle informazioni può chie- dere di convenire eventualmente con le autorità federali riceventi una più o meno rigida protezione delle sue informazioni. Di conseguenza, nelle disposizioni di esecuzione e organizzative che attribuiscono le rispettive competenze di concludere trattati, vanno sancite le necessarie riserve. Per motivi di economia amministrati- va, il Consiglio federale va autorizzato a concludere direttamente simili trattati in materia di sicurezza delle informazioni. L’interconnessione e la collaborazione crescenti sul piano internazionale sono necessarie per ridurre al mi- nimo i rischi legati alla sicurezza delle informazioni. L’applicazione della SNPC richiede perciò che, per quanto riguarda le esperienze, i lavori di ricerca e sviluppo, le informazioni riferite a incidenti, le attività di formazione e le esercitazioni, vengano rafforzati gli scambi (si veda anche il n. 1.1.2.2). Il Consiglio federale va perciò autorizzato anche a concludere trattati internazionali per lo scambio di informazioni su pericoli, carenze e incidenti, in particolare per quanto riguarda le infrastrutture critiche. Si tratta soprattutto di que- stioni organizzative e tecniche secondarie (p. es. collaborazione con altri GovCERT; si veda l’art. 81).
Art. 91 Ogni legge deve essere periodicamente verificata quanto alla sua effettiva applicazione, nonché all’adeguatezza, all’efficacia e all’economicità. Secondo il capoverso 1, il Consiglio federale deve essere competente a tale scopo. L’Assemblea federale deve determinare la commissione incaricata di trattare i rap- porti del Consiglio federale (cpv. 2).
Art. 92 In virtù della nuova normativa devono essere adeguate altre leggi federali.
Art. 93 Per motivi di economia procedurale, le dichiarazioni di sicurezza relative alle persone e le dichiarazioni di sicurezza aziendali secondo il diritto anteriore devono mantenere la loro validità fino alla loro scadenza. Il Consiglio federale stabilirà i termini transitori per l’adeguamento delle prescrizioni sul trattamento di infor- mazioni classificate e sulla tutela della sicurezza delle informazioni nell’impiego di TIC.
2.2 Legge federale sulle misure per la salvaguardia della sicurezza interna
Art. 2 cpv. 4 lett. c nonché art. 19 - 21 Il CSP sarà disciplinato principalmente nella LSIn. Le corrispondenti disposizioni della LMSI devono per- tanto essere abrogate.
2.3 Legge sull’archiviazione
Art. 6 cpv. 2 L’archiviazione di documenti della Confederazione è disciplinata in maniera uniforme dalla LAr. Sono con- siderati documenti in particolare «tutte le informazioni registrate, indipendentemente dal loro supporto, che sono state raccolte o prodotte nell’adempimento di compiti pubblici della Confederazione» (art. 3 cpv. 1 LAr). I servizi della Confederazione devono offrire all’Archivio federale per la loro archiviazione tutti i do- cumenti «dei quali non hanno più bisogno in modo permanente» (art. 6 LAr). Le informazioni classificate sono anch’esse soggette alla legislazione in materia di archiviazione. In questo ambito la loro protezione è garantita da termini di protezione secondo gli articoli 9 segg. LAr. Il nuovo capoverso 2 dell’articolo 6 LAr disciplina il rapporto tra la LAr e la LSIn. La disposizione serve alla chiara delimitazione dei campi di applicazione delle due leggi in questione. La LAr disciplina l’archiviazione, motivo per cui questo aspetto non è disciplinato nella LSIn bensì nella LAr stessa. Secondo l’articolo 6 capoverso 2 LAr, le informazioni classificate non sono offerte per l’archiviazione, sino a quando
74
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
secondo le disposizioni della LSIn, sono ancora degne di protezione. Non appena possono essere declassifi- cate in applicazione delle disposizioni della legislazione sulla sicurezza delle informazioni, devono essere offerte per l’archiviazione. La classificazione e la declassificazione sono rette dalle disposizioni della LSIn. La maggior parte delle informazioni classificate sono degne di essere protette per un periodo limitato e de- vono poter essere archiviate secondo le norme usuali della LAr. È ovvio che la classificazione non può esse- re utilizzata per sottrarsi all’obbligo di archiviazione.
2.4 Legge sul personale federale
Art. 20a L’innalzamento del valore soglia per l’esecuzione di CSP secondo la LSIn ha lo scopo di fare in modo che questa misura sia impiegata solo per le attività che presentano effettivamente una maggiore sensibilità sotto il profilo della sicurezza. Nonostante la legge esiste comunque il rischio che nella prassi il valore soglia per i CSP venga abbassato o le esigenze per un CSP vengano ridotte, qualora le autorità e organizzazioni assog- gettate alla LSIn non abbiano a disposizione alcun altro strumento per verificare l’affidabilità di candidati e impiegati. Il nuovo articolo 20a LPers intende offrire ai datori di lavoro strumenti adeguati. Essi devono poter avere la possibilità di esigere dai candidati e dagli impiegati la presentazione di un estratto del casella- rio giudiziale e del registro delle esecuzioni. Tale richiesta non dovrebbe tuttavia essere sistematica, ma deve essere avanzata solo nella misura in cui sia necessario per la tutela degli interessi del datore di lavoro. Al riguardo il Consiglio federale emanerà le disposizioni d’esecuzione.
Art. 20b La LSIn limita la sua regolamentazione riguardante il CSP ad attività sensibili sotto il profilo della sicurezza che riguardano la gestione di informazioni e mezzi TIC classificati nonché l’accesso a determinate zone di sicurezza. Queste attività dovrebbero interessare la maggioranza dei CSP necessari. Rimangono però altre attività nel settore di compiti delle autorità federali, che non riguardano direttamente la gestione di informa- zioni o mezzi TIC ma il cui esercizio potrebbe pregiudicare considerevolmente gli interessi della Confedera- zione. Per il personale della Confederazione (ad eccezione dell’esercito e dalla Banca nazionale) queste rego- lamentazioni rientrano nella LPers. Con l’introduzione di una nuova disposizione sulla verifica dell’affidabilità nell’articolo 20b LPers, si intende coprire un fabbisogno di verifica identificato. Secondo la lettera a, il Consiglio federale può far verificare l’affidabilità di candidati e impiegati destinati a rappresentare regolarmente la Svizzera all’estero e che in tale contesto potrebbero pregiudicare conside- revolmente l’immagine della Confederazione. Si tratta soprattutto del personale diplomatico e consolare del DFAE. Si può però anche trattare del personale di altri dipartimenti che assume funzioni simili (ad es. presso la SECO). Secondo la lettera b, il Consiglio federale può anche far verificare l’affidabilità di candidati e impiegati destinati a esercitare competenze decisionali o compiti di vigilanza in affari finanziari o fiscali essenziali e che in tale contesto potrebbero pregiudicare considerevolmente gli interessi finanziari della Confedera- zione (ad es. impiegati con competenze decisionali nell’aggiudicazione di mandati importanti o persone che svolgono compiti particolarmente sensibili in relazione alle finanze pubbliche). Capoverso 2: nelle sue norme d’esecuzione concernenti la LPers, il Consiglio federale definirà i gruppi di persone che devono essere sottoposti alla verifica dell’affidabilità. Questa verifica è ordinata solo se la ne- cessità è dimostrata. Tale disposizione non deve servire a raggirare la limitazione dei motivi di verifica se- condo la LSIn. Capoverso 3: dato che le questioni da chiarire sono di principio analoghe a quelle della sicurezza delle in- formazioni, non è ragionevole introdurre una procedura particolare per la verifica dell’affidabilità. Per l’esecuzione della verifica sarà pertanto ripresa la regolamentazione della LSIn. La procedura sarà ripresa in particolare per quanto riguarda l’applicazione del principio del consenso della persona interessata, dei prin- cipi inerenti all’acquisizione dei dati e delle normative sulle conseguenze della valutazione. Capoverso 4: se la persona da controllare in base a questa disposizione deve essere contemporaneamente sottoposta a un CSP secondo la LSIn, le due procedure saranno riunite per ragioni di economia procedurale.
75
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
2.5 Codice penale
Art. 365 cpv. 2 lett. d L’adeguamento di questo articolo è puramente formale. Dato che i CPS non sono più disciplinati nella LMSI bensì nella LSIn, le disposizioni riguardanti i servizi che beneficiano dell’autorizzazione di accesso nonché lo scopo dell’acquisizione dei dati dal casellario giudiziale devono essere adeguati in modo corrispondente. Quale scopo dell’acquisizione di dati viene ora elencata anche la valutazione del rischio per la sicurezza nel quadro delle verifiche dell’affidabilità secondo la legislazione speciale. Per contro, l’esame del potenziale di violenza è già disciplinato nelle lettere n e p.
Art. 367 cpv. 2 lett. i e cpv. 2bis lett. b Vedi il commento all’articolo 365 capoverso 2 lettera d.
2.6 Legge federale sui sistemi d’informazione di polizia della Confederazione
Art. 15 cpv. 4 lett. f nonché art. 17 cpv. 4 lett. l L’adeguamento di questi due articoli è puramente formale. Dato che i CSP saranno disciplinati non più nella LMSI, bensì nella LSIn, le disposizioni concernenti i servizi che beneficiano dell’autorizzazione di accesso e lo scopo dell’acquisizione di dati dal sistema di ricerca informatizzato di polizia e dal registro nazionale di polizia devono essere modificate in modo corrispondente. Inoltre, sono ora menzionati tra gli scopi dell’acquisizione di dati anche la valutazione del rischio per la sicurezza nel quadro di una verifica dell’affidabilità secondo la legislazione speciale nonché la valutazione del potenziale di violenza nel quadro dei relativi controlli.
2.7 Legge militare
Art. 14 L’avamprogetto della LSIn limita la sua regolamentazione prevista per i CSP a determinate attività sensibili sotto il profilo della sicurezza (cfr. sopra ad art. 20b LPers). Anche nell’esercito vi sono tuttavia altre attività che potrebbero notevolmente pregiudicare l’immagine della Confederazione e delle sue istituzioni oppure importanti interessi finanziari della Confederazione. Il capoverso 1 prevede pertanto, in sintonia con il proposto articolo 20b LPers, che nel quadro delle sue di- sposizioni d’esecuzione relative alla LM il Consiglio federale possa sottoporre a una verifica dell’affidabilità due settori di compiti: secondo la lettera a, il Consiglio federale può sottoporre a verifica i militari destinati a rappresentare rego- larmente la Svizzera all’estero e che in tale contesto potrebbero considerevolmente pregiudicare l’immagine della Confederazione. Si tratta in particolare di militari che rappresentano la Svizzera in occa- sione di impieghi all’estero o che adempiono compiti nel settore della diplomazia militare. Secondo la lettera b, il Consiglio federale può inoltre sottoporre a verifica i militari destinati a esercitare competenze decisionali o compiti di vigilanza in affari finanziari essenziali e che in tale contesto potreb- bero pregiudicare considerevolmente gli interessi finanziari della Confederazione. Capoverso 2: nella sua normativa d’esecuzione concernente la LM, il Consiglio federale deve definire i gruppi di persone che devono essere sottoposti alla verifica dell’affidabilità. Questa verifica è ordinata solo se la necessità è dimostrata, in modo da evitare un aggiramento della limitazione dei motivi di controllo se- condo la LSIn. Capoverso 3: come per la regolamentazione proposta in sede di LPers, dato che le questioni da chiarire sono di principio analoghe a quelle della sicurezza delle informazioni, non è ragionevole introdurre una procedura particolare. Per l’esecuzione della verifica sarà pertanto ripresa la regolamentazione della LSIn. La procedura sarà ripresa in particolare per quanto riguarda l’applicazione dei principi dell’acquisizione dei dati e delle normative sulle conseguenze della valutazione. Capoverso 4: se la persona da controllare in base a questa disposizione deve essere contemporaneamente sottoposta a un CSP secondo la LSIn, le due procedure saranno riunite per ragioni di economia procedurale.
Art. 113 cpv. 5 A causa della limitazione del CPS secondo la LSIn alle attività sensibili sotto il profilo della sicurezza che riguardano la gestione di informazioni e mezzi TIC classificati si rende necessario fondare su una base legale
76
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
speciale l’esame del potenziale di violenza dei militari destinati a essere equipaggiati con un’arma. Per quan- to riguarda la procedura, il disciplinamento previsto dalla LSIn sarà applicato per analogia. Se sono state avviate due procedure, saranno riunite per ragioni di economia procedurale.
Art. 150 cpv. 4 abrogazione La competenza di concludere trattati internazionali destinati a garantire la tutela del segreto militare è ora contemplata dall’articolo 90 LSIn. Inoltre, spesso non si distingue più tra tutela del segreto militare e civile, ma viene conclusa una convenzione per entrambi gli ambiti, ossia per la tutela del segreto in generale. Per garantire l'omogeneità del diritto, l’articolo 150 capoverso 4 della legge militare deve pertanto essere abroga- to.
2.8 Legge federale sui sistemi d’informazione militari Capitolo 5, sezioni 1 e 2 (articoli 144–155) Attualmente i sistemi d’informazione per il CSP e la procedura di sicurezza relativa alle aziende sono disci- plinati nella LSIM. Entrambi i sistemi d’informazione saranno in futuro disciplinati direttamente nella LSIn (art. 52-54 per il CSP e art. 77-79 per la procedura di sicurezza relativa alle aziende). Pertanto entrambe le corrispondenti sezioni della LSIM devono essere abrogate.
2.9 Legge federale sull’energia nucleare
Art. 5 cpv. 3 Già oggi il vigente articolo 5 capoverso 3 LENu prevede che i provvedimenti di sicurezza debbano essere classificati nella misura del necessario. La modifica intende garantire che la classificazione di questi provve- dimenti e il trattamento delle corrispondenti informazioni classificate si orienti alla LSIn.
Art. 24 Il disciplinamento vigente secondo l'articolo 24 LENu prevede già controlli dell’affidabilità per le persone impiegate in funzioni essenziali della sicurezza nucleare interna ed esterna. Queste persone sono sottoposte a un CSP sulla base dell’OCSPN. Dato che la verifica è eseguita applicando, per analogia, le disposizioni della LSIn concernenti il CSP, nella nuova versione, il tenore dell’articolo 24 LENu è adeguato alla nuova termi- nologia in materia di verifiche dell’affidabilità.
2.10 Legge sull’approvvigionamento elettrico
Art. 26a La società nazionale di rete (Swissgrid), che gestisce la rete di trasporto per l’intero territorio svizzero, chie- de da anni che determinati gruppi di persone siano soggetti ai CSP. Alla luce della criticità della rete di tra- sporto e della necessaria protezione contro il sabotaggio, occorre introdurre nella LAEI una nuova disposi- zione concernente l’esecuzione di verifiche dell’affidabilità per gruppi di persone particolari. Il capoverso 1 stabilisce il principio della verifica dell’affidabilità di impiegati della società nazionale di rete che adempiono compiti essenziali per la sicurezza della rete di trasporto a livello nazionale e il suo esercizio affidabile ed efficiente. Secondo il capoverso 2, il Consiglio federale stabilisce i gruppi di persone che devono essere soggetti alla verifica. Al riguardo deve limitarsi alle funzioni che possono provocare un danno considerevole in caso di azioni di sabotaggio o di sabotaggio per negligenza. Capoverso 3: la procedura di verifica si fonda sulle disposizioni della LSIn concernenti il CSP. Il capoverso 4 si rifà all’analoga regolamentazione secondo l’articolo 24 LENu. La direzione di Swissgrid nonché i regolatori (UFE e ElCom) in qualità di servizi competenti per l’attribuzione della funzione, devono avere accesso ai dati della verifica.
77
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
2.11 Legge sulla banca nazionale
Art. 16, rubrica e cpv. 5 In virtù dei suoi compiti di politica monetaria (vedi anche art. 1 cpv. 2 lett. d), la Banca nazionale va consi- derata come un’autorità assoggettata alla LSIn secondo l’articolo 2 capoverso 1 LSIn. Con l’adeguamento dell’articolo 16 LBN si rimanda espressamente al fatto che la LSIn si applica anche alla Banca nazionale. La rubrica dell’articolo è modificata in modo corrispondente.
3 Ripercussioni 3.1 Ripercussioni per la Confederazione Le informazioni vengono protette in quanto una violazione della loro confidenzialità, disponibilità, integrità o tracciabilità (cfr. art. 4) può compromettere i diritti di terzi (ad es. dati personali, segreti d’affari o di fab- bricazione), pregiudicare interessi pubblici essenziali (ad es. la capacità d’azione delle autorità federali, la sicurezza nazionale, le relazioni internazionali o l’approvvigionamento del Paese) o arrecare danni alle orga- nizzazioni interessate (ad es. perdita di produttività o disfunzioni nell’esercizio). La sicurezza delle informa- zioni ha lo scopo di ridurre in modo possibilmente efficace ed economico la probabilità che subentri un dan- no simile, anche finanziario, come pure le eventuali ripercussioni di tale danno. I suoi costi devono pertanto essere ponderati con la corrispondente riduzione dei rischi. Secondo le stime attuali, la legge comporterà un miglioramento notevole e durevole della sicurezza delle informazioni in seno alla Confederazione. In prima linea disciplina la gestione della sicurezza delle informa- zioni e aumentandone l’efficienza. Sovente una gestione efficiente migliora in particolare la sicurezza in modo più efficace, economico e durevole che non gli investimenti in misure tecniche. Inoltre, la prassi ha mostrato che un’ottimizzazione della gestione della sicurezza delle informazioni – in particolare quando quest’ultima è fondata su una gestione dei rischi efficace – a medio termine può addirittura generare rispar- mi. L’avamprogetto prevede anche diverse misure organizzative che, rispetto ad oggi, oltre a migliorare la protezione delle informazioni, dovrebbero comportare determinati risparmi in termini di costi, nella misura in cui vengono attuate coerentemente. L’innalzamento dei valori soglia per la classificazione, ad esempio, dovrebbe ridurre il numero di informazioni classificate e quindi il relativo dispendio (cfr. n. 1.2.3.4). Per quanto riguarda i controlli di sicurezza relativi alle persone (CSP), il valore soglia per l’esecuzione di un simile CSP sarà innalzato e, nel contempo, il numero di attività per il cui esercizio è necessario (e ammesso) un CSP verrà ridotto. Pertanto, in futuro i CSP dovrebbero diminuire (cfr. n. 1.2.4). Inoltre, ad esempio, la proposta standardizzazione dei requisiti e delle misure di sicurezza (cfr. art. 88), il miglioramento dello scambio di informazioni tra autorità federali e il sostegno alle autorità federali da parte del servizio specializ- zato della Confederazione per la sicurezza delle informazioni (cfr. art. 84-86) contribuiranno a fare in modo che non si debba «reinventare la ruota» per ogni progetto. Infine, la nuova regolamentazione agevolerà la cooperazione internazionale nel settore della sicurezza (cfr. n. 4.2). Il necessario miglioramento della sicurezza delle informazioni a livello di Confederazione provocherà costi, che tuttavia potranno essere stimati oggettivamente solo dopo l’esecuzione della procedura di consultazione. A tale scopo sono necessarie in particolare varianti a livello di organizzazione e risorse in relazione agli inca- ricati della sicurezza delle informazioni e al servizio specializzato della Confederazione per la sicurezza delle informazioni nonché dati più precisi sul numero dei mezzi TIC esistenti che in futuro rientreranno nel livello di sicurezza «protezione molto elevata». Nel suo messaggio, il Consiglio federale presenterà in modo traspa- rente le ripercussioni finanziarie e in materia personale del disegno di legge. I costi imputabili direttamente alla legge devono essere chiaramente delimitati dai costi delle misure che le singole autorità federali possono decidere liberamente nell’ambito dell’attuazione. La legge disciplina in particolare solo la gestione della sicurezza delle informazioni e non definisce né un livello di sicurezza da raggiungere né – salvo alcune eccezioni (cfr. più sotto) – misure dettagliate. Essa non è pertanto attuabile direttamente, in quanto le autorità federali devono emanare disposizioni proprie per il rispettivo ambito di competenza e dispongono al riguardo – ad eccezione del settore organizzativo – di un margine di manovra pressoché illimitato (cfr. art. 87 cpv. 1). In questo contesto devono definire il livello di sicurezza che inten- dono raggiungere (cfr. art. 5 cpv. 3 lett. a) e, su questa base, decidere, a livello di ordinanza, di istruzioni o addirittura di progetto, i requisiti e le misure dal punto di vista organizzativo, del personale, tecnico ed edile necessari al raggiungimento di questo livello. Quanto più il livello di sicurezza da raggiungere è elevato, tanto più i costi delle misure di sicurezza saranno alti. La legge in sé non ha influsso su questi costi. Pertanto, nella valutazione delle ripercussioni finanziarie e in materia di personale della legge non possono nemmeno essere quantificati.
78
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
Già oggi tutte le autorità federali sono tenute ad adottare misure per garantire la sicurezza delle informazioni. Determinante per la valutazione dei costi sono quindi le disposizioni della legge che definiscono nuovi com- piti o modificano compiti e processi esistenti. Qui di seguito sono descritti i cinque fattori di costo più impor- tanti dell’avamprogetto di legge: 1. organizzazione, gestione, attuazione e controllo della sicurezza delle informazioni (art. 5 cpv. 1 lett. a): la nuova organizzazione richiesta dalla legge comporterà un impegno organizzativo da non sottovalutare e richiederà risorse finanziarie. In particolare nella fase di allestimento e di introduzione si dovranno acqui- sire le conoscenze tecniche che attualmente in parte mancano alle autorità federali. Per la gestione e l’esercizio di una simile organizzazione interna saranno competenti gli incaricati della sicurezza delle in- formazioni. Per ogni autorità nonché per i dipartimenti e la CaF la legge prevede almeno due incaricati della sicurezza delle informazioni. L’adempimento di questi compiti dovrà essere garantito principalmen- te con le risorse di personale disponibili. Il fabbisogno effettivo di personale risulterà tuttavia variabile e dipenderà dalle dimensioni dell’autorità o organizzazione (effettivo di personale), dal rispettivo settore di compiti nonché dal numero e dalla criticità dei mezzi TIC da esse impiegati; 2. verifiche e audit migliorati (art. 11 cpv. 2 nonché ad es. art. 24 cpv. 2): per l’esecuzione dei controlli, un compito dirigenziale ordinario, è di principio competente la linea gerarchica. Gli incaricati della sicurezza delle informazioni eseguiranno anch’essi verifiche e audit su mandato della propria autorità o organizza- zione. La legge prevede tuttavia due nuovi tipi di verifiche che comporteranno ripercussioni finanziarie e personali, ossia una verifica dell’efficacia indipendente e periodica delle misure adottate (art. 11 cpv. 2) nonché una verifica tecnica dell’efficacia dei mezzi TIC più critici (art. 24 cpv. 2). I costi che ne risultano dipenderanno dalla frequenza di questi controlli. Grossomodo si possono ipotizzare i seguenti dati: audit esterni (art. 11 cpv. 2): secondo le indicazioni del CDF, per una piccola verifica trasversale sono necessari, in base all’esperienza, circa 100 giorni/persona, mentre per un’ampia verifica trasversale si contano circa 300 giorni/persona; verifiche tecniche dell’efficacia (art. 24 cpv. 2): nella Confederazione sono impiegati approssimativa- mente da 50 a 70 sistemi TIC che in futuro saranno attribuiti al livello di sicurezza «protezione molto elevata» e che quindi dovranno essere sottoposti a una verifica dell’efficacia. In base all’esperienza, i costi per gli audit (spese per il personale) ammontano di regola dallo 0,5 per cento al 2 per cento delle spese totali per investimenti destinati al sistema TIC sottoposto all’audit; 3. controlli di sicurezza relativi alle persone (CSP; art. 32-55): uno degli obiettivi della legge è armonizzare e snellire i CSP. Con le modifiche proposte, in futuro dovranno essere eseguiti meno CSP e quindi i rela- tivi costi dovrebbero diminuire a medio termine; 4. procedura di sicurezza relativa alle aziende (art. 56-80): oggi per l’esecuzione della procedura di sicu- rezza relativa alle aziende nel quadro di mandati militari classificati, il DDPS impiega due posti a tempo pieno. L’estensione al settore civile e alle altre autorità federali proposta dal Consiglio federale comporte- rà un aumento del numero delle aziende interessate e quindi un maggior fabbisogno di personale. Le aziende che si candidano per mandati di autorità estere per la cui esecuzione è necessaria un'attestazione di sicurezza relativa alle aziende devono sopportare i costi per la procedura di sicurezza da eseguire (art. 57 cpv. 3); 5. servizio specializzato della Confederazione per la sicurezza delle informazioni (art. 86): la creazione di questo nuovo servizio comporterà costi di riorganizzazione che dipenderanno dall’attribuzione ammini- strativa del servizio specializzato nonché dall’entità della fusione di organi esistenti. Nonostante il servi- zio specializzato debba adempiere i suoi compiti principalmente con le risorse di personale esistenti dell’Amministrazione federale, sarà necessario personale supplementare. Il servizio specializzato non opererà solo per l’Amministrazione federale, ma anche per le altre autorità federali. Inoltre dovrà svolgere nuovi compiti, in particolare: esecuzione di verifiche e audit (art. 86 cpv. 1 lett. c): vedi più sopra il numero 2. Verifiche e audit mi- gliorati; verifica dell’idoneità dal punto di vista della sicurezza di determinati processi, mezzi e prestazioni (art. 86 cpv. 1 lett. e). Questo nuovo compito è necessario per la standardizzazione auspicata e per la colla- borazione internazionale; direzione e coordinazione dell’ambito della sicurezza delle informazioni in occasione di progetti im- portanti che coinvolgono più autorità (art. 86 cpv. 1 lett. f). Con questo nuovo compito si intende, da un lato, garantire che le competenze nell’ambito di questi progetti vengano chiaramente disciplinate e, dall’altro lato, anche che esperti riconosciuti accompagnino il progetto sotto il profilo della sicurezza;
79
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
elaborazione o definizione di requisiti di sicurezza standardizzati secondo lo stato della dottrina e della tecnica (art. 88 cpv. 1 e 2). Questa misura è necessaria per un’esecuzione possibilmente unitaria. Essa può tuttavia comportare anche risparmi (cfr. sopra). Il Consiglio federale disciplinerà l’organizzazione del servizio specializzato a livello di ordinanza (art. 86 cpv. 3). Al riguardo deciderà anche quali organi esistenti verranno riuniti nonché come e con quali mezzi il servizio specializzato adempirà i suoi compiti. 3.2 Ripercussioni sui Cantoni e i Comuni I Cantoni sono interessati solo nella misura in cui, su mandato diretto e sotto la vigilanza della Confedera- zione, esercitano attività sensibili sotto il profilo della sicurezza (cfr. art. 2 cpv. 2 lett. f nonché art. 89). In simili casi devono adottare le misure di sicurezza necessarie richieste dalla legge e sono inoltre tenuti a desi- gnare un servizio che funga da interlocutore per le autorità federali competenti. Il Consiglio federale disci- plinerà a livello di ordinanza lo svolgimento dei controlli di sicurezza relativi alle persone nel caso degli impiegati cantonali nonché il controllo dell’attuazione delle misure da parte dei Cantoni. Al riguardo terrà conto dell’autonomia cantonale. Le ripercussioni sui Cantoni saranno dunque esigue. 3.3 Ripercussioni sull’economia I terzi sono interessati dalla legge solo indirettamente, vale a dire se sono destinati a gestire informazioni o mezzi TIC della Confederazione nel quadro di un contratto. In seguito all’introduzione di una procedura unitaria di sicurezza relativa alle aziende, le aziende che si candidano per mandati civili della Confederazione che comportano attività sensibili sotto il profilo della sicurezza saranno soggette a tale procedura. L’assoggettamento è connesso a un onere amministrativo supplementare minimo, tuttavia la concorrenzialità delle imprese svizzere viene migliorata poiché la legge crea la base per il rilascio di dichiarazioni di sicurez- za delle autorità a favore di privati che si candidano per mandati classificati esteri o internazionali per la cui esecuzione è necessaria un'attestazione di sicurezza relativa alle aziende (cfr. art. 56-80). Inoltre l’economia beneficerà di una migliore protezione dei segreti d’affari o di fabbricazione affidati alle autorità federali. 3.4 Ripercussioni sulla società La società è interessata sotto due aspetti. In primo luogo è rafforzata la sua fiducia nel trattamento sicuro di informazioni da parte delle autorità federali. Essa ha la certezza che la Confederazione considera importanti le informazioni che riguardano la società (in particolare i dati personali nonché i segreti d’affari e di fabbri- cazione) e le protegge di conseguenza. In secondo luogo, sono resi noti i principi della classificazione di informazioni. Ciò è particolarmente importante in relazione al principio della trasparenza, la cui efficacia non può essere assolutamente pregiudicata dalla legge. 3.5 Rapporto con le strategie nazionali del Consiglio federale 3.5.1 Strategia per una società dell’informazione in Svizzera Il presente avamprogetto è menzionato nel Catalogo dei progetti società dell’informazione 2011-2015 (stato: giugno 2013) sotto l’ambito d’intervento «Sicurezza e fiducia». La legge creerà una chiara base per la con- cretizzazione dei requisiti in materia di sicurezza nei progetti gestiti dalla Confederazione. Riguardo alla strategia: cfr. numero 1.2.1.1. 3.5.2 Strategia nazionale per la protezione della Svizzera contro i rischi informatici Per quanto riguarda la Strategia nazionale per la protezione della Svizzera contro i rischi informatici: cfr. il numero 1.1.2.2; per quanto riguarda il rapporto tra tale strategia e l’avamprogetto: cfr. il numero 1.2.6; per il sostegno degli esercenti di infrastrutture critiche nel settore della sicurezza delle informazioni, cfr. gli articoli 81-83. 3.5.3 Strategia nazionale per la protezione delle infrastrutture critiche (strategia PIC) La strategia PIC del 27 giugno 2012 (FF 2012 6875) si prefigge di rafforzare la resilienza (capacità di resi- stenza) della Svizzera in relazione alle infrastrutture critiche. A questo scopo la strategia definisce diverse misure suddivise in due campi d’azione. L’autoprotezione viene migliorata grazie all’allestimento e all’applicazione, da parte degli organi competenti, di piani di protezione integrali volti a identificare e ridurre i rischi specifici. A livello intersettoriale viene migliorata la collaborazione fra gli attori coinvolti (autorità, gestori) di tutti i settori delle infrastrutture critiche e ridotta la vulnerabilità della società, dell’economia e dello Stato in vista di interruzioni gravi. In questo senso vengono elaborate pianificazioni volte a limitare i
80
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
danni e a sostenere in modo sussidiario i gestori di infrastrutture critiche in caso di interruzioni gravi. Il Con- siglio federale intende sostenere i gestori di infrastrutture critiche nei loro sforzi di protezione. Al riguardo si deve raggiungere la maggior resilienza possibile dal profilo della sicurezza delle informazioni. Diverse misure della strategia PIC si focalizzano direttamente su esigenze riguardanti una migliore sicurezza delle informazioni. La misura 7, ad esempio, prevede di creare una base legale che permetta di sottoporre determinate categorie di personale dei gestori di infrastrutture critiche a controlli di sicurezza. L’esecuzione di controlli di sicurezza deve essere in linea di massima prevista ai sensi della strategia nazionale per la pro- tezione della Svizzera contro i rischi informatici (cfr. n. 1.1.2.2 nonché art. 3 cpv. 3). L’avamprogetto crea pure nella LAEI (cfr. art. 26a LAEI) una base legale per l’esecuzione di verifiche dell’affidabilità di determi- nati impiegati di Swissgrid. La LSIn sostiene quindi anche l’attuazione della strategia PIC. 4 Aspetti giuridici 4.1 Costituzionalità Secondo l’articolo 42 Cost. per le sue regolamentazioni il legislatore federale necessita di una base costitu- zionale (esplicita o implicita). Per la prevista legislazione nell’ambito della sicurezza delle informazioni esi- stono sufficienti basi costituzionali. Sotto il profilo formale, nel caso della normativa da emanare si tratta principalmente di disposizioni organizzative per le autorità federali. Il diritto federale in materia di organiz- zazione non è espressamente menzionato come competenza legislativa nel catalogo inerente alla ripartizione delle competenze tra Confederazione e Cantoni della Cost., tuttavia l’articolo 164 capoverso 1 lettera g Cost. annovera nell’ambito delle competenze dell’Assemblea federale l’«organizzazione e [la] procedura delle autorità federali» tra le materie le cui disposizioni sono emanate sotto forma di legge federale (cfr. l’ingresso della LParl). Inoltre, nella legislazione vigente in materia di organizzazione si rinvia anche all’articolo 173 capoverso 2 Cost. che attribuisce all’Assemblea federale tutte le questioni che rientrano nella competenza della Confederazione e non sono attribuite ad altre autorità (cfr. l’ingresso (con la nota a piè di pagina 1) della LOGA, l’ingresso della LTras nonché della LSIC). Sotto l’aspetto dei contenuti, la normativa è in primo luogo destinata alla salvaguardia della sicurezza interna ed esterna della Svizzera nonché a proteggere la libera formazione dell’opinione e la capacità di agire delle autorità. In questo contesto, essa si fonda anche sull’articolo 54 capoversi 1 e 2 Cost. (Relazioni con l’estero e salvaguardia della sicurezza esterna) nonché sull’articolo 57 capoverso 1 Cost. secondo il quale «nell’ambito delle loro competenze, la Confederazione e i Cantoni provvedono alla sicurezza del Paese […] (cfr. l’ingresso della LMSI )». Non rientrano tra gli obiettivi menzionati in precedenza le disposizioni sul controllo di sicurezza relativo alle aziende, sempre che sia previsto per aziende che necessitano di una dichiarazione di sicurezza aziendale allo scopo di potersi candidare per mandati di autorità estere o internazionali. Questa regolamentazione è coperta dall’articolo 101 Cost., che rappresenta la base per la promozione dell’economia esterna. Le disposizioni inerenti alla protezione delle infrastrutture critiche possono fondarsi tanto sulle basi nell’ambito della sicu- rezza interna ed esterna quanto sulle competenze della Confederazione per l’approvvigionamento del Paese (art. 102 Cost.). Per l’esercito si può rinviare all’articolo 60 Cost. che dichiara l’organizzazione dell’esercito di competenza della Confederazione. 4.2 Compatibilità con gli impegni internazionali della Svizzera La Svizzera ha firmato con diversi Stati e organizzazioni internazionali accordi sulla protezione delle infor- mazioni o accordi in materia di sicurezza (cosiddetti Security Agreements o Security Arrangements; cfr. RS 0.514). Con questi accordi internazionali, la Svizzera si è impegnata a rispettare determinati standard in ma- teria di protezione di informazioni classificate. Oltre che con l’UE, la Svizzera ha concluso, nel 1997, anche un accordo in materia di protezione delle informazioni con la NATO nel quadro del «Partenariato per la pa- ce» nonché, nel 2004, con l’Agenzia spaziale europea (ESA). Da un lato, questi accordi contengono disposi- zioni materiali quali ad esempio i meccanismi di protezione unitari in occasione del trattamento di informa- zioni classificate o il riconoscimento reciproco di certificati di sicurezza. Dall’altro, contengono anche norme organizzative e strutturali. Menzionano ad esempio di volta in volta l’organo competente per la concretizza- zione delle misure di sicurezza (la cosiddetta National Security Authority NSA o Designated Security Autho- rity DSA). In particolare in ambito COMSEC sono richieste autorità nazionali (cosiddette National Accredi- tation Authority NAA o Security Accreditation Authority SAA) che definiscono standard unitari nel settore TIC. Il servizio specializzato della Confederazione per la sicurezza (art. 86) assumerà questi compiti e le responsabilità nel contesto internazionale.
81
Rapporto esplicativo concernente l’avamprogetto di legge federale sulla sicurezza delle informazioni (LSIn)
4.3 Forma dell’atto Già nella sua decisione del 12 maggio 2011 relativa all'elaborazione delle basi legali formali in materia di protezione delle informazioni, il Consiglio federale riteneva che la normativa essenziale sulla sicurezza delle informazioni avrebbe dovuto presentare la forma di una legge federale. Da un lato si tratta di disposizioni essenziali in materia di organizzazione e di procedura per le autorità federali (art. 164 cpv. 1 lett. g Cost.) che in conseguenza della necessità del loro carattere unitario devono spiegare anche effetti su tutte le autorità. Dall'altro lato, si tratta di disposizioni che, in particolare nell'ambito dei controlli di sicurezza, comportano considerevoli ingerenze in ambiti protetti dalla Costituzione. 4.4 Delega di competenze normative Le autorità assoggettate alla LSIn dovranno emanare prescrizioni d'esecuzione in particolare per disciplinare i compiti, le competenze e le misure organizzative nei rispettivi ambiti di competenza. Non si tratta sostan- zialmente di disposti ordinativi surrogatori della legge nel senso dei principi di delega riconosciuti, bensì di prescrizioni d'esecuzione (autonome) vere e proprie i cui principi materiali sono stabiliti nella legge e che non concedono ai privati alcun diritto immediato né impongono loro degli obblighi. La stessa Costituzione attribuisce di principio le competenze per l’emanazione di tali prescrizioni d’esecuzione alle autorità assog- gettate alla LSIn. Pertanto nell’avamprogetto di legge esse non vengono indicate in maniera dettagliata. Espresse norme di delega sono tuttavia contenute nella legge laddove: è fatto obbligo alle autorità interessate di emanare disposizioni esecutive o disposti ordinativi surrogatori della legge (ad es. art. 5 cpv. 1, art. 19 cpv. 1, art. 22 cpv. 1 ecc.); autorizza il Consiglio federale a concludere autonomamente trattati internazionali (art. 90).
82