19.3895 · Mozione · 2019-06-21
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Il Consiglio federale è incaricato di presentare al Parlamento un adeguamento della legge federale sugli acquisti pubblici che consenta in avvenire di perseguire in modo più efficace l'obiettivo della sovranità digitale per le infrastrutture critiche, ad esempio del settore della difesa.
Begründung
Nella sua risposta all'interpellanza 19.3185, "Acquisti della Confederazione. Nessuna backdoor digitale", il Consiglio federale si è espresso contro una politica più restrittiva per l'acquisto di hardware e software di importanza strategica nel settore della difesa. La possibilità di farsi notificare e di verificare i codici sorgente esiste già.
Considerata l'importanza della sovranità digitale e l'acuirsi dei rischi per la sicurezza, la semplice verifica è un atto insufficiente per un Paese neutrale, in particolare nel settore della difesa. Praticando una politica permissiva in materia di acquisti, la Svizzera rischia di perdere dati strategici cruciali e di diventare una pedina nel gioco tra le grandi potenze, che si contendono da anni la supremazia in campo cibernetico. Questo timore trova conferma anche nelle pertinenti raccomandazioni formulate nel rapporto semestrale 2018/II di Melani, pubblicato il 30 aprile 2019. In tale rapporto si legge, a pagina 7 e 8: "Non è ipotizzabile che una qualunque impresa privata si opponga al diritto vigente nel proprio Paese persino in un caso estremo ... Anche in vista di possibili accessi e ingerenze da parte di altri Stati, dovrebbe dunque essere creata una gestione sistematica del rischio che affronti in via continuativa i rapporti con i produttori, i fornitori e l'indotto delle soluzioni hardware e software."
L'autorità competente per gli acquisti della Confederazione deve ricevere imperativamente direttive più severe. Il principio della sovranità digitale nel campo delle infrastrutture critiche, ad esempio del settore della difesa, deve godere obbligatoriamente di una priorità più elevata. Per la verifica dell'hardware e del software utilizzato in soluzioni critiche del settore della difesa, ad esempio, devono essere definiti al più presto standard e processi vincolanti, che devono essere controllati e imposti nell'ambito degli acquisti. Le pertinenti disposizioni della legge federale sugli acquisti pubblici vanno adeguate in tal senso. Il Consiglio federale è invitato a sottoporre rapidamente al Parlamento gli adeguamenti delle basi legali necessari a tal fine.
Antrag des Bundesrates
Il Consiglio federale propone di respingere la mozione.
Stellungnahme des Bundesrates
Nei "Principi del Consiglio federale in materia di politica d'armamento del Dipartimento federale della difensa, della protezione della popolazione e dello sport (DDPS) del 24 ottobre 2018, il Consiglio federale sottolinea che in Svizzera devono essere presenti le conoscenze tecnologiche minime necessarie nonché le capacità industriali per garantire la capacità d'impiego dell'esercito in tutte le situazioni. La totale indipendenza dall'estero non costituisce per la Svizzera un obiettivo realistico. È pertanto necessario concentrarsi sul mantenimento e sul rafforzamento di determinate tecnologie chiave fondamentali per la sicurezza nazionale. In particolar modo la dipendenza nei settori delle tecnologie dell'informazione, della comunicazione e dei sensori va minimizzata. Con l'entrata in vigore dell'aggiornamento dei "Principi del Consiglio federale in materia di politica d'armamento del DDPS", nelle tecnologie chiave si punta maggiormente sulle competenze in Svizzera. Al momento ciò viene ulteriormente puntualizzato nell'ambito dell'elaborazione di una strategia d'attuazione. Nel frattempo le dipendenze dall'estero sul piano industriale nei settori chiave sono costantemente ridotte tramite il processo d'acquisto.
La gestione sicura di dati strategicamente fondamentali si basa sia sulla protezione delle informazioni che sulla sicurezza informatica. Questi requisiti vengono già oggi tenuti in considerazione al momento dell'acquisto. Determinante a tal fine è in particolare l'ordinanza sulla protezione delle informazioni della Confederazione (RS 510.411). Nel quadro dell'attuale procedura d'acquisto tutti i progetti e i sistemi sono esaminati in base alla loro rilevanza dal punto di vista della sicurezza. La necessità di protezione sarà chiarita nel quadro di un'analisi predefinita e verrà redatta la documentazione di sicurezza necessaria. In questo ambito vi è già oggi un metodo di gestione dei rischi per ridurre lo spionaggio dei servizi di informazione.
Se la necessità di protezione è elevata, la procedura d'acquisto è adeguata per minimizzare i rischi. Nel quadro delle possibilità del diritto in materia di acquisti pubblici questo può accadere mediante aggiudicazione diretta o aggiudicazione per procedura mediante invito. Viene inoltre eseguita una verifica approfondita dei potenziali offerenti. Se un progetto è considerato confidenziale, prima dell'aggiudicazione va effettuata una procedura di tutela del segreto. La comunicazione del codice sorgente è indispensabile per il proseguimento del progetto. Le direttive specifiche al progetto, elaborate nel quadro dell'acquisto, si applicano per l'intero ciclo di vita del sistema sino alla messa fuori servizio. Le direttive devono altresì essere rivedute periodicamente.
Le direttive sono inoltre sviluppate ulteriormente in maniera costante. Dall'inizio del 2019 il DDPS in collaborazione con partner e fornitori esterni verifica le prescrizioni di sicurezza nella gestione dei dati degni di protezione nonché la gestione dei rischi a livello di Confederazione. Se necessario verranno ulteriormente inasprite.
Saranno inoltre verificate altre misure nell'ambito dei postulati Dobler 19.3135 e 19.3136 adottati dal Consiglio nazionale il 21 giugno 2019. Si analizzerà se gli strumenti attuali per i controlli rilevanti per la sicurezza di determinati acquisti per l'esercito sono sfruttati appieno o se vi è semmai la necessità di ulteriori misure o standard. Allo stesso modo viene presentato un rapporto in merito alle modalità con cui è eventualmente possibile rafforzare ulteriormente la capacità di resistenza dell'apparato informatico di infrastrutture critiche in Svizzera mediante misure mirate. Prima di emanare nuove direttive, occorre innanzitutto attendere i risultati di questa analisi.
Il Consiglio federale propone di respingere la mozione.