Il Consiglio federale mette in vigore la legge sulla sicurezza delle informazioni

Berna, 08.11.2023 - La legge sulla sicurezza delle informazioni (LSIn) e la quattro rispettive ordinanze d’esecuzione entreranno in vigore il 1° gennaio 2024. Così è stato deciso dal Consiglio federale nella sua seduta dell’8 novembre 2023. In tal modo il Consiglio federale rafforza la protezione delle informazioni e la cibersicurezza della Confederazione.

La LSIn riunisce in un unico atto normativo le principali basi giuridiche per la sicurezza delle informazioni e dei mezzi informatici della Confederazione. La legge e le quattro rispettive ordinanze d’esecuzione stabiliscono per tutte le autorità e le organizzazioni della Confederazione requisiti minimi unitari in materia di sicurezza delle informazioni sulla base di standard internazionali.

La cibersicurezza della Confederazione non si limita alla propria struttura informatica. Anche presso terzi come pure presso i Cantoni e i partner internazionali la protezione delle informazioni e dei dati della Confederazione deve essere garantita. La LSIn e le quattro rispettive ordinanze d’esecuzione forniscono a tale riguardo direttive efficaci e attuali.

Tre nuove ordinanze e una revisione parziale

Ai fini dell’attuazione della LSIn sono state elaborate tre nuove ordinanze e un’ulteriore ordinanza è stata parzialmente riveduta:

• Ordinanza sulla sicurezza delle informazioni (OSIn): la nuova OSIn riunisce, completa e sostituisce due ordinanze attualmente in vigore, vale a dire l’ordinanza sui ciber-rischi e l’ordinanza sulla protezione delle informazioni. L’OSln disciplina la gestione della sicurezza delle informazioni, la protezione di informazioni classificate, la sicurezza informatica e le misure per la sicurezza personale e fisica. Con l’OSIn gli uffici federali sono ora obbligati a introdurre un sistema di gestione della sicurezza delle informazioni (SGSI). Un SGSI comprende le prescrizioni, le procedure e le misure necessarie per la gestione, l’attuazione, la verifica e il miglioramento della sicurezza delle informazioni. Già oggi un SGSI è considerato uno standard sia nell’economia privata sia nell’amministrazione pubblica.
I Cantoni sono interessati dall’OSIn se trattano informazioni della Confederazione classificate o se accedono a mezzi informatici della Confederazione. Quantomeno in questi casi devono rispettare le relative prescrizioni e garantire una sicurezza delle informazioni almeno equivalente.

• Ordinanza sui controlli di sicurezza relativi alle persone (OCSP): l’OCSP disciplina la procedura.per i vari controlli di sicurezza relativi alle persone. Questi controlli servono a valutare se esiste un rischio per la sicurezza delle informazioni nel caso in cui una determinata persona esercitasse un’attività sensibile sotto il profilo della sicurezza per la Confederazione. A tale scopo il competente servizio specializzato raccoglie dati sulla condotta di vita della persona in questione, sulle sue relazioni personali strette e quelle familiari, sulla sua situazione finanziaria e sui suoi rapporti con l’estero, e li valuta in rapporto alla loro rilevanza per la sicurezza della Svizzera. La stessa LSIn pone chiari limiti al trattamento di questi dati, che possono essere raccolti e valutati solo se sono rilevanti per la sicurezza. Con la LSIn il legislatore ha ampliato la gamma di dati che i servizi specializzati competenti per l’esecuzione dei controlli di sicurezza relativi alle persone possono trattare ai fini della valutazione del rischio per la sicurezza. In tal modo viene aumentata l’efficacia dei controlli. Con il nuovo diritto il controllo viene riservato alle persone che, a seguito della loro funzione, possono effettivamente arrecare un danno considerevole alla Confederazione. Di conseguenza in futuro verranno effettuati meno controlli.

• Ordinanza sulla procedura di sicurezza relativa alle aziende (OPSAz): la nuova ordinanza disciplina i dettagli della procedura di sicurezza relativa alle aziende introdotta dalla LSIn e sostituisce l’attuale ordinanza sulla tutela del segreto, limitata a mandati con contenuto classificato dal punto di vista militare. Tale procedura viene eseguita quando le autorità federali affidano ad aziende mandati sensibili sotto il profilo della sicurezza. L’affidabilità di queste aziende viene verificata in collaborazione con il Servizio delle attività informative della Confederazione. Lo scopo è quello di impedire in particolare che aziende controllate da servizi di intelligence esteri abbiano accesso a informazioni altamente classificate o a sistemi informatici critici della Confederazione. Durante l’adempimento del mandato, il servizio specializzato competente può ispezionare l’azienda in qualsiasi momento e senza preavviso al fine di verificare l’attuazione delle misure di sicurezza delle informazioni. Può anche effettuare audit.

• Ordinanza sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione (OIAM): oltre alle tre nuove ordinanze, l’entrata in vigore della LSIn richiede diversi adeguamenti dell’OIAM. Allo stesso tempo viene definito il quadro per mettere a disposizione in futuro un servizio di login standardizzato per l’accesso ai servizi online dell’amministrazione a tutti i livelli federali (e-government). Questi adeguamenti entreranno in vigore il 1° gennaio 2024, a condizione che il Consiglio federale abbia già deciso per questa data l’entrata in vigore della legge federale concernente l’impiego dei mezzi elettronici per l’adempimento dei compiti delle autorità.

Nella sua seduta dell’8 novembre 2023 il Consiglio federale ha inoltre preso atto dei risultati della procedura di consultazione concernente le tre ordinanze che ha avuto luogo da agosto a fine novembre 2022. Le ordinanze sono state accolte con favore da un’ampia maggioranza.

Obbligo di notifica di ciberattacchi alle infrastrutture critiche

Il 29 settembre 2023 il Parlamento ha approvato una modifica della LSIn con la quale viene introdotto l’obbligo di notifica in caso di ciberattacchi contro infrastrutture critiche. Poiché ciò presuppone una rielaborazione completa del capitolo 5 della LSIn, le disposizioni esecutive saranno emanate in una fase successiva. Il progetto crea le basi giuridiche riguardo all’obbligo di notifica per i gestori di infrastrutture critiche e definisce i compiti del Centro nazionale per la cibersicurezza (NCSC), previsto come servizio centrale di segnalazione di ciberattacchi.

Indirizzo cui rivolgere domande

Comunicazione DDPS
+41 58 464 50 58
kommunikation@gs-vbs.admin.ch