La SEPOS identifica misure per la sicurezza degli appalti della Confederazione
Berna, 01.05.2025 — La Segreteria di Stato della politica di sicurezza (SEPOS) presenta un rapporto concernente la prevenzione di fughe di dati presso i fornitori allo scopo di aumentare la sicurezza delle informazioni della Confederazione. Il rapporto si rivolge in particolare ai servizi richiedenti e ai servizi d’acquisto della Confederazione e illustra le basi nonché le possibili soluzioni che consentono di migliorare la sicurezza delle informazioni presso i fornitori esterni e di verificarla in maniera efficiente. Si tratta di una delle misure decise dal Consiglio federale dopo l’attacco hacker contro Xplain.
Il Consiglio federale ha incaricato la Segreteria di Stato della politica di sicurezza (SEPOS) di fare il punto della situazione riguardo alla sicurezza delle catene di fornitura alla luce di quanto previsto dalla legge sulla sicurezza delle informazioni. Il Servizio specializzato della Confederazione per la sicurezza delle informazioni competente all’interno della SEPOS ora presenta tale rapporto, elaborato da un gruppo di lavoro in cui erano rappresentati servizi d’acquisto e uffici di diversi dipartimenti.
La sicurezza delle informazioni parte dall’aggiudicazione di un mandato a fornitori esterni
Il rapporto evidenzia che la sicurezza delle informazioni è rilevante non solo dal momento in cui si stipula il contratto, ma già sin dal rilevamento del fabbisogno. Il cosiddetto servizio richiedente, ossia l’organo all’interno dell’Amministrazione che necessita di una prestazione di servizio o di un prodotto, definisce in modo tempestivo quali sono i requisiti di sicurezza. Il servizio d’acquisto, responsabile dell’esecuzione della procedura d’appalto, fa in modo che tali disposizioni siano riportate correttamente nella documentazione del bando. Se il tema della sicurezza delle informazioni non viene disciplinato sin dall’inizio, in un secondo momento è difficile rimediarvi o lo è solo sostenendo costi aggiuntivi. Il tutto richiede uno stretto coordinamento tra servizio richiedente e servizio d’acquisto.
Con le limitate risorse disponibili per vigilare sulla sicurezza degli appalti occorre garantire la massima efficacia possibile. Ciò significa che i controlli devono concentrarsi sugli ambiti in cui vi sono i rischi maggiori per la Svizzera. Se i rischi sono bassi, l’onere per la vigilanza va invece ridotto al minimo.
Strumenti idonei per verificare la sicurezza delle informazioni
Il rapporto elenca inoltre gli strumenti di vigilanza che si sono rivelati validi nella pratica e li valuta in funzione della gravità dell’ingerenza presso il fornitore e dell’onere per la Confederazione. Tali strumenti di vigilanza spaziano dall’autodichiarazione dei fornitori e da controlli e audit da parte della Confederazione alla richiesta di sistemi certificati e sempre aggiornati per la gestione della sicurezza delle informazioni presso i fornitori.
In più, il rapporto richiama l’attenzione sul fatto che la sicurezza delle informazioni non può limitarsi al fornitore a cui è stato assegnato l’appalto nella procedura di aggiudicazione. Spesso dietro alla fornitura di una prestazione statale vi sono catene di fornitura lunghe e molto ramificate, che non di rado si estendono oltre i confini nazionali. Le direttive in materia di sicurezza devono essere rispettate per tutta la catena di fornitura che è alla base di una prestazione contrattuale.
Il Servizio specializzato della Confederazione per la sicurezza delle informazioni
Con questo rapporto il Servizio specializzato della Confederazione per la sicurezza delle informazioni propone alle autorità e alle organizzazioni della Confederazione opzioni operative per attuare una vigilanza sui fornitori efficace, economica e basata sul rischio, rispettando i principi dello Stato di diritto e sfruttando i margini di discrezionalità disponibili. Il Servizio specializzato della Confederazione per la sicurezza delle informazioni funge da organo normativo e di vigilanza per la sicurezza della Confederazione come sistema complessivo, comprese le aziende che eseguono mandati della Confederazione, ed è incaricato di gestire in maniera uniforme la sicurezza delle informazioni a livello di Confederazione. Oltre all’attività di consulenza e di supporto a beneficio delle autorità e delle organizzazioni della Confederazione, il Servizio specializzato può effettuare anche valutazioni di carattere giuridico o tecnico riguardo a progetti importanti della Confederazione, proprio come nel caso del rapporto in oggetto.