Legge sulla sicurezza delle informazioni

Informationssicherheitsgesetz ISG

Panoramica

Nella Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) del 27 giugno 2012 il Consiglio federale descrive le nuove minacce derivanti dallo sviluppo delle tecnologie dell’informazione e della comunicazione. Illustra inoltre come, in collaborazione con le autorità, il mondo economico e i gestori di infrastrutture indispensabili per il funzionamento della società, dell’economia e dello Stato (le cosiddette infrastrutture critiche), intende ridurre al minimo i relativi rischi.

Anche le autorità e le organizzazioni federali sono esposte ai pericoli descritti nella SNPC; gestiscono infrastrutture di informazione e di comunicazione la cui perturbazione, interruzione o distruzione può avere gravi ripercussioni sulla società, sull’economia o sullo Stato. Per l’adempimento dei propri compiti la Confederazione tratta inoltre quotidianamente grandi quantità di informazioni e dati. Tra questi ve ne sono alcuni che per motivi diversi richiedono una maggiore protezione: dati personali, segreti d’affari e di fabbricazione, informazioni classificate ecc. Per quanto concerne la sicurezza delle informazioni in seno alla Confederazione, diversi attacchi sferrati ai sistemi d’informazione della Confederazione hanno evidenziato la presenza di lacune che possono essere ricondotte anche all’anacronismo delle basi legali.

La legge sulla sicurezza delle informazioni definisce i requisiti minimi che tutte le autorità federali devono soddisfare per garantire la protezione delle proprie informazioni e infrastrutture informatiche. Riassume pertanto le misure più importanti in un unico disciplinamento uniforme: gestione dei rischi, classificazione delle informazioni, sicurezza informatica, controlli di sicurezza relativi alle persone, sicurezza in occasione di acquisti sensibili e sostegno da parte della Confederazione ai gestori di infrastrutture critiche nell’ambito della sicurezza delle informazioni.

La legge si basa su standard riconosciuti a livello internazionale. Per migliorare in maniera economica e duratura la sicurezza delle informazioni in seno alla Confederazione e per conseguire un livello di sicurezza il più uniforme possibile tra le autorità federali, la legge si concentra in particolare sulle informazioni e sui sistemi più critici nonché sulla standardizzazione delle misure. Non da ultimo a causa dei rapidi sviluppi tecnologici la legge sulla sicurezza delle informazioni non definisce misure dettagliate, bensì crea soltanto un quadro legale formale sulla cui base le autorità federali concretizzeranno, a livello di ordinanze e di istruzioni, la sicurezza delle informazioni nel modo più uniforme possibile.

Stato dell’affare

Il 4 dicembre 2017 il Consiglio degli Stati ha approvato, con modifiche, la legge sulla sicurezza delle informazioni con 39 voti e 4 astensioni. Le modifiche riguardano, tra l’altro, l’utilizzo del numero AVS nonché i controlli di sicurezza relativi alle persone per collaboratori esterni all’Amministrazione federale. Il 13 marzo 2018, con 117 voti contro 68 e 8 astensioni, il Consiglio nazionale ha deciso non entrare in materia. Il 26 settembre 2018 il Consiglio degli Stati ha confermato senza voto dissenziente la sua decisione di entrare in materia. L’affare passa ora di nuovo al Consiglio nazionale. Qualora esso, per la seconda volta, non dovesse entrare in materia, l’affare sarebbe archiviato. Il 9 ottobre 2018 la Commissione della politica di sicurezza del Consiglio nazionale è entrata in materia sul progetto. Ha però deciso di sospendere le deliberazioni e di chiedere al DDPS di illustrarle, entro la metà di giugno 2019, in che modo il progetto può essere migliorato. A tal fine la Commissione ha indicato al DDPS alcuni criteri.

FAQ

In generale

La sicurezza delle informazioni comprende la totalità di tutti i requisiti e tutte le misure con i quali si proteggono la confidenzialità, l’integrità, la disponibilità e la tracciabilità di informazioni, nonché la disponibilità e l’integrità di mezzi informatici. Implicito in questa definizione è il livello di sicurezza da raggiungere mediante tali requisiti e misure.

La sicurezza delle informazioni va oltre la semplice sicurezza informatica (detta anche sicurezza IT o cybersicurezza) poiché comprende tutti i processi di elaborazione (documenti cartacei, affermazioni orali ecc.) e non soltanto il trattamento elettronico delle informazioni.

La legge mira a migliorare in maniera economica e duratura la sicurezza delle informazioni in seno alla Confederazione. Inoltre, ha lo scopo di garantire che le autorità federali abbiano a disposizione infrastrutture informatiche affidabili per adempiere i propri compiti legali e che proteggano in modo adeguato ai rischi le informazioni e i dati nel proprio ambito di competenza. In ultima analisi tutela quindi la capacità di decisione e d’azione delle autorità federali, la sicurezza interna ed esterna della Svizzera nonché i suoi interessi in materia di politica estera, economica, finanziaria e monetaria. La legge ha inoltre lo scopo di garantire la protezione pratica di dati personali e informazioni provenienti dal mondo economico, nella misura in cui quest’ultimi sono trattati dalle autorità federali.

Per adempiere ai propri compiti le autorità federali scambiano informazioni tra di loro e con terzi. Tale scambio di informazioni avviene sempre di più in modo elettronico. Al contempo si sta assistendo a una sempre maggiore interconnessione tra i sistemi informatici delle autorità federali. Di conseguenza aumenta il rischio che eventuali attacchi e minacce contro una determinata autorità si estendano anche agli ambiti di competenza di altre autorità coinvolte. Le singole autorità devono quindi essere obbligate a coordinare tra loro le proprie misure di sicurezza a livello organizzativo, tecnico, fisico e di personale per la protezione delle informazioni e dei mezzi informatici. Terzi che trattano informazioni della Confederazione devono rispettare le direttive di sicurezza di quest’ultima. Solo in questo modo è possibile garantire la sicurezza necessaria e la fiducia reciproca.

Con l’evoluzione in atto verso una società dell’informazione, le relative minacce sono diventate sempre più complesse e dinamiche e vanno affrontate in maniera professionale, reticolare e integrale. La maggior parte degli strumenti attuali della sicurezza delle informazioni è tuttavia impostata in modo settoriale e le relative disposizioni materiali sono scarsamente coordinate tra loro e spesso non sono orientate alle esigenze pratiche di una società dell’informazione. Di conseguenza, la Confederazione gestisce strutture organizzative parallele distinte per ognuno di questi sottosettori della sicurezza delle informazioni. La prassi ha dimostrato che l’orientamento settoriale in seno alla Confederazione è ormai inadeguato e inefficiente. Per questo le principali misure concernenti la sicurezza delle informazioni devono essere riunite in una normativa unica e moderna e gestite in maniera globale. Tale soluzione è anche in linea con gli standard internazionali, che disciplinano la sicurezza delle informazioni con un approccio integrale.

Secondo la Costituzione le disposizioni fondamentali sulle limitazioni dei diritti costituzionali devono essere contenute in una legge in senso formale. Il grado di dettaglio delle relative disposizioni dipende dalla gravità dell’ingerenza. Inoltre, secondo la legge federale sulla protezione dei dati gli organi federali possono trattare dati personali degni di particolare protezione e profili della personalità soltanto se una legge lo prevede esplicitamente. Le basi legali formali sono quindi necessarie in particolare per l’impiego di sistemi d’informazione per il controllo centralizzato delle identità, per i controlli di sicurezza relativi alle persone, per le procedure di sicurezza relative alle aziende e per lo scambio di dati nel quadro dell’appoggio alle infrastrutture critiche.

Nella Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) del 27 giugno 2012 il Consiglio federale descrive le minacce alle quali sono esposte le infrastrutture critiche, il mondo economico, la popolazione e le autorità. Sottolinea inoltre il principio della responsabilità degli attori interessati. Sebbene la SNPC si applichi a tutta la Svizzera e comprenda tutti i cyber-rischi, l’attenzione del Consiglio federale è incentrata sulla protezione delle infrastrutture critiche e sul potenziamento della loro capacità di resistenza. Le autorità federali, che peraltro sono considerate infrastrutture critiche, sono responsabili delle proprie misure di protezione.

Da un lato, la legge sulla sicurezza delle informazioni (LSIn) copre uno spettro più ampio rispetto alla SNPC poiché non si limita solo ai cyber-rischi, ma include anche minacce contro le informazioni che non provengono da Internet. Nella LSIn i controlli di sicurezza relativi alle persone e la procedura di sicurezza relativa alle aziende sono contemplate come misure particolari della sicurezza delle informazioni. Dall’altro, il campo d’applicazione della LSIn è nettamente meno ampio rispetto a quello della SNPC poiché si limita alle autorità e alle organizzazioni della Confederazione e non a tutta la Svizzera. Di fatto, è più importante il carattere normativo della LSIn: la legge definisce, laddove necessarie, direttive per la collaborazione e la sicurezza.

La legge sulla sicurezza delle informazioni (LSIn)

  • Definisce esigenze di sicurezza minime che tutte le autorità federali devono soddisfare. Tali esigenze si applicano solo in parte ai Cantoni.
  • Concentra in un unico atto normativo le misure più importanti relative alla sicurezza delle informazioni e incarica le autorità federali di attuare e verificare la propria sicurezza delle informazioni in modo integrale e secondo standard internazionali riconosciuti.
  • Incarica il Consiglio federale di definire uno standard di sicurezza tecnico.
  • Disciplina lo scambio di informazioni e di dati tra gli organi competenti per il sostegno alle infrastrutture critiche, le infrastrutture critiche stesse e i partner internazionali della Svizzera nell’ambito della sicurezza tecnica delle informazioni.
  • Colma numerose lacune e punti deboli del diritto vigente e modernizza l’organizzazione specialistica in materia di sicurezza delle informazioni presso le autorità federali.
  • Istituisce un servizio specializzato della Confederazione per la sicurezza delle informazioni che sosterrà le autorità federali, svolgerà analisi dei rischi e audit e assumerà compiti nel contesto internazionale.

La LSIn si applica principalmente a tutte le autorità della Confederazione: Parlamento, tribunali federali, Consiglio federale e Amministrazione federale, esercito, Ministero pubblico della Confederazione e la sua autorità di vigilanza, Banca nazionale svizzera. Le unità amministrative dell’Amministrazione federale decentralizzata, così come le organizzazioni di diritto pubblico e privato a cui sono affidati compiti amministrativi, possono essere assoggettate alla legge se esercitano attività della Confederazione sensibili sotto il profilo della sicurezza. L’applicabilità ai Cantoni si limita, in linea di principio, a casi in cui trattano informazioni protette della Confederazione o accedono ai suoi mezzi informatici. L’economia e i privati sono interessati dalla LSIn solo se eseguono mandati sensibili sotto il profilo della sicurezza su incarico della Confederazione.

I costi dell’attuazione della legge dipendono ampiamente dal livello di sicurezza che le autorità federali intendono raggiungere e dal relativo diritto esecutivo. Il fabbisogno supplementare di personale per migliorare la sicurezza delle informazioni sarà compensato in gran parte internamente. Tuttavia, secondo le stime attuali, a medio termine saranno necessari tra quattro e undici posti supplementari.

La LSIn è una legge lunga per due motivi. In primo luogo, nella LSIn sono riuniti diversi ambiti che sinora erano disciplinati in modo separato (classificazione, sicurezza informatica, sicurezza fisica, controlli di sicurezza relativi alle persone ecc.) o con una densità normativa insufficiente (controlli di sicurezza relativi alle persone, procedura di sicurezza relativa alle aziende) oppure che non erano ancora stati disciplinati a livello di legge formale (gestione della sicurezza delle informazioni, sicurezza informatica, gestione delle identità e degli accessi, appoggio alle infrastrutture critiche ecc.). Anche solo l’oggetto da disciplinare richiede quindi una certa lunghezza.

In secondo luogo, l’elevata densità normativa deriva dal campo d’applicazione della legge. Il Parlamento, i tribunali federali, il Ministero pubblico della Confederazione e la Banca nazionale non sono assoggettati alle istruzioni del Consiglio federale. Per proteggere la loro autonomia e indipendenza è quindi necessario che tutte le misure vincolanti per le autorità federali siano ancorate nella LSIn. Esse eseguiranno autonomamente la legge, mentre la standardizzazione avverrà in collaborazione con le altre autorità.

La classificazione è una misura che viene da sempre impiegata per la protezione delle informazioni la cui conoscenza da parte di persone non autorizzate può pregiudicare interessi essenziali dello Stato in materia di sicurezza o danneggiare quest’ultimo. La classificazione ha quindi lo scopo di proteggere la confidenzialità dei segreti di Stato. La LSIn prevede un sistema di classificazione a tre livelli: AD USO INTERNO, CONFIDENZIALE e SEGRETO. La soglia per la classificazione viene innalzata così che in futuro si eseguiranno meno classificazioni. Le persone che trattano informazioni classificate CONFIDENZIALE o SEGRETO sono sottoposte a un controllo di sicurezza relativo alle persone.

La legge non limita in nessun modo il principio della trasparenza nell’Amministrazione. I criteri di classificazione sono stati predisposti in modo tale da corrispondere, in linea di principio, con l’elenco di eccezioni dell’articolo 7 della legge del 17 dicembre 2004 sulla trasparenza. Inoltre, la LSIn contempla la preminenza della legge sulla trasparenza.

Poiché l’interconnessione e lo scambio di informazioni per via elettronica tra le autorità sono destinati a intensificarsi ulteriormente, sono necessari in misura sempre maggiore processi e soluzioni comuni alle autorità. Determinati parametri della sicurezza informatica devono essere disciplinati a livello di legge formale se riguardano l’autonomia delle autorità o i diritti delle persone. La LSIn non definisce misure tecniche nell’ambito della sicurezza informatica, ma mira all’unificazione dei processi più importanti volti a garantire la sicurezza delle informazioni nel quadro dell’impiego di mezzi informatici.

La gestione e il controllo efficaci delle identità e degli accessi sono tra le misure operative più idonee a garantire la sicurezza delle informazioni. In seguito alla sempre maggiore utilizzazione di informazioni provenienti da fonti diverse e al di là dei limiti delle singole organizzazioni, le esigenze in materia di protezione e funzionalità possono ormai essere soddisfatte in maniera efficiente soltanto mediante sistemi coordinati tra tutti gli attori coinvolti. Per l’Amministrazione federale, un sistema di questo tipo sarà introdotto nel quadro del programma IAM Confederazione. Di per sé, il Consiglio federale e le altre autorità federali hanno senz’altro la competenza di introdurre tali sistemi di gestione delle identità (denominati anche sistemi IAM), ma, per motivi inerenti alla protezione dei dati, determinati aspetti del trattamento dei dati personali richiedono una base legale formale.

Controllo di sicurezza relativo alle persone

In quanto misura statale in materia di sicurezza delle informazioni, il controllo di sicurezza relativo alle persone (CSP) deve essere impiegato in funzione dei rischi e in modo economico. Deve inoltre soddisfare requisiti elevati per quanto concerne il principio di proporzionalità, dal momento che è necessariamente legato a una sensibile ingerenza nei diritti personali della persona da sottoporre al controllo. Dal 2000 il numero di CSP svolti ogni anno è costantemente aumentato. Attualmente viene controllato un numero elevato di persone che non svolge compiti particolarmente sensibili per la Confederazione (ad es. il personale di pulizia). È stato quindi necessario aumentare regolarmente le risorse degli organi di controllo competenti. Sulla base di questa evoluzione, il Consiglio federale ha constatato che oggi il CSP non viene più impiegato in funzione dei rischi e in modo proporzionale. Intende quindi ridurre l’impiego dei CSP al minimo indispensabile per identificare e gestire rischi rilevanti per la sicurezza delle informazioni della Confederazione. La nuova normativa proposta consentirà di ridurre nettamente il numero di CSP.

Il CSP è una misura preventiva per la protezione dello Stato contro attacchi interni. Serve a valutare se sussiste un rischio per la sicurezza delle informazioni qualora una determinata persona, nel quadro della sua funzione o di un mandato, eserciti un’attività sensibile sotto il profilo della sicurezza. Al termine del controllo, spetta esclusivamente all’autorità competente per l’attribuzione del mandato o per l’assunzione della persona interessata decidere se intende assumersi un eventuale rischio più elevato, se intende ridurlo ponendo determinate condizioni o evitarlo non assumendo o licenziando la persona interessata. I CSP hanno pertanto caratteristiche simili agli assessment che spesso il datore di lavoro commissiona prima dell’assunzione di una persona destinata a ricoprire una funzione dirigenziale o una posizione chiave.

Sono sottoposte a un CSP le persone che svolgono un’attività sensibile sotto il profilo della sicurezza. Sono considerati sensibili sotto il profilo della sicurezza il trattamento di informazioni classificate CONFIDENZIALE o SEGRETO, l’amministrazione e la gestione di mezzi informatici critici nonché l’accesso a determinate zone di sicurezza. Un CSP può anche essere eseguito in applicazione di un trattato internazionale. Gli impiegati della Confederazione di alto livello nonché il personale diplomatico del Dipartimento federale degli affari esteri possono essere sottoposti a una verifica dell’affidabilità in virtù della legge del 24 marzo 2000 sul personale federale. Gli impiegati della Confederazione e i militari possono essere sottoposti al CSP solo se il Consiglio federale ha inserito la loro funzione nell’elenco delle funzioni da sottoporre al controllo.

Il CSP può essere svolto solo con il consenso della persona da sottoporre al controllo. Sono escluse le persone soggette all’obbligo di leva, i militari e i militi della protezione civile che possono essere sottoposti al controllo di sicurezza senza il loro consenso. La persona da sottoporre al controllo viene informata in modo esaustivo sulla procedura di controllo, sui dati acquisiti e sui suoi diritti. È altresì tenuta a cooperare all’accertamento dei fatti. Il consenso è valido fino al termine della procedura di controllo, ma può essere revocato in qualsiasi momento dalla persona interessata presso l’autorità di controllo. Se la persona interessata non acconsente al CSP o revoca il suo consenso, la funzione o l’attività può non essere attribuita oppure deve essere revocata.

Nel quadro del CSP vengono acquisiti e valutati dati rilevanti per la sicurezza concernenti la condotta di vita della persona da controllare, in particolare le sue relazioni personali strette e quelle familiari, la sua situazione finanziaria e i suoi rapporti con l’estero. I dati concernenti l’esercizio dei diritti costituzionali possono essere trattati unicamente qualora sussista un sospetto concreto che la persona da controllare si serva dell’esercizio di tali diritti per agire contro gli interessi in materia di sicurezza della Svizzera.

Per un controllo di sicurezza di base (livello CONFIDENZIALE) il servizio specializzato per i controlli di sicurezza relativi alle persone (servizio specializzato CSP) acquisisce dati dalle seguenti fonti: casellario giudiziale, autorità penali, organi di sicurezza della Confederazione, Servizio delle attività informative della Confederazione, organi dell’esercito, registri e atti degli organi di sicurezza dei Cantoni e della polizia, registri delle autorità di esecuzione e fallimento, fonti pubblicamente accessibili.

Per un controllo di sicurezza ampliato (livello SEGRETO), il servizio specializzato CSP può inoltre acquisire dati dalle seguenti fonti: autorità fiscali federali e cantonali, istituti finanziari e banche con i quali la persona da controllare intrattiene relazioni d’affari, registri dei controlli degli abitanti, audizione della persona da controllare.

Sussiste un rischio per la sicurezza quando è giudicata troppo elevata la probabilità che, nel corso dell’esercizio della propria attività sensibile sotto il profilo della sicurezza, la persona sottoposta al controllo pregiudichi interessi fondamentali della Svizzera. Tale probabilità non può essere calcolata sulla base di dati (statistici) quantitativi come presso un’assicurazione, ma deve essere valutata in modo qualitativo. Sono esaminati fattori di rischio conosciuti come la mancanza di integrità personale o di affidabilità, la ricattabilità o la corruttibilità nonché la facoltà di giudizio o di decisione compromessa. Se nel caso della persona sottoposta al controllo vi sono indizi concreti della presenza di tali fattori di rischio, si può presupporre un elevato rischio per la sicurezza.

Procedura di sicurezza relativa alle aziende

La procedura di sicurezza relativa alle aziende (PSA) mira alla tutela della sicurezza delle informazioni nell’ambito dell’adempimento di mandati sensibili sotto il profilo della sicurezza assegnati dalle autorità federali a terzi che non sottostanno direttamente alla loro vigilanza. La procedura serve, da un lato, a verificare l’affidabilità delle aziende alle quali si intende affidare un mandato e, dall’altro, consente di controllare e imporre le misure necessarie per garantire la sicurezza durante l’esecuzione del mandato. Con la PSA si mira tra l’altro a impedire che informazioni classificate o vettori di attacco pratici contro mezzi informatici critici della Confederazione siano resi accessibili ad aziende che, per i loro rapporti di proprietà, le loro strutture organizzative o le loro relazioni d’affari, sono per esempio controllate o influenzate in modo determinante da servizi informazioni esteri o da organizzazioni di stampo criminale.

Sono sottoposte alla PSA le aziende destinate a eseguire un mandato sensibile di un’autorità federale o le aziende con sede in Svizzera che si candidano per un mandato per il quale necessitano di un’attestazione di sicurezza aziendale. La procedura può essere eseguita soltanto con il consenso dell’azienda. È possibile rinunciare a una PSA se con altre misure il rischio per la sicurezza può essere ridotto a un livello sostenibile.

In linea di principio la valutazione dei rischi è uguale a quella svolta nel quadro di un CSP. Esiste un rischio per la sicurezza quando è giudicata troppo elevata la probabilità che nel corso dell’adempimento del mandato sensibile l’azienda pregiudichi interessi fondamentali della Svizzera. Sono esaminati fattori di rischio come la mancanza d’integrità personale o di affidabilità oppure l’elevata dipendenza da Stati esteri o da organizzazioni criminali. Se vi sono indizi concreti della presenza di tali fattori di rischio si può presupporre un elevato rischio per la sicurezza. Esiste un rischio per la sicurezza anche se nel quadro dei CSP persone appartenenti all’azienda, indispensabili all’esecuzione del mandato sensibile, sono risultate un rischio per la sicurezza.

A tale proposito è quindi importante precisare che, ai fini della valutazione del rischio per la sicurezza, sono sempre determinanti la sensibilità del mandato dal punto di vista della sicurezza e la situazione concreta dell’azienda da sottoporre al controllo. La PSA non giustifica l’esclusione generale a priori di offerenti stranieri, che costituisce anche una distorsione della concorrenza.

Infrastrutture critiche

Le infrastrutture critiche assicurano la disponibilità di beni e servizi vitali, quali ad esempio, l’approvvigionamento energetico, le comunicazioni o i trasporti. Interruzioni su vasta scala di tali servizi hanno gravi ripercussioni sulla popolazione e sull’economia e pregiudicano altresì la sicurezza e il benessere dello Stato. Nella strategia nazionale del 27 giugno 2012 per la protezione delle infrastrutture critiche il Consiglio federale ha fissato le basi per la protezione e stabilito 15 misure.

Sia nella Strategia nazionale per la protezione delle infrastrutture critiche che nella Strategia nazionale per la protezione della Svizzera contro i cyber-rischi il Consiglio federale ha ribadito il principio della responsabilità dei gestori di infrastrutture critiche per quanto concerne le misure di sicurezza: sono responsabili della propria sicurezza, anche per quanto riguarda i cyber-rischi. La Confederazione sostiene tuttavia tali gestori al fine di garantire che le interruzioni delle reti e dei sistemi nonché gli abusi siano rari, di breve durata, gestibili e poco dannosi. Tale sostegno nell’ambito della sicurezza delle informazioni comprende: l’identificazione e la valutazione tempestive di minacce, pericoli, vulnerabilità e lacune nella sicurezza, l’individuazione di incidenti, la tutela e il ripristino della sicurezza delle informazioni dopo un incidente, il trattamento ulteriore di incidenti.

No. Al contrario delle normative dell’Unione europea e della legislazione tedesca, la LSIn non impone ai gestori di infrastrutture critiche standard minimi da rispettare. La richiesta di prestazioni di sostegno da parte della Confederazione avviene su base volontaria. La LSIn disciplina unicamente le modalità di tale sostegno poiché in questo ambito vengono scambiati dati personali che possono essere degni di particolare protezione e il cui trattamento deve pertanto essere previsto a livello di legge.

Organizzazione

Sì e no. Nell’Amministrazione federale sono già presenti numerosi organi specializzati, i quali si occupano tuttavia solo di compiti settoriali nell’ambito della sicurezza delle informazioni: gestione dei rischi, protezione di informazioni classificate, sicurezza informatica, controlli di sicurezza relativi alle persone, protezione dei dati ecc. Tale orientamento settoriale non è più efficiente. Per questo motivo con la LSIn alcuni organi specializzati vengono raggruppati. La LSIn definisce i seguenti organi specializzati in materia di sicurezza delle informazioni:

  • gli incaricati della sicurezza delle informazioni: ogni autorità e ogni dipartimento deve nominare un incaricato della sicurezza delle informazioni. L’incaricato e il suo sostituto gestiscono e verificano nel proprio ambito e su incarico della loro autorità l’applicazione delle misure di sicurezza delle informazioni. Tale nuovo ruolo è il raggruppamento di funzioni già esistenti;
  • la conferenza degli incaricati della sicurezza delle informazioni: alla conferenza compete l’applicazione uniforme della legge per tutte le autorità. Partecipa inoltre alla standardizzazione. Nella conferenza sono rappresentati i Cantoni così come altri ambiti specialistici. Essa sostituisce organi esistenti, ma le vengono assegnati alcuni nuovi compiti e competenze;
  • il servizio specializzato della Confederazione per la sicurezza delle informazioni: il servizio specializzato della Confederazione per la sicurezza delle informazioni ricopre un ruolo centrale nell’attuazione della legge. Sebbene non abbia la facoltà di impartire istruzioni alle altre autorità federali, coordina la sicurezza delle informazioni nell’Amministrazione federale e nell’esercito su incarico del Consiglio federale. Non gestisce quindi solo la sicurezza delle informazioni in senso stretto, ma anche l’impiego dei controlli di sicurezza relativi alle persone e della procedura di sicurezza relativa alle aziende. È costituito da organi specializzati della Confederazione già esistenti e gli vengono assegnati alcuni nuovi compiti e competenze;
  • i servizi specializzati per i controlli di sicurezza relativi alle persone rimangono come nel diritto vigente: un servizio specializzato presso il Dipartimento federale della difesa, della protezione della popolazione e dello sport e uno presso la Cancelleria federale.

Il servizio specializzato della Confederazione per la sicurezza delle informazioni è un organo del Consiglio federale. Per garantire la sua autonomia e indipendenza, le altre autorità federali (Parlamento, tribunali federali, Banca nazionale ecc.) non vogliono né delle istruzioni del Consiglio federale né un servizio specializzato con la facoltà di impartire istruzioni. Tale approccio è in linea con lo spirito della SNPC.

Scadenziario

Scadenziario

Stato ottobre 2018
Passo Data
Dibattiti parlamentari 2017–2019
Adozione del messaggio concernente la legge sulla sicurezza delle informazioni 22 febbraio 2017
Mandato per la creazione di una base legale per il programma IAM Confederazione 14 gennaio 2015
Il Consiglio federale prende atto del rapporto sui risultati della procedura di consultazione. Assegnazione dell’incarico per quanto riguarda i passi successivi 5 novembre 2014
Avvio della procedura di consultazione sull’avamprogetto 26 marzo 2014
Estensione del mandato del Consiglio federale alla sicurezza delle informazioni 30 novembre 2011
Mandato fondamentale del Consiglio federale: creazione di basi legali formali per la protezione delle informazioni 12 maggio 2010

Comunicati stampa

Articoli