Svizzera al sicuro dai cyberattacchi: ecco la legge che prova a tutelare il Paese

Attacchi informatici, furto di informazioni, comportamenti a rischio che mettono a repentaglio i dati propri e di terzi. Non c’è più tempo da perdere ormai; ecco perché la legge sulla sicurezza delle informazioni entrerà in vigore fra meno di due mesi, il prossimo gennaio, secondo quanto ha deciso oggi il Consiglio federale.

Un adeguamento agli standard internazionali

Obiettivo: rafforzare la protezione delle informazioni e la cybersicurezza della Confederazione, grazie a una legge (LSIn) che riunisce in un unico atto normativo le principali basi giuridiche, stabilendo per tutte le autorità e le organizzazioni requisiti minimi unitari sulla base di standard internazionali. Anche Cantoni e partner internazionali saranno chiamati ad adeguarsi a direttive più attuali.

Tre nuove ordinanze e una revisione parziale

Il testo prevede tre le nuove ordinanze, oltre alla revisione di un’ordinanza già esistente. Fondamentale la nuova Ordinanza sulla sicurezza delle informazioni, che riunisce, completa e sostituisce l’ordinanza sui ciber-rischi e l’ordinanza sulla protezione delle informazioni, disciplinando la gestione della sicurezza delle informazioni, la protezione di informazioni classificate, la sicurezza informatica e le misure per la sicurezza personale e fisica. Gli uffici federali saranno ora obbligati a introdurre un sistema di gestione della sicurezza delle informazioni con le prescrizioni, le procedure e le misure necessarie per la gestione, l’attuazione, la verifica e il miglioramento della sicurezza delle informazioni.

Sotto esame chi rischia di far danni allo Stato

C’è poi l’Ordinanza sui controlli di sicurezza relativi alle persone, dedicata a valutare l’eventuale rischio per la sicurezza delle informazioni nel caso in cui una persona eserciti un’attività sensibile sotto il profilo della sicurezza per la Confederazione. A tale scopo, il competente servizio specializzato raccoglierà dati sulla condotta di vita della persona in questione, sulle sue relazioni personali strette e quelle familiari, sulla sua situazione finanziaria e sui suoi rapporti con l’estero. Stretti, a tal proposito, i limiti però posti al trattamento di questi dati, che potranno essere raccolti solo se davvero rilevanti per la sicurezza. Inoltre, il controllo sarà circoscritto alle sole persone che, a seguito della loro funzione, potrebbero effettivamente arrecare un danno considerevole alla Confederazione.

Verificare l’affidabilità delle aziende

L’Ordinanza sulla procedura di sicurezza relativa alle aziende sostituirà invece l’attuale ordinanza sulla tutela del segreto, finora limitata a mandati con contenuto classificato dal punto di vista militare. Tale procedura sarà eseguita solo nel caso in cui le autorità federali dovessero concedere ad aziende mandati sensibili sotto il profilo della sicurezza: in collaborazione con il servizio delle attività informative della Confederazione, sarà verificata la loro affidabilità, al fine di impedire che aziende controllate da servizi di intelligence esteri abbiano accesso a informazioni critiche.

La gestione delle identità e degli elenchi

Infine, si è proceduto a un importante adeguamento dell’Ordinanza sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione. Nel contempo, è stato definito il quadro per mettere a disposizione un servizio di login standardizzato per l’accesso ai servizi online dell’amministrazione a tutti i livelli federali (e-government). Da ricordare, peraltro, come il 29 settembre il Parlamento abbia approvato una modifica della legge con la quale viene introdotto l’obbligo di notifica in caso di ciberattacchi contro infrastrutture critiche: un progetto che crea le basi giuridiche riguardo all’obbligo di notifica per i gestori di infrastrutture critiche e definisce i compiti del Centro nazionale per la cibersicurezza, previsto come servizio centrale di segnalazione.