Legge federale sulla sicurezza delle informazioni in seno alla Confederazione
Disegno
(Legge sulla sicurezza delle informazioni, LSIn) del ...
L'Assemblea federale della Confederazione Svizzera, visti gli articoli 54 capoverso 1, 60 capoverso 1, 101, 102 capoverso 1 e 173 capoverso 1 lettere a e b nonché capoverso 2 della Costituzione federale1; visto il messaggio del Consiglio federale del 22 febbraio 20172, decreta:
Capitolo 1: Disposizioni generali Art. 1
Scopo
La presente legge ha lo scopo di garantire la sicurezza del trattamento delle informazioni di competenza della Confederazione nonché la sicurezza dei mezzi informatici della Confederazione.
1
2
Mira in tal modo a tutelare gli interessi pubblici seguenti: a.
la capacità di decisione e d'azione delle autorità e delle organizzazioni della Confederazione;
b.
la sicurezza interna ed esterna della Svizzera;
c.
gli interessi in materia di politica estera della Svizzera;
d.
gli interessi in materia di politica economica, finanziaria e monetaria della Svizzera;
e.
l'adempimento degli obblighi legali e contrattuali delle autorità e delle organizzazioni della Confederazione concernenti la protezione di informazioni.
RS ...
1 RS 101 2 FF 2017 2563 2012-3078
2711
L sulla sicurezza delle informazioni
Art. 2 1
2
FF 2017
Autorità e organizzazioni assoggettate
La presente legge si applica alle autorità seguenti (autorità assoggettate): a.
all'Assemblea federale;
b.
al Consiglio federale;
c.
ai tribunali della Confederazione;
d.
al Ministero pubblico della Confederazione e alla sua autorità di vigilanza;
e.
alla Banca nazionale svizzera.
Si applica alle organizzazioni seguenti (organizzazioni assoggettate): a.
ai Servizi del Parlamento;
b.
all'Amministrazione federale;
c.
alle amministrazioni dei tribunali della Confederazione;
d.
all'esercito;
e.
alle organizzazioni di cui all'articolo 2 capoverso 4 della legge del 21 marzo 19973 sull'organizzazione del Governo e dell'Amministrazione (LOGA), per i loro compiti amministrativi.
Il Consiglio federale può limitare il campo d'applicazione della presente legge alle organizzazioni di cui all'articolo 2 capoverso 3 e 4 LOGA che: 3
a.
esercitano attività sensibili sotto il profilo della sicurezza; o
b.
impiegano o accedono a mezzi informatici della Confederazione per adempiere i loro compiti.
Può limitare a talune disposizioni della presente legge il campo d'applicazione secondo il capoverso 3. Al riguardo, tiene conto dell'autonomia esecutiva delle organizzazioni interessate in virtù delle rispettive disposizioni organizzative.
4
Alle organizzazioni di diritto pubblico e privato che gestiscono infrastrutture critiche, ma che non sono contemplate ai capoversi 13, si applicano gli articoli 7581 della presente legge. La legislazione speciale può dichiarare applicabili altre disposizioni della presente legge.
5
Art. 3
Applicabilità ai Cantoni
Le disposizioni concernenti le informazioni classificate e la sicurezza dei mezzi informatici si applicano ai Cantoni qualora trattino informazioni classificate della Confederazione o accedano a mezzi informatici di quest'ultima nel quadro della loro collaborazione con la Confederazione o dell'esecuzione del diritto federale.
1
Le disposizioni non si applicano quando i Cantoni garantiscono una sicurezza delle informazioni almeno equivalente.
2
3
RS 172.010
2712
L sulla sicurezza delle informazioni
Art. 4 1
FF 2017
Rapporto con altre leggi federali
La legge del 17 dicembre 20044 sulla trasparenza prevale sulla presente legge.
Nel caso di informazioni la cui protezione è parimenti disciplinata in altre leggi federali, le disposizioni della presente legge si applicano a titolo completivo.
2
Art. 5
Definizioni
Ai sensi della presente legge si intende per: a.
mezzi informatici: mezzi delle tecnologie dell'informazione e della comunicazione, segnatamente applicazioni, sistemi d'informazione e collezioni di dati nonché impianti, prodotti e servizi che servono all'elaborazione elettronica di informazioni;
b.
attività sensibile sotto il profilo della sicurezza: 1. il trattamento di informazioni classificate «confidenziale» o «segreto», 2. l'amministrazione, l'esercizio, la manutenzione e la verifica di mezzi informatici del livello di sicurezza «protezione elevata» oppure «protezione molto elevata», 3. l'accesso a zone di sicurezza, in particolare alle zone di protezione 2 o 3 di un impianto secondo la legislazione sulla protezione di impianti militari;
c.
infrastrutture critiche: infrastrutture d'informazione, di comunicazione, energetiche, dei trasporti e altre infrastrutture indispensabili per il funzionamento della società, dell'economia e dello Stato.
Capitolo 2: Misure generali Sezione 1: Principi Art. 6
Sicurezza delle informazioni
Le autorità e organizzazioni assoggettate provvedono affinché le necessità di protezione delle informazioni per le quali sono competenti siano valutate sotto il profilo di un eventuale pregiudizio degli interessi di cui all'articolo 1 capoverso 2.
1
Provvedono affinché, conformemente alle rispettive necessità di protezione, tali informazioni: 2
4
a.
siano accessibili soltanto alle persone autorizzate (confidenzialità);
b.
siano disponibili quando sono necessarie (disponibilità);
c.
non possano essere modificate senza autorizzazione o per inavvertenza (integrità);
d.
siano trattate in maniera documentabile (tracciabilità).
RS 152.3
2713
L sulla sicurezza delle informazioni
FF 2017
Provvedono affinché i mezzi informatici che esse impiegano per l'adempimento dei loro compiti legali siano protetti dall'utilizzazione abusiva e dai disturbi.
3
4
Al riguardo, tengono conto dei principi di adeguatezza, economicità e praticità.
Art. 7
Responsabilità direttiva suprema
Le autorità assoggettate provvedono, nel rispettivo ambito di competenza, affinché la sicurezza delle informazioni sia organizzata, applicata e verificata secondo lo stato della scienza e della tecnica.
1
2
Stabiliscono: a.
i loro obiettivi in materia di sicurezza delle informazioni;
b.
i parametri per la gestione dei rischi;
c.
le conseguenze in caso di inosservanza delle prescrizioni.
Art. 8
Gestione dei rischi
Le autorità e organizzazioni assoggettate provvedono affinché nel loro ambito di competenza i rischi per la sicurezza delle informazioni siano costantemente valutati.
1
2
Adottano le misure necessarie per evitare i rischi o ridurli a un livello sostenibile.
3
I rischi considerati sostenibili devono essere formalmente accettati.
Art. 9
Collaborazione con terzi
Le autorità e le organizzazioni assoggettate che collaborano con terzi provvedono affinché i requisiti e le misure secondo la presente legge siano iscritti nelle convenzioni e nei contratti corrispondenti.
1
2
Provvedono a un'adeguata verifica dell'applicazione delle misure.
Art. 10
Procedura in caso di violazioni della sicurezza delle informazioni
Le autorità e organizzazioni assoggettate provvedono affinché le violazioni della sicurezza delle informazioni siano individuate tempestivamente, le loro cause accertate e le eventuali ripercussioni minimizzate.
1
Le autorità assoggettate provvedono affinché siano allestite pianificazioni preventive in vista di eventuali violazioni gravi della sicurezza delle informazioni, tali da compromettere l'adempimento di compiti indispensabili della Confederazione, e siano svolte le corrispondenti esercitazioni.
2
Sezione 2: Classificazione delle informazioni Art. 11
Principi della classificazione
Le autorità e organizzazioni assoggettate provvedono affinché le informazioni che soddisfano i criteri di cui all'articolo 13 siano classificate.
1
2714
L sulla sicurezza delle informazioni
FF 2017
La classificazione è limitata al minimo indispensabile e deve essere per quanto possibile limitata nel tempo.
2
Art. 12
Competenze
Le autorità assoggettate stabiliscono quali persone e servizi sono competenti per la classificazione delle informazioni (servizio incaricato della classificazione).
1
Le classificazioni possono essere modificate o soppresse soltanto dal servizio incaricato della classificazione o dal servizio al quale esso è subordinato.
2
3
Il Consiglio federale disciplina la declassificazione degli archivi.
Art. 13
Livelli di classificazione
Sono classificate «ad uso interno» le informazioni la cui conoscenza da parte di persone non autorizzate può pregiudicare gli interessi di cui all'articolo 1 capoverso 2 lettere ad.
1
Sono classificate «confidenziale» le informazioni la cui conoscenza da parte di persone non autorizzate può pregiudicare considerevolmente gli interessi di cui all'articolo 1 capoverso 2 lettere ad.
2
Sono classificate «segreto» le informazioni la cui conoscenza da parte di persone non autorizzate può pregiudicare gravemente gli interessi di cui all'articolo 1 capoverso 2 lettere ad.
3
4
La menzione della classificazione è scritta in lettere maiuscole.
Art. 14
Accesso a informazioni classificate
Ottengono l'accesso a informazioni classificate soltanto le persone che offrono la garanzia di gestirle in modo appropriato e: 1
a.
necessitano delle informazioni per l'adempimento di un compito legale; o
b.
beneficiano di un'autorizzazione di accesso convenuta contrattualmente e necessitano delle informazioni per l'adempimento dei compiti loro affidati.
L'accesso ad archivi classificati è retto dalle disposizioni della legislazione in materia di archiviazione.
2
Sono fatte salve le limitazioni di accesso disciplinate da trattati internazionali secondo l'articolo 88.
3
Art. 15
Accesso a informazioni classificate disciplinato da procedure particolari
L'accesso a informazioni classificate in seno all'Assemblea federale, ai Servizi del Parlamento, ai tribunali e ai ministeri pubblici è retto dal rispettivo diritto procedurale applicabile.
1
2715
L sulla sicurezza delle informazioni
FF 2017
Prima della decisione di concedere l'accesso a un'informazione secondo il capoverso 1, l'organo parlamentare o il tribunale competente può consultare il servizio incaricato della classificazione.
2
Sezione 3: Sicurezza in occasione dell'impiego di mezzi informatici Art. 16
Procedura di sicurezza
Le autorità assoggettate stabiliscono una procedura per garantire la sicurezza delle informazioni in occasione dell'impiego di mezzi informatici (procedura di sicurezza).
1
2
La procedura di sicurezza comprende in particolare: a.
la valutazione della necessità di protezione delle informazioni prima dell'impiego di mezzi informatici;
b.
l'applicazione delle misure di sicurezza e la relativa verifica;
c.
la determinazione della competenza per il nullaosta di sicurezza relativo ai mezzi informatici;
d.
la procedura in caso di mutamento dei rischi.
Per l'esecuzione della procedura di sicurezza è competente l'autorità o l'organizzazione assoggettata che decide l'impiego dei mezzi informatici.
3
Art. 17
Livelli di sicurezza
Il livello di sicurezza «protezione di base» si applica a tutti i mezzi informatici, salvo a quelli che devono essere attribuiti a un livello di sicurezza più elevato.
1
2
Ai mezzi informatici si applica il livello di sicurezza «protezione elevata» se: a.
una violazione della confidenzialità, della disponibilità, dell'integrità o della tracciabilità delle informazioni che trattano può pregiudicare considerevolmente gli interessi di cui all'articolo 1 capoverso 2;
b.
l'utilizzazione abusiva o il disturbo di tali mezzi informatici può pregiudicare considerevolmente gli interessi di cui all'articolo 1 capoverso 2.
Ai mezzi informatici si applica il livello di sicurezza «protezione molto elevata» se: 3
a.
una violazione della confidenzialità, della disponibilità, dell'integrità o della tracciabilità delle informazioni che trattano può pregiudicare gravemente gli interessi di cui all'articolo 1 capoverso 2; o
b.
l'utilizzazione abusiva o il disturbo di tali mezzi informatici può pregiudicare gravemente gli interessi di cui all'articolo 1 capoverso 2.
2716
L sulla sicurezza delle informazioni
Art. 18
FF 2017
Misure di sicurezza
Le autorità assoggettate stabiliscono i requisiti minimi per i livelli di sicurezza di cui all'articolo 17.
1
Tutti i mezzi informatici devono soddisfare i requisiti minimi del livello di sicurezza «protezione di base».
2
L'efficacia delle misure per i mezzi informatici del livello di sicurezza «protezione molto elevata» deve essere verificata periodicamente.
3
Art. 19
Sicurezza durante l'esercizio
Le autorità e organizzazioni assoggettate garantiscono la sicurezza dei mezzi informatici che gestiscono per loro stesse o su mandato di un'altra autorità o organizzazione.
1
Il trattamento di dati personali nell'ambito della sorveglianza delle reti è retto per analogia dagli articoli 57i57q LOGA5.
2
Sezione 4: Misure in materia di personale Art. 20
Condizioni per l'accesso a informazioni e mezzi informatici della Confederazione
Le autorità e organizzazioni assoggettate provvedono affinché le persone che hanno accesso a informazioni, mezzi informatici, locali e altre infrastrutture della Confederazione: 1
a.
siano scelte con cura;
b.
siano identificate in funzione dei rischi;
c.
siano formate e frequentino formazioni continue conformi al rispettivo livello;
d.
se necessario, siano tenute a mantenere il segreto.
Possono impiegare metodi di verifica biometrici se è necessario per l'identificazione delle persone in funzione dei rischi. I dati biometrici sono distrutti al decadere dell'autorizzazione d'accesso.
2
Art. 21
Rilascio restrittivo di autorizzazioni
Le autorità e organizzazioni assoggettate provvedono affinché le autorizzazioni d'accesso a informazioni, mezzi informatici, locali e altre infrastrutture della Confederazione siano rilasciate soltanto alle persone che ne hanno bisogno per l'adempimento dei loro compiti.
1
5
RS 172.010
2717
L sulla sicurezza delle informazioni
FF 2017
Le autorizzazioni sono revocate non appena termina il rapporto di lavoro o il contratto oppure quando il compito è adempiuto. Possono essere bloccate o revocate senza preavviso se sussistono indizi concreti di un pericolo per la sicurezza.
2
Sezione 5: Protezione fisica Art. 22
Principio
Le autorità e organizzazioni assoggettate provvedono a una protezione fisica adeguata delle informazioni e dei mezzi informatici di cui sono responsabili contro le utilizzazioni abusive e i disturbi.
Art. 23
Zone di sicurezza
Le autorità e organizzazioni assoggettate possono designare come zone di sicurezza locali e settori nei quali: 1
2
a.
vengono trattate frequentemente informazioni classificate «confidenziale» o «segreto»; o
b.
sono impiegati mezzi informatici del livello di sicurezza «protezione elevata» o «protezione molto elevata».
Sono autorizzate a: a.
proibire che siano portati con sé determinati oggetti, in particolare apparecchi per registrazioni audiovisive;
b.
sorvegliare settori sensibili sotto il profilo della sicurezza con apparecchi per registrazioni audiovisive;
c.
eseguire perquisizioni di oggetti e persone;
d.
eseguire senza preavviso controlli di locali, anche in assenza degli impiegati.
In zone di sicurezza nelle quali sono trattate frequentemente informazioni classificate «segreto» oppure sono impiegati mezzi informatici del livello di sicurezza «protezione molto elevata», le autorità e organizzazioni assoggettate possono esercitare impianti di telecomunicazione che provocano interferenze secondo l'articolo 34 capoverso 1ter della legge del 30 aprile 19976 sulle telecomunicazioni (LTC).
3
Sono fatte salve le prescrizioni particolari per le zone di sicurezza conformemente ai trattati internazionali secondo l'articolo 88 nonché le prescrizioni per le zone di protezione di impianti secondo la legislazione sulla protezione di impianti militari.
4
6
RS 784.10
2718
L sulla sicurezza delle informazioni
FF 2017
Sezione 6: Sistemi di gestione delle identità Art. 24
Impiego di sistemi di gestione delle identità
Ai fini della gestione centralizzata dei dati per l'identificazione delle persone che hanno accesso a informazioni, mezzi informatici, locali e altre infrastrutture, le autorità assoggettate possono gestire appositi sistemi d'informazione (sistemi di gestione delle identità).
1
I sistemi di gestione delle identità verificano l'identità e le caratteristiche relative alle autorizzazioni di persone, macchine e sistemi. Trasmettono il risultato ai sistemi d'informazione collegati affinché possano accertare le autorizzazioni.
2
Le autorità assoggettate designano un servizio responsabile per ogni sistema di gestione delle identità.
3
Art. 25
Scambio e armonizzazione dei dati
I sistemi di gestione delle identità possono scambiare e armonizzare dati con sistemi d'informazione collegati, registri del personale e degli utenti nonché altri sistemi di gestione delle identità di autorità assoggettate.
1
Lo scambio e l'armonizzazione sono limitati ai dati che possono essere trattati nel rispettivo sistema.
2
Art. 26
Utilizzo del numero d'assicurato AVS
Ai fini della corretta attribuzione nel quadro dell'armonizzazione di dati personali, il servizio responsabile può utilizzare temporaneamente nel sistema di gestione delle identità il numero d'assicurato di cui all'articolo 50c della legge federale del 20 dicembre 19467 su l'assicurazione per la vecchiaia e per i superstiti (numero d'assicurato AVS), allo scopo di generare da detto numero un numero personale secondo una procedura unidirezionale e irreversibile.
1
Il numero d'assicurato AVS è cancellato immediatamente dopo la generazione del numero personale.
2
Art. 27
Disposizioni esecutive
Le autorità assoggettate emanano disposizioni esecutive concernenti in particolare:
7
a.
la protezione e la sicurezza dei dati;
b.
i dati personali trattati;
c.
lo scambio e l'armonizzazione di dati con altri sistemi;
d.
la verbalizzazione e la trasmissione dei relativi dati ai sistemi d'informazione collegati;
e.
il controllo periodico del trattamento dei dati personali da parte di un organo esterno.
RS 831.10
2719
L sulla sicurezza delle informazioni
FF 2017
Capitolo 3: Controllo di sicurezza relativo alle persone Sezione 1: Disposizioni generali Art. 28
Scopo e contenuto del controllo
Il controllo di sicurezza relativo alle persone serve a valutare se sussiste un rischio per la sicurezza delle informazioni qualora una persona, nel quadro della sua funzione o di un mandato, eserciti un'attività sensibile sotto il profilo della sicurezza.
1
A tal fine vengono trattati dati rilevanti per la sicurezza concernenti la condotta di vita della persona da controllare, in particolare le sue relazioni personali strette e quelle familiari, la sua situazione finanziaria e i suoi rapporti con l'estero.
2
I dati concernenti l'esercizio dei diritti costituzionali possono essere trattati unicamente qualora sussista un sospetto concreto che la persona da controllare si serva dell'esercizio di tali diritti per dissimulare la preparazione o l'esecuzione di attività che potrebbero pregiudicare considerevolmente gli interessi di cui all'articolo 1 capoverso 2.
3
Art. 29
Elenco delle funzioni
Le autorità assoggettate emanano, per il rispettivo ambito di competenza, un elenco delle funzioni che richiedono l'esercizio di un'attività sensibile sotto il profilo della sicurezza.
1
2
Verificano periodicamente la correttezza dell'elenco e lo adeguano.
Art. 30 1
Persone da controllare
Sono sottoposte a un controllo di sicurezza relativo alle persone: a.
le persone che esercitano una funzione prevista in un elenco secondo l'articolo 29;
b.
gli impiegati di un Cantone che esercitano un'attività sensibile sotto il profilo della sicurezza nel quadro della collaborazione con la Confederazione o dell'esecuzione del diritto federale;
c.
le persone che eseguono per un'autorità o organizzazione assoggettata un mandato che implica l'esercizio di un'attività sensibile sotto il profilo della sicurezza;
d.
le persone che devono essere sottoposte a un controllo di sicurezza in virtù di un trattato internazionale secondo l'articolo 88.
Se un'autorità estera o un'organizzazione internazionale intende affidare a una persona l'esercizio di un'attività sensibile sotto il profilo della sicurezza, detta persona è sottoposta a un controllo di sicurezza se la Svizzera ha concluso con lo Stato o l'organizzazione internazionale interessati un trattato internazionale secondo l'articolo 88.
2
Le persone che esercitano una funzione che non figura ancora in un elenco secondo l'articolo 29 possono essere sottoposte in via eccezionale a un controllo di sicurezza, 3
2720
L sulla sicurezza delle informazioni
FF 2017
previo consenso dell'autorità assoggettata. L'elenco in questione deve essere adeguato al più presto.
I candidati alle seguenti funzioni non sono assoggettati al controllo di sicurezza relativo alle persone: 4
a.
membro dell'Assemblea federale;
b.
membro del Consiglio federale o cancelliere della Confederazione;
c.
giudice di un tribunale della Confederazione;
d.
procuratore generale della Confederazione;
e.
membro dell'autorità di vigilanza sul Ministero pubblico della Confederazione;
f.
generale;
g.
membro di un governo cantonale o giudice di un tribunale cantonale.
Art. 31
Livelli di controllo
Le autorità assoggettate attribuiscono le attività sensibili sotto il profilo della sicurezza a uno dei livelli di controllo seguenti: a.
controllo di sicurezza di base: per le attività sensibili sotto il profilo della sicurezza il cui esercizio contrario alle prescrizioni o non appropriato può pregiudicare considerevolmente gli interessi di cui all'articolo 1 capoverso 2;
b.
controllo di sicurezza ampliato: per le attività sensibili sotto il profilo della sicurezza il cui esercizio contrario alle prescrizioni o non appropriato può pregiudicare gravemente gli interessi di cui all'articolo 1 capoverso 2.
Sezione 2: Esecuzione Art. 32 1
Servizi competenti
Le autorità assoggettate e i Cantoni designano i servizi competenti per: a.
l'avvio dei controlli di sicurezza relativi alle persone (servizi promotori);
b.
la decisione in merito all'esercizio dell'attività sensibile sotto il profilo della sicurezza (servizi decidenti).
Per l'esecuzione dei controlli di sicurezza relativi alle persone il Consiglio federale istituisce uno o più servizi specializzati (servizi specializzati CSP). Nella loro valutazione essi non sono vincolati a istruzioni.
2
Art. 33
Consenso e collaborazione
I controlli di sicurezza relativi alle persone possono essere eseguiti unicamente con il consenso della persona da controllare.
1
2721
L sulla sicurezza delle informazioni
FF 2017
Le persone soggette all'obbligo di leva, i militari e i militi della protezione civile possono essere sottoposti al controllo di sicurezza senza il loro consenso.
2
3
La persona da controllare è tenuta a collaborare all'accertamento dei fatti.
Art. 34
Momento del controllo di sicurezza relativo alle persone
Per le persone di cui all'articolo 30 capoverso 1 lettere a e b, il controllo di sicurezza dev'essere avviato prima del conferimento della funzione.
1
Per le persone di cui all'articolo 30 capoverso 1 lettera a che devono essere proposte al Consiglio federale per la nomina, il controllo di sicurezza dev'essere concluso prima che la persona sia proposta per la nomina.
2
Per le persone di cui all'articolo 30 capoverso 1 lettera c, il controllo di sicurezza dev'essere concluso prima che sia affidato loro l'esercizio dell'attività sensibile sotto il profilo della sicurezza.
3
Per le persone di cui all'articolo 30 capoverso 1 lettera d, il controllo di sicurezza ha luogo nel momento previsto dal corrispondente trattato.
4
Art. 35
Acquisizione dei dati
Per il controllo di sicurezza di base, il servizio specializzato CSP competente può acquisire dati sulla persona da controllare dalle fonti seguenti: 1
2
a.
dal casellario giudiziale;
b.
presso le autorità penali, tramite richiesta di informazioni e atti su procedimenti penali in corso, conclusi o abbandonati;
c.
presso gli organi di sicurezza della Confederazione, il Servizio delle attività informative della Confederazione (SIC), gli organi dell'esercito nonché altri organi della Confederazione, sempre che trattino dati necessari per la valutazione del rischio per la sicurezza;
d.
dai registri e dagli atti degli organi di sicurezza dei Cantoni e della polizia;
e.
dai registri delle autorità di esecuzione e fallimento;
f.
dagli atti di controlli di sicurezza relativi alle persone precedenti;
g.
da fonti pubblicamente accessibili.
Per il controllo di sicurezza ampliato, può inoltre acquisire dati dalle fonti seguenti: a.
presso le autorità fiscali federali e cantonali;
b.
dai registri dei controlli degli abitanti;
c.
presso istituti finanziari e banche con i quali la persona da controllare intrattiene relazioni d'affari;
d.
mediante l'audizione della persona da controllare.
Se dai dati acquisiti risultano indizi concreti di un rischio per la sicurezza oppure se per la valutazione non sono disponibili dati sufficienti relativi a un periodo di tempo adeguato, il servizio specializzato CSP può procedere all'audizione della 3
2722
L sulla sicurezza delle informazioni
FF 2017
persona da controllare. Con il suo consenso può procedere anche all'audizione di terzi; indica a detti terzi che rilasciano informazioni a titolo volontario.
I dati relativi a terzi che sono indissolubilmente connessi con dati relativi alla persona da controllare possono essere trattati unicamente se è indispensabile per la valutazione del rischio per la sicurezza. Il servizio specializzato CSP informa i terzi interessati in merito a tale trattamento.
4
Art. 36
Assistenza amministrativa
Se i dati devono essere acquisiti presso un'autorità estera o un'organizzazione internazionale, ciò avviene tramite l'autorità o l'organizzazione competente secondo l'articolo 35.
1
Se dai dati acquisiti risultano indizi concreti concernenti la criminalità organizzata o internazionale, il servizio specializzato CSP consulta gli uffici centrali di polizia giudiziaria della Confederazione. Tali uffici comunicano al servizio specializzato CSP unicamente dati personali rilevanti sotto il profilo della sicurezza.
2
Art. 37
Assunzione dei costi
Le autorità e organizzazioni di diritto pubblico presso le quali è consentito acquisire dati o che devono collaborare alla procedura sono tenute a collaborare gratuitamente.
1
Se per terzi la collaborazione implica un onere considerevole, essi sono indennizzati.
2
La Confederazione si assume le spese dei controlli di sicurezza degli impiegati dei Cantoni di cui all'articolo 30 capoverso 1 lettera b.
3
Art. 38
Abbandono della procedura
Il servizio specializzato CSP abbandona la procedura di controllo se la persona da controllare revoca il suo consenso o non entra più in considerazione per la funzione o il mandato.
1
Comunica l'abbandono della procedura di controllo alla persona interessata e al servizio promotore. La persona interessata è di conseguenza considerata non controllata.
2
Sezione 3: Valutazione del rischio per la sicurezza Art. 39
Rischio per la sicurezza
Sussiste un rischio per la sicurezza se, sulla base dei dati acquisiti, vi sono indizi concreti che la persona controllata con elevata probabilità eserciterà in maniera contraria alle prescrizioni o non appropriata l'attività sensibile sotto il profilo della sicurezza.
1
2723
L sulla sicurezza delle informazioni
FF 2017
La probabilità di un esercizio contrario alle prescrizioni o non appropriato dell'attività sensibile sotto il profilo della sicurezza può essere considerata elevata in particolare quando sussistono indizi concreti relativi alle caratteristiche personali seguenti: 2
a.
mancanza di integrità personale o di affidabilità;
b.
ricattabilità o corruttibilità; o
c.
facoltà di giudizio o di decisione compromessa.
Il rischio per la sicurezza deve fondarsi, a prescindere dalla colpa della persona sottoposta al controllo, su circostanze oggettive inerenti alla situazione personale di questa.
3
Art. 40
Risultato della valutazione
Quale risultato della valutazione, il servizio specializzato CSP rilascia una delle dichiarazioni sottostanti, avente il significato indicato di seguito: 1
a.
dichiarazione di sicurezza: non sussiste alcun rischio per la sicurezza;
b.
dichiarazione di sicurezza con riserva: sussiste un rischio per la sicurezza che può essere ridotto a un livello sostenibile definendo determinate condizioni. Il servizio specializzato CSP raccomanda tali condizioni;
c.
dichiarazione di rischio: sussiste un rischio per la sicurezza;
d.
dichiarazione di constatazione: per la valutazione del rischio per la sicurezza non sono disponibili dati in quantità sufficiente relativi a un periodo di tempo adeguato.
Prima del rilascio di una dichiarazione secondo il capoverso 1 lettere bd, il servizio specializzato CSP offre alla persona sottoposta al controllo la possibilità di esprimersi al riguardo.
2
Art. 41
Comunicazione
Il servizio specializzato CSP comunica per scritto la sua dichiarazione alla persona controllata e al servizio decidente.
1
Nel caso di persone sottoposte alla nomina da parte del Consiglio federale, il servizio specializzato CSP comunica la sua dichiarazione al dipartimento proponente.
2
Può comunicare la sua dichiarazione a un altro servizio decidente se la persona controllata: 3
8
a.
è soggetta a un controllo di sicurezza relativo alle persone secondo la presente legge per un'altra attività sensibile sotto il profilo della sicurezza;
b.
è soggetta a una verifica dell'affidabilità secondo un'altra legge federale;
c.
in quanto militare è soggetta a una valutazione secondo l'articolo 113 della legge militare del 3 febbraio 19958.
RS 510.10
2724
L sulla sicurezza delle informazioni
FF 2017
Se già prima della conclusione della valutazione il servizio specializzato CSP dispone di indizi concreti secondo i quali potrebbe sussistere un rischio per la sicurezza, può informare per scritto in merito alle constatazioni provvisorie i servizi di cui ai capoversi 13 nonché la persona sottoposta al controllo.
4
Sezione 4: Conseguenze della dichiarazione Art. 42 1
Esercizio dell'attività sensibile sotto il profilo della sicurezza
Le dichiarazioni dei servizi specializzati CSP hanno carattere di raccomandazione.
Il servizio decidente stabilisce, sulla base della dichiarazione, se la persona controllata può esercitare l'attività sensibile sotto il profilo della sicurezza.
2
Può vincolare l'esercizio dell'attività sensibile sotto il profilo della sicurezza a determinate condizioni.
3
4
Comunica la propria decisione al servizio specializzato CSP.
Art. 43
Utilizzo molteplice di una dichiarazione
È possibile rinunciare all'esecuzione del controllo di sicurezza relativo alle persone se alla persona interessata è già stata rilasciata una dichiarazione per un livello di controllo almeno equivalente: a.
per un'altra attività sensibile sotto il profilo della sicurezza secondo la presente legge;
b.
nel quadro di una verifica dell'affidabilità secondo un'altra legge federale.
Art. 44 1
Ripetizione
Il controllo di sicurezza relativo alle persone è ripetuto come segue: a.
il controllo di sicurezza di base: al più presto dopo cinque e al più tardi dopo dieci anni;
b.
il controllo di sicurezza ampliato: al più presto dopo tre e al più tardi dopo cinque anni.
Il Consiglio federale può rinunciare alla ripetizione del controllo di sicurezza di base per quanto riguarda determinate funzioni dell'esercito e della protezione civile.
2
Se il servizio promotore o il servizio decidente ha motivo di presumere che dall'ultimo controllo sono emersi nuovi rischi, può chiedere al servizio specializzato CSP competente, con motivazione scritta, la ripetizione del controllo di sicurezza relativo alle persone.
3
Art. 45
Tutela giurisdizionale
Dopo aver ricevuto la dichiarazione secondo l'articolo 40 capoverso 1, la persona controllata ha 30 giorni di tempo per: 1
2725
L sulla sicurezza delle informazioni
a.
consultare i documenti del controllo;
b.
esigere la rettifica di dati errati o la distruzione di dati non più attuali;
c.
far apporre una menzione di contestazione.
FF 2017
La restrizione del diritto d'accesso è retta dall'articolo 9 della legge federale del 19 giugno 19929 sulla protezione dei dati (LPD).
2
La dichiarazione costituisce un atto materiale secondo l'articolo 25a della legge federale del 20 dicembre 196810 sulla procedura amministrativa. La persona controllata può interporre ricorso contro una dichiarazione secondo l'articolo 40 capoverso 1 lettere b-d presso il Tribunale amministrativo federale entro 30 giorni dalla sua comunicazione.
3
Se il Tribunale federale o il Tribunale amministrativo federale sono il servizio decidente, si applica per analogia l'articolo 36 capoversi 2 e 4 della legge del 24 marzo 200011 sul personale federale.
4
Del rimanente, la procedura di ricorso è retta dalle disposizioni generali sull'amministrazione della giustizia federale.
5
Sezione 5: Trattamento di dati personali Art. 46
Sistema d'informazione per i controlli di sicurezza relativi alle persone
I servizi specializzati CSP gestiscono un sistema d'informazione per l'esecuzione dei controlli di sicurezza relativi alle persone.
1
Ciascun servizio specializzato CSP è responsabile della liceità del trattamento dei dati personali contenuti nel sistema d'informazione.
2
Nel sistema d'informazione possono essere trattati dati personali degni di particolare protezione e profili della personalità secondo l'articolo 3 lettere c e d LPD12, sempre che sia necessario per la valutazione del rischio per la sicurezza.
3
4
Il sistema d'informazione contiene i dati e le indicazioni seguenti:
9 10 11 12
a.
dati sull'identità delle persone da sottoporre al controllo o controllate, compreso il numero d'assicurato AVS e il numero del passaporto;
b.
i dati secondo gli articoli 35 e 36;
c.
la valutazione del rischio per la sicurezza;
d.
la dichiarazione secondo l'articolo 40 capoverso 1;
e.
la decisione del servizio decidente;
RS 235.1 RS 172.021 RS 172.220.1 RS 235.1
2726
L sulla sicurezza delle informazioni
f.
dati e atti di procedure di ricorso;
g.
elenchi e statistiche che contengono dati secondo le lettere af.
FF 2017
Se dati secondo il capoverso 4 vengono trattati all'esterno del sistema d'informazione, ciò dev'essere menzionato nel sistema d'informazione.
5
I dati secondo il capoverso 4 possono essere acquisiti automaticamente e sistematicamente mediante interrogazione dei seguenti sistemi d'informazione: 6
a.
casellario giudiziale informatizzato VOSTRA conformemente agli articoli 365371a del Codice penale13;
b.
registro nazionale di polizia di cui all'articolo 17 della legge federale del 13 giugno 200814 sui sistemi d'informazione di polizia della Confederazione;
c.
INDEX SIC di cui all'articolo 51 della legge federale del 25 settembre 201515 sulle attività informative.
Art. 47
Diritti d'accesso e comunicazione dei dati
I servizi seguenti hanno accesso, mediante procedura di richiamo, ai dati contenuti nel sistema d'informazione menzionati qui appresso: 1
a.
servizi promotori: ai dati di cui all'articolo 46 capoverso 4 lettera b che hanno registrato essi stessi in occasione dell'avvio del controllo nonché ai dati di cui all'articolo 46 capoverso 4 lettere a, d ed e;
b.
servizi decidenti: ai dati di cui all'articolo 46 capoverso 4 lettere a, d ed e;
c.
incaricati della sicurezza delle informazioni secondo l'articolo 82 per l'adempimento dei loro compiti di controllo: ai dati di cui all'articolo 46 capoverso 4 lettere a, d ed e;
d.
servizi della Confederazione e dei Cantoni presso i quali vengono acquisiti dati secondo l'articolo 38: ai dati di cui all'articolo 46 capoverso 4 lettera a.
I servizi seguenti hanno accesso, tramite un'interfaccia, ai dati nel sistema d'informazione menzionati qui appresso: 2
13 14 15 16
a.
il servizio specializzato di cui all'articolo 52 capoverso 2 per l'esecuzione della procedura di sicurezza relativa alle aziende secondo gli articoli 5074, tramite il sistema d'informazione di cui all'articolo 71: ai dati di cui all'articolo 46 capoverso 4 lettere a, d ed e;
b.
l'Aggruppamento Difesa: 1. per l'adempimento dei suoi compiti secondo l'articolo 13 della legge federale del 3 ottobre 200816 sui sistemi d'informazione militari (LSIM), tramite il sistema di gestione del personale dell'esercito di cui
RS 311.0 RS 361 RS 121 RS 510.91
2727
L sulla sicurezza delle informazioni
2.
3.
4.
c.
FF 2017
all'articolo 12 LSIM: ai dati di cui all'articolo 46 capoverso 4 lettere a, d ed e, per l'adempimento dei suoi compiti secondo l'articolo 19 LSIM, tramite il sistema d'informazione per il reclutamento di cui all'articolo 18 LSIM: ai dati di cui all'articolo 46 capoverso 4 lettere a ed e, per l'adempimento dei suoi compiti secondo l'articolo 157 LSIM, tramite il sistema d'informazione per le richieste di visita di cui all'articolo 156 LSIM: ai dati di cui all'articolo 46 capoverso 4 lettere a ed e, per l'adempimento dei suoi compiti secondo l'articolo 163 LSIM, tramite il sistema d'informazione per i controlli dell'accesso di cui all'articolo 162 LSIM: ai dati di cui all'articolo 46 capoverso 4 lettere a ed e;
il servizio competente per le attestazioni di sicurezza internazionali di cui all'articolo 49 lettera c: ai dati di cui all'articolo 46 capoverso 4 lettere a, d ed e.
I servizi specializzati CSP possono inoltre comunicare ad altri servizi della Confederazione dati di cui all'articolo 46 capoverso 4 lettere a ed e, se tali dati sono necessari per il controllo dell'accesso a una zona di sicurezza.
3
I servizi specializzati CSP possono comunicare alle autorità e organizzazioni assoggettate elenchi e statistiche di cui all'articolo 46 capoverso 1 lettera g, sempre che sia necessario per l'adempimento dei rispettivi compiti di controllo secondo la presente legge.
4
Art. 48
Conservazione, archiviazione e distruzione dei dati
I servizi specializzati CSP possono registrare audizioni secondo l'articolo 35 capoversi 2 lettera d e 3 con apparecchiature tecniche e conservare le registrazioni su supporti di dati.
1
Conservano i dati fintanto che la persona interessata esercita l'attività sensibile sotto il profilo della sicurezza, ma al massimo per dieci anni.
2
L'archiviazione dei dati è retta dalle prescrizioni della legislazione in materia di archiviazione.
3
Se la procedura di controllo è abbandonata oppure la persona controllata non assume la funzione prevista o rifiuta il mandato, tutti i dati e i documenti connessi con il controllo di sicurezza relativo alle persone sono distrutti al più tardi dopo tre mesi.
4
Sezione 6: Disposizioni del Consiglio federale Art. 49 Il Consiglio federale disciplina: a.
la procedura del controllo di sicurezza relativo alle persone;
b.
l'organizzazione dei servizi specializzati CSP;
2728
L sulla sicurezza delle informazioni
FF 2017
c.
le modalità di rilascio delle attestazioni di sicurezza internazionali per le persone che operano nel contesto internazionale;
d.
la responsabilità della protezione dei dati in relazione con il sistema d'informazione di cui all'articolo 46 e la sicurezza dei dati;
e.
il controllo periodico del trattamento dei dati personali da parte di un organo esterno.
Capitolo 4: Procedura di sicurezza relativa alle aziende Sezione 1: Disposizioni generali Art. 50
Scopo della procedura
La procedura di sicurezza relativa alle aziende ha lo scopo di garantire la sicurezza delle informazioni in occasione dell'adempimento di mandati pubblici da parte di imprese e imprese subappaltatrici o loro parti (aziende), nella misura in cui i mandati comportano l'esercizio di un'attività sensibile sotto il profilo della sicurezza (mandati sensibili).
Art. 51 1
Aziende interessate
Possono essere sottoposte alla procedura di sicurezza relativa alle aziende: a.
le aziende destinate a eseguire un mandato sensibile di un'autorità o organizzazione assoggettata;
b.
le aziende con sede in Svizzera che si candidano per un mandato per il quale necessitano di un'attestazione di sicurezza aziendale secondo l'articolo 67.
2
La procedura può essere eseguita soltanto con il consenso dell'azienda.
3
Le aziende di cui al capoverso 1 lettera b assumono i costi della procedura.
Art. 52 1
Abbandono della procedura
La procedura di sicurezza relativa alle aziende è abbandonata se l'azienda: a.
revoca il suo consenso o non collabora alla procedura;
b.
ritira la sua offerta;
c.
non entra più in considerazione per il mandato.
Il servizio specializzato competente per l'esecuzione della procedura di sicurezza relativa alle aziende (servizio specializzato SA) comunica l'abbandono della procedura all'azienda e all'autorità o organizzazione aggiudicante (mandante).
2
2729
L sulla sicurezza delle informazioni
FF 2017
Sezione 2: Avvio della procedura di sicurezza relativa alle aziende Art. 53
Domanda di avvio della procedura
Le autorità e organizzazioni assoggettate che intendono assegnare un mandato sensibile domandano l'avvio della procedura al servizio specializzato SA.
1
Le autorità assoggettate stabiliscono quali servizi sono competenti per la presentazione della domanda.
2
Per le aziende di cui all'articolo 51 capoverso 1 lettera b, la domanda è presentata dall'autorità estera o dall'organizzazione internazionale competente.
3
Art. 54 1
Esame della domanda
Il servizio specializzato SA esamina la domanda e avvia la procedura.
Può, d'intesa con il mandante, rinunciare all'avvio della procedura se con altre misure il rischio per la sicurezza può essere ridotto a un livello sostenibile. Esso raccomanda misure in tal senso.
2
Art. 55
Definizione dei requisiti di sicurezza
Il servizio specializzato SA definisce, d'intesa con il mandante, i requisiti in materia di sicurezza delle informazioni per la procedura di aggiudicazione e l'adempimento del mandato.
Sezione 3: Valutazione delle aziende Art. 56
Idoneità
Il mandante comunica al servizio specializzato SA quali aziende entrano in considerazione per l'esecuzione del mandato sensibile.
1
Il servizio specializzato SA valuta se tali aziende sono idonee per l'esecuzione del mandato sensibile oppure se sussiste un rischio per la sicurezza.
2
3
Nella sua valutazione non è vincolato a istruzioni.
Art. 57 1
Acquisizione dei dati
Per la valutazione dell'idoneità, il servizio specializzato SA può acquisire dati: a.
presso l'azienda;
b.
presso il SIC;
c.
da fonti pubblicamente accessibili.
Può chiedere a servizi esteri e internazionali l'invio dei corrispondenti dati. Le richieste a servizi informazioni esteri avvengono per il tramite del SIC.
2
2730
L sulla sicurezza delle informazioni
Art. 58
FF 2017
Rischio per la sicurezza
Sussiste un rischio per la sicurezza se, sulla base dei dati acquisiti, vi sono indizi concreti che con elevata probabilità l'azienda eseguirà in maniera contraria alle prescrizioni o non appropriata il mandato sensibile.
1
La probabilità di un'esecuzione contraria alle prescrizioni o non appropriata del mandato sensibile può essere considerata elevata in particolare se: 2
a.
l'azienda manca d'integrità o affidabilità;
b.
l'azienda è controllata da Stati esteri o da organizzazioni estere di diritto pubblico o privato oppure è sotto il loro influsso e tale controllo o influsso è incompatibile con la tutela degli interessi di cui all'articolo 1 capoverso 2;
c.
per persone appartenenti all'azienda indispensabili all'esecuzione del mandato sensibile è stata rilasciata una dichiarazione di rischio.
Il rischio per la sicurezza deve fondarsi, a prescindere dalla colpa, su circostanze oggettive inerenti all'azienda interessata.
3
Art. 59
Notifica della valutazione ed esclusione dalla procedura di aggiudicazione
Il servizio specializzato SA comunica la sua valutazione al mandante e la notifica all'azienda mediante una decisione.
1
Se il servizio specializzato SA giunge alla conclusione che l'esecuzione del mandato sensibile presenta un rischio per la sicurezza, il mandante esclude l'azienda dalla procedura di aggiudicazione.
2
Se presso tutte le aziende prese in considerazione l'esecuzione del mandato sensibile presenta un rischio per la sicurezza, il mandante può comunque assegnare il mandato a una di tali aziende. Il servizio specializzato SA abbandona la procedura di sicurezza relativa alle aziende. Il mandante applica per analogia le misure secondo gli articoli 60, 61, 64 e 65.
3
Sezione 4: Piano in materia di sicurezza Art. 60
Aggiudicazione e piano in materia di sicurezza
Il mandante comunica al servizio specializzato SA quale azienda ha ottenuto il mandato.
1
L'azienda allestisce un piano in materia di sicurezza secondo le direttive del servizio specializzato SA.
2
Il servizio specializzato SA esamina il piano in materia di sicurezza. Può acquisire i dati necessari per scritto oppure mediante un'ispezione dell'azienda.
3
2731
L sulla sicurezza delle informazioni
Art. 61
FF 2017
Controlli di sicurezza relativi alle persone
Il personale dell'azienda destinato a esercitare un'attività sensibile sotto il profilo della sicurezza è sottoposto a un controllo di sicurezza relativo alle persone.
1
Il servizio specializzato SA è competente per la decisione di cui all'articolo 42 capoverso 2. Se la procedura viene abbandonata perché non vi è nessuna azienda idonea per l'esecuzione del mandato (art. 59 cpv. 3), la decisione è di competenza del mandante.
2
Sezione 5: Dichiarazione di sicurezza aziendale Art. 62
Rilascio della dichiarazione di sicurezza aziendale
Il servizio specializzato SA rilascia all'azienda una dichiarazione di sicurezza aziendale sotto forma di decisione non appena l'azienda ha attuato in maniera comprovata il piano in materia di sicurezza.
1
Esso rifiuta di rilasciare all'azienda la dichiarazione di sicurezza aziendale e abbandona la procedura di sicurezza relativa alle aziende se quest'ultima non attua il piano in materia di sicurezza. Emana una decisione corrispondente.
2
3
Le decisioni secondo i capoversi 1 e 2 sono comunicate al mandante.
Il mandante è vincolato alla decisione del servizio specializzato SA; è fatto salvo l'articolo 59 capoverso 3.
4
5
La durata di validità della dichiarazione di sicurezza aziendale è di cinque anni.
Art. 63
Esecuzione del mandato sensibile
Il mandante può autorizzare l'esecuzione del mandato sensibile soltanto dopo che il servizio specializzato SA ha rilasciato la dichiarazione di sicurezza aziendale.
Art. 64
Obblighi dell'azienda
Le aziende titolari di una dichiarazione di sicurezza aziendale devono applicare in permanenza le misure del piano in materia di sicurezza.
1
Annunciano senza indugio al servizio specializzato SA e al mandante tutti i cambiamenti e gli incidenti rilevanti sotto il profilo della sicurezza.
2
Art. 65 1
Controlli e misure di protezione
Il servizio specializzato SA è autorizzato a: a.
ispezionare senza preavviso i settori nei quali è eseguito il mandato sensibile;
b.
consultare i documenti rilevanti per il mandato.
2732
L sulla sicurezza delle informazioni
FF 2017
Se sussistono indizi concreti che in un'azienda la sicurezza delle informazioni è minacciata, il servizio specializzato SA può adottare immediatamente le misure di protezione necessarie e in particolare mettere al sicuro documenti e materiale.
2
Art. 66
Procedura semplificata in caso di aggiudicazione di altri mandati sensibili
Le aziende titolari di una dichiarazione di sicurezza aziendale sono considerate idonee per altri mandati sensibili. Il servizio specializzato SA verifica se il piano in materia di sicurezza dev'essere adeguato.
Art. 67
Attestazione di sicurezza aziendale internazionale
Su richiesta dell'azienda interessata, il servizio specializzato SA rilascia un'attestazione di sicurezza aziendale internazionale.
Art. 68 1
2
Revoca della dichiarazione di sicurezza aziendale
Il servizio specializzato SA revoca la dichiarazione di sicurezza aziendale se: a.
l'azienda non adempie i propri obblighi secondo l'articolo 64;
b.
nel quadro di una ripetizione della procedura emerge un rischio per la sicurezza.
Comunica la sua decisione all'azienda e al mandante.
Se viene revocata la dichiarazione di sicurezza aziendale, il mandante ritira immediatamente il mandato; è fatto salvo l'articolo 59 capoverso 3. L'azienda non ha diritto ad alcun indennizzo.
3
Sezione 6: Ripetizione della procedura e tutela giurisdizionale Art. 69
Ripetizione della procedura
La procedura di sicurezza relativa alle aziende è ripetuta se: a.
al momento della scadenza della validità della dichiarazione di sicurezza aziendale è in corso l'esecuzione di un mandato sensibile;
b.
vi sono indizi concreti che in seguito a cambiamenti sostanziali in seno all'azienda sono emersi nuovi rischi per la sicurezza.
Art. 70
Tutela giurisdizionale
Dopo la notifica di una decisione del servizio specializzato SA, l'azienda ha 30 giorni di tempo per: 1
a.
consultare i documenti;
b.
esigere la rettifica dei dati errati o la distruzione di dati non più attuali;
2733
L sulla sicurezza delle informazioni
2
c.
far apporre una menzione di contestazione;
d.
interporre ricorso presso il Tribunale amministrativo federale.
FF 2017
La restrizione del diritto d'accesso è retta dall'articolo 9 LPD17.
Sezione 7: Trattamento dei dati personali Art. 71
Sistema d'informazione per la procedura di sicurezza relativa alle aziende
Il servizio specializzato SA gestisce un sistema d'informazione per l'esecuzione e la gestione della procedura di sicurezza relativa alle aziende.
1
Nel sistema d'informazione possono essere trattati dati personali degni di particolare protezione e profili della personalità secondo l'articolo 3 lettere c e d LPD18, sempre che sia necessario per l'esecuzione della procedura di sicurezza relativa alle aziende.
2
3
Il sistema d'informazione contiene i dati e le indicazioni seguenti: a.
i dati secondo gli articoli 57 e 60 capoverso 3;
b.
il risultato della valutazione secondo l'articolo 56 capoverso 2;
c.
i risultati dei controlli di sicurezza relativi alle persone secondo l'articolo 61 capoverso 1 necessari per la procedura di sicurezza relativa alle aziende;
d.
la decisione del servizio specializzato SA secondo l'articolo 61 capoverso 2;
e.
i nomi di tutte le aziende titolari di una dichiarazione di sicurezza aziendale;
f.
le misure risultanti da eventuali controlli secondo l'articolo 65;
g.
dati e atti di procedure di ricorso.
Il servizio specializzato SA è responsabile della sicurezza del sistema d'informazione e della liceità del trattamento dei dati personali.
4
Art. 72
Diritti d'accesso e comunicazione dei dati
I servizi seguenti hanno accesso, mediante procedura di richiamo, ai dati menzionati qui appresso: 1
17 18
a.
i mandanti: ai dati di cui all'articolo 71 capoverso 3 lettere b e dg;
b.
le aziende interessate, sempre che siano state autorizzate dal Consiglio federale, in virtù dell'articolo 32 capoverso 1 lettera a, ad avviare controlli di sicurezza relativi alle persone nel rispettivo ambito di competenza: ai dati di cui all'articolo 71 capoverso 3 lettera d.
RS 235.1 RS 235.1
2734
L sulla sicurezza delle informazioni
FF 2017
Il servizio specializzato SA può inoltre comunicare ad altri servizi della Confederazione dati di cui all'articolo 71 capoverso 3 lettere bd, sempre che sia necessario per garantire la sicurezza delle informazioni.
2
Art. 73
Conservazione, archiviazione e distruzione dei dati
Il servizio specializzato SA conserva i dati fintanto che l'azienda interessata è in possesso di una dichiarazione di sicurezza aziendale, ma al massimo per dieci anni.
1
L'archiviazione dei dati è retta dalle prescrizioni della legislazione in materia di archiviazione.
2
Se la procedura di sicurezza relativa alle aziende è abbandonata, tutti i relativi dati e atti sono distrutti al più tardi dopo tre mesi.
3
Sezione 8: Disposizioni emanate dal Consiglio federale Art. 74 Il Consiglio federale disciplina: a.
la procedura di sicurezza relativa alle aziende nel dettaglio;
b.
l'applicazione della procedura di sicurezza relativa alle aziende a imprese subappaltatrici;
c.
l'organizzazione del servizio specializzato SA;
d.
la sicurezza dei dati nel sistema d'informazione secondo l'articolo 71;
e.
il controllo periodico del trattamento dei dati personali da parte di un organo esterno.
Capitolo 5: Infrastrutture critiche Art. 75
Compiti della Confederazione
La Confederazione sostiene i gestori di infrastrutture critiche per garantire che le interruzioni delle reti e dei sistemi nonché gli abusi siano rari, di breve durata, gestibili e poco dannosi.
1
2
Il sostegno nell'ambito della sicurezza delle informazioni comprende: a.
l'identificazione e la valutazione tempestive di minacce, pericoli, vulnerabilità e lacune nella sicurezza;
b.
l'individuazione di incidenti;
c.
la tutela e il ripristino della sicurezza delle informazioni dopo un incidente;
d.
il trattamento ulteriore di incidenti.
2735
L sulla sicurezza delle informazioni
FF 2017
La Confederazione gestisce un servizio nazionale di preallerta e un punto di contatto per misure preventive e reattive nell'ambito della sicurezza tecnica delle informazioni.
3
Provvede affinché i gestori di infrastrutture critiche possano scambiare informazioni in modo sicuro con i servizi della Confederazione competenti e tra di loro.
4
Il Consiglio federale designa i servizi della Confederazione competenti per tali compiti.
5
Art. 76
Trattamento di dati personali
Per l'adempimento dei propri compiti, i servizi di cui all'articolo 75 capoverso 5 possono trattare elementi di indirizzo di cui all'articolo 3 lettera f LTC19 e i dati personali connessi.
1
2
3
Possono parimenti trattare i dati di cui al capoverso 1 quando: a.
contengono informazioni concernenti opinioni religiose, filosofiche o politiche; il trattamento è ammesso unicamente qualora sia necessario per la valutazione di minacce e pericoli concreti nell'ambito della sicurezza delle informazioni;
b.
contengono informazioni concernenti procedimenti e sanzioni di carattere amministrativo o penale.
I dati personali possono essere trattati all'insaputa delle persone interessate.
In caso di indizi concreti di usurpazione d'identità o di utilizzazione non autorizzata di elementi di indirizzo, le persone interessate devono essere informate. Sono fatti salvi gli articoli 18a capoverso 4 lettera b e 18b LPD20.
4
Art. 77
Collaborazione in Svizzera
I servizi di cui all'articolo 75 capoverso 5 possono comunicare ai gestori di infrastrutture critiche dati personali di cui all'articolo 76, sempre che sia appropriato per garantire la sicurezza delle informazioni.
1
Possono comunicare ai fornitori e ai gestori di servizi informatici e di comunicazione dati personali di cui all'articolo 76, sempre che sia necessario per garantire la sicurezza delle informazioni d'infrastrutture critiche.
2
I gestori di infrastrutture critiche nonché i fornitori e i gestori di servizi informatici e di comunicazione possono comunicare ai servizi di cui all'articolo 75 capoverso 5 dati inerenti a un incidente determinato, inclusi dati personali. I servizi di cui all'articolo 75 capoverso 5 possono trasmettere tali dati ai fini del perseguimento penale unicamente previo consenso esplicito del fornitore dei dati.
3
19 20
RS 784.10 RS 235.1
2736
L sulla sicurezza delle informazioni
Art. 78
FF 2017
Cooperazione internazionale
I servizi di cui all'articolo 75 capoverso 5 possono scambiare dati di cui all'articolo 76 con servizi esteri e internazionali competenti per la protezione di infrastrutture critiche se tali dati sono necessari a questi ultimi per l'adempimento di compiti corrispondenti ai compiti secondo l'articolo 75.
1
Lo scambio di dati secondo il capoverso 1 è ammesso soltanto se i servizi esteri e internazionali garantiscono che i dati sono trattati per i fini previsti da tale disposizione.
2
Se i dati sono necessari per un procedimento legale all'estero, si applicano le disposizioni dell'assistenza amministrativa e dell'assistenza giudiziaria.
3
Art. 79
Sistema d'informazione per il sostegno alle infrastrutture critiche
I servizi di cui all'articolo 75 capoverso 5 gestiscono un sistema d'informazione per garantire lo scambio sicuro di informazioni con i gestori di infrastrutture critiche.
1
2
Il sistema d'informazione contiene le informazioni seguenti: a.
descrizioni e valutazioni di minacce e pericoli;
b.
consegne per individuare e fronteggiare tecnicamente gli incidenti;
c.
analisi di incidenti e raccomandazioni in materia di sicurezza;
d.
analisi delle vulnerabilità dei mezzi informatici;
e.
corrispondenza.
Le informazioni di cui al capoverso 2 possono anche contenere dati personali secondo l'articolo 76.
3
Art. 80
Conservazione e archiviazione dei dati
I servizi di cui all'articolo 75 capoverso 5 conservano dati personali soltanto fintanto che sono utili a sventare pericoli o individuare incidenti, ma al massimo per cinque anni.
1
L'archiviazione dei dati è retta dalle prescrizioni della legislazione in materia di archiviazione.
2
Art. 81
Disposizioni del Consiglio federale
Il Consiglio federale disciplina: a.
la ripartizione dei compiti, la collaborazione e lo scambio di informazioni tra i servizi di cui all'articolo 75 capoverso 5 e il SIC;
b.
la comunicazione di informazioni a gestori di infrastrutture critiche, terzi nonché servizi esteri e internazionali;
c.
la responsabilità in materia di protezione dei dati in relazione con il sistema d'informazione di cui all'articolo 79 e la sicurezza dei dati;
2737
L sulla sicurezza delle informazioni
d.
FF 2017
il controllo periodico del trattamento dei dati personali nel sistema d'informazione secondo l'articolo 79 da parte di un organo esterno.
Capitolo 6: Organizzazione ed esecuzione Sezione 1: Organizzazione Art. 82
Incaricati della sicurezza delle informazioni
Le autorità e organizzazioni seguenti designano per il rispettivo ambito di competenza un incaricato della sicurezza delle informazioni e un sostituto: 1
2
a.
il Consiglio federale;
b.
la Delegazione amministrativa dell'Assemblea federale;
c.
i tribunali della Confederazione;
d.
il Ministero pubblico della Confederazione;
e.
la Banca nazionale svizzera;
f.
i dipartimenti e la Cancelleria federale.
Gli incaricati della sicurezza delle informazioni assumono i compiti seguenti: a.
consigliano e assistono i servizi competenti del rispettivo ambito nell'adempimento dei compiti e degli obblighi secondo la presente legge;
b.
dirigono, per incarico della rispettiva autorità o organizzazione, l'organizzazione specialistica in materia di sicurezza delle informazioni e la relativa gestione dei rischi;
c.
verificano, per incarico della rispettiva autorità o organizzazione, il rispetto delle direttive in materia di sicurezza delle informazioni, redigono rapporti e propongono le misure necessarie;
d.
possono annunciare incidenti rilevanti sotto il profilo della sicurezza al servizio specializzato della Confederazione per la sicurezza delle informazioni e ai servizi di cui all'articolo 75 capoverso 5.
Agli incaricati della sicurezza delle informazioni non sono attribuiti compiti suscettibili di generare un conflitto d'interessi con i compiti di cui al capoverso 2.
3
Art. 83
Conferenza degli incaricati della sicurezza delle informazioni
La conferenza degli incaricati della sicurezza delle informazioni è composta dagli incaricati della sicurezza delle informazioni secondo l'articolo 82 capoverso 1, da due rappresentanti dei Cantoni e dall'incaricato federale della protezione dei dati e della trasparenza.
1
2738
L sulla sicurezza delle informazioni
2
3
FF 2017
Assume i compiti seguenti: a.
promuove l'esecuzione uniforme della presente legge;
b.
partecipa alla standardizzazione dei requisiti e delle misure secondo l'articolo 86;
c.
offre consulenza al servizio specializzato della Confederazione per la sicurezza delle informazioni in tutte le questioni relative al coordinamento dell'esecuzione e in questioni d'importanza strategica;
d.
provvede allo scambio di informazioni, in particolare in relazione con la gestione dei rischi nonché con problemi e incidenti nell'ambito della sicurezza delle informazioni;
e.
provvede al coordinamento con altri servizi che adempiono compiti nell'ambito della sicurezza delle informazioni.
La conferenza adotta un proprio regolamento interno.
Art. 84
Servizio specializzato della Confederazione per la sicurezza delle informazioni
Il servizio specializzato della Confederazione per la sicurezza delle informazioni assume i compiti seguenti: 1
a.
consiglia e assiste le autorità assoggettate, i loro incaricati della sicurezza delle informazioni e i Cantoni nell'esecuzione della presente legge;
b.
può formulare raccomandazioni in caso di minacce per la sicurezza delle informazioni della Confederazione;
c.
può eseguire verifiche su richiesta delle autorità assoggettate;
d.
può valutare, su richiesta delle autorità assoggettate, i rischi per la sicurezza delle informazioni connessi con l'impiego di nuove tecnologie;
e.
può verificare su richiesta delle autorità e organizzazioni assoggettate se i loro processi, i loro mezzi, le loro installazioni, i loro oggetti e le loro prestazioni soddisfano i requisiti in materia di sicurezza delle informazioni;
f.
può dirigere e coordinare, su richiesta delle autorità assoggettate, la sicurezza delle informazioni nel quadro di progetti importanti che coinvolgono più autorità;
g.
è l'interlocutore per i contatti specialistici con servizi svizzeri, esteri e internazionali;
h.
redige annualmente per il Consiglio federale un rapporto sullo stato della sicurezza delle informazioni della Confederazione.
L'incaricato del Consiglio federale per la sicurezza delle informazioni dirige il servizio specializzato della Confederazione per la sicurezza delle informazioni.
2
Il Consiglio federale disciplina l'organizzazione del servizio specializzato della Confederazione per la sicurezza delle informazioni. Può assegnargli ulteriori compiti a favore dell'Amministrazione federale e dell'esercito.
3
2739
L sulla sicurezza delle informazioni
FF 2017
Sezione 2: Esecuzione Art. 85
Disposizioni esecutive
Le autorità assoggettate sono incaricate di emanare le disposizioni esecutive della presente legge. Il Consiglio federale può delegare alla Cancelleria federale l'emanazione di disposizioni esecutive per gli affari del Consiglio federale.
1
Nel caso dell'Assemblea federale, le competenze che la presente legge assegna alle autorità assoggettate sono assunte dalla sua Delegazione amministrativa.
2
Le disposizioni esecutive del Consiglio federale si applicano per analogia alle autorità assoggettate, sempre che esse non emanino disposizioni esecutive proprie.
3
Art. 86
Requisiti e misure standardizzati
Il Consiglio federale stabilisce, secondo lo stato della scienza e della tecnica, requisiti standardizzati nonché misure organizzative, di personale, tecniche ed edili standardizzate per garantire la sicurezza delle informazioni.
1
2
Può delegare tale compito.
I requisiti e le misure standardizzati hanno carattere di raccomandazione, sempre che non siano dichiarati vincolanti dalle autorità assoggettate.
3
Art. 87
Cantoni
I Cantoni provvedono alla verifica periodica dell'applicazione e dell'efficacia della sicurezza delle informazioni secondo l'articolo 3.
1
Informano il servizio specializzato della Confederazione per la sicurezza delle informazioni sull'esito delle verifiche secondo il capoverso 1.
2
Designano ciascuno un servizio quale interlocutore delle autorità assoggettate per le questioni inerenti alla sicurezza delle informazioni.
3
Il Consiglio federale stabilisce in quali casi i Cantoni possono ricorrere alle prestazioni dei servizi specializzati secondo la presente legge per la loro sicurezza delle informazioni. Le prestazioni sono soggette al pagamento di un emolumento. Il Consiglio federale stabilisce l'ammontare degli emolumenti.
4
Art. 88
Trattati internazionali
Il Consiglio federale è autorizzato a concludere trattati internazionali nel campo della sicurezza delle informazioni per: a.
lo scambio di informazioni su pericoli, punti deboli e incidenti in tale ambito, in particolare per quanto riguarda le infrastrutture critiche;
b.
lo scambio di informazioni classificate;
c.
l'esecuzione di controlli di sicurezza relativi alle persone e di procedure di sicurezza relative alle aziende;
2740
L sulla sicurezza delle informazioni
d.
il riconoscimento di dichiarazioni di sicurezza;
e.
l'esecuzione di controlli.
Art. 89
FF 2017
Valutazione
Il Consiglio federale provvede affinché l'applicazione, l'adeguatezza, l'efficacia e l'economicità della presente legge siano periodicamente verificate.
1
Redige periodicamente un rapporto per le commissioni competenti dell'Assemblea federale.
2
Capitolo 7: Disposizioni finali Art. 90
Modifica di altri atti normativi
La modifica di altri atti normativi è disciplinata nell'allegato.
Art. 91
Disposizioni transitorie
La classificazione delle informazioni classificate secondo il diritto anteriore è adeguata alle disposizioni del nuovo diritto in occasione del loro primo trattamento dopo l'entrata in vigore della presente legge.
1
I mezzi informatici devono essere classificati secondo le disposizioni della presente legge entro due anni dalla sua entrata in vigore. Le misure tecniche per garantire la sicurezza delle informazioni devono essere concretizzate entro sei anni dall'entrata in vigore della presente legge.
2
Le dichiarazioni di sicurezza e di rischio rilasciate secondo il diritto anteriore nel quadro di controlli di sicurezza relativi alle persone e le dichiarazioni di sicurezza aziendale rilasciate secondo il diritto anteriore rimangono valevoli per cinque anni dal loro rilascio.
3
Art. 92
Referendum ed entrata in vigore
1
La presente legge sottostà a referendum facoltativo.
2
Il Consiglio federale ne determina l'entrata in vigore.
2741
L sulla sicurezza delle informazioni
FF 2017
Allegato (art. 90)
Modifica di altri atti normativi Gli atti normativi qui appresso sono modificati come segue:
1. Legge federale del 21 marzo 199721 sulle misure per la salvaguardia della sicurezza interna Art. 2 cpv. 4 lett. c Abrogata Sezione 4 (art. 1921) Abrogata Art. 24a cpv. 7, primo periodo Il sistema d'informazione è a disposizione dei servizi di fedpol competenti per l'esecuzione della presente legge, delle autorità di polizia dei Cantoni, del Servizio centrale svizzero in materia di tifoseria violenta (Servizio centrale), delle autorità doganali e dei servizi specializzati competenti per l'esecuzione dei controlli di sicurezza relativi alle persone secondo l'articolo 32 capoverso 2 della legge del ...22 sulla sicurezza delle informazioni, mediante una procedura di richiamo. ...
7
2. Legge federale del 25 settembre 201523 sulle attività informative Art. 51 cpv. 4 lett. d Le seguenti persone hanno accesso mediante procedura di richiamo ai dati di INDEX SIC indicati di seguito: 4
d.
21 22 23 24
i collaboratori dei servizi specializzati competenti per l'esecuzione dei controlli di sicurezza relativi alle persone secondo l'articolo 32 capoverso 2 della legge del ...24 sulla sicurezza delle informazioni, ai dati di cui al capoverso 3 lettera a per l'esecuzione di controlli di sicurezza relativi alle persone, per verifiche dell'affidabilità e per la valutazione del potenziale di violenza.
RS 120 RS ...; FF 2017 2563 2711 FF 2015 5925 RS ...; FF 2017 2563 2711
2742
L sulla sicurezza delle informazioni
FF 2017
3. Legge del 24 marzo 200025 sul personale federale Art. 20a
Estratto del casellario giudiziale e del registro delle esecuzioni
I datori di lavoro possono esigere dai candidati a un impiego e dai loro impiegati un estratto del casellario giudiziale e del registro delle esecuzioni se ciò è necessario per la tutela degli interessi del datore di lavoro.
Art. 20b
Verifica dell'affidabilità
I datori di lavoro secondo l'articolo 3 capoverso 1 lettere a, b, e ed f possono richiedere la verifica dell'affidabilità dei candidati a un impiego nonché dei loro impiegati, se nel quadro della loro funzione questi ultimi sono destinati: 1
2
a.
a rappresentare regolarmente la Svizzera all'estero e in tale contesto potrebbero pregiudicare considerevolmente l'immagine della Confederazione;
b.
a prendere decisioni e a esercitare compiti di vigilanza in affari finanziari o fiscali essenziali e in tale contesto potrebbero pregiudicare considerevolmente gli interessi finanziari della Confederazione.
Nell'ambito della verifica si limitano al minimo indispensabile.
I servizi specializzati secondo l'articolo 32 capoverso 2 della legge del ...26 sulla sicurezza delle informazioni (LSIn) eseguono le verifiche dell'affidabilità. La procedura si fonda per analogia sulle pertinenti disposizioni della LSIn.
3
Se i candidati a un impiego e gli impiegati sono sottoposti contemporaneamente a un controllo di sicurezza relativo alle persone secondo la LSIn, le due procedure sono riunite.
4
4. Codice di procedura civile27 Art. 166 cpv. 1 lett. c 1
Un terzo può rifiutarsi di cooperare: c.
25 26 27
all'accertamento di fatti confidatigli nella sua qualità ufficiale o di cui è venuto a conoscenza nell'esercizio della sua funzione, se è un funzionario ai sensi dell'articolo 110 capoverso 3 CP o membro di un'autorità, oppure di cui è venuto a conoscenza nell'esercizio della sua attività ausiliaria per un funzionario o un'autorità; egli è però tenuto a deporre se sottostà a un obbligo di denuncia o è stato autorizzato a deporre dall'autorità a lui preposta;
RS 172.220.1 RS ...; FF 2017 2563 2711 RS 272
2743
L sulla sicurezza delle informazioni
FF 2017
5. Legge di procedura civile federale del 4 dicembre 194728 Art. 42 cpv. 3 Per quanto concerne l'obbligo dei funzionari e dei loro ausiliari di deporre su fatti di cui hanno avuto notizia nell'esercizio delle loro funzioni o della loro attività ausiliaria, sono applicabili le disposizioni restrittive del diritto amministrativo federale o cantonale.
3
6. Codice penale svizzero29 Art. 320
Violazione del segreto d'ufficio
1. Chiunque rivela un segreto, che gli è confidato nella sua qualità di membro di una autorità o di funzionario o di cui ha notizia per la sua carica o funzione oppure in qualità di ausiliario di un funzionario o di un'autorità, è punito con una pena detentiva sino a tre anni o con una pena pecuniaria.
La rivelazione del segreto è punibile anche dopo la cessazione della carica, della funzione o dell'attività ausiliaria.
2. La rivelazione fatta col consenso scritto dell'autorità superiore non è punibile.
Art. 365 cpv. 2 lett. d Il casellario ha lo scopo di assistere le autorità federali e cantonali nell'adempimento dei compiti seguenti: 2
d.
valutazione del rischio per la sicurezza nel quadro dei controlli di sicurezza relativi alle persone secondo la legge del ... 30 sulla sicurezza delle informazioni (LSIn) e nel quadro delle verifiche dell'affidabilità secondo la legislazione speciale;
Art. 367 cpv. 2 lett. i, 2bis lett. b e 4 Le autorità seguenti possono, mediante procedura di richiamo, accedere ai dati personali concernenti le sentenze di cui all'articolo 366 capoversi 1, 2 e 3 lettere a e b: 2
i.
28 29 30 31
i servizi specializzati competenti per l'esecuzione dei controlli di sicurezza relativi alle persone secondo l'articolo 32 capoverso 2 LSIn31 (servizi specializzati CSP);
RS 273 RS 311.0 RS ...; FF 2017 2563 2711 RS ...; FF 2017 2563 2711
2744
L sulla sicurezza delle informazioni
FF 2017
Le autorità seguenti possono, mediante procedura di richiamo, accedere anche ai dati personali concernenti le sentenze di cui all'articolo 366 capoverso 3 lettera c: 2bis
b.
i servizi specializzati CSP;
I dati personali concernenti procedimenti penali pendenti possono essere trattati soltanto dalle autorità di cui al capoverso 2 lettere ae, i, j e l.
4
7. Codice di procedura penale32 Art. 170 cpv. 1 I funzionari ai sensi dell'articolo 110 capoverso 3 CP33 e i loro ausiliari come pure i membri di autorità e i loro ausiliari hanno facoltà di non deporre in merito a segreti loro confidati in virtù della loro veste ufficiale o di cui sono venuti a conoscenza nell'esercizio delle loro funzioni o della loro attività ausiliaria.
1
8. Codice penale militare del 3 giugno 192734 Art. 77
Violazione del segreto di servizio
1. Chi rivela un segreto che gli è stato confidato nella sua qualità di militare o di funzionario o di cui ha avuto notizia in tale qualità o in qualità di ausiliario di uno di questi detentori del segreto, è punito con una pena detentiva sino a tre anni o con una pena pecuniaria.
Nei casi poco gravi si applica una pena disciplinare.
2. La rivelazione del segreto è punibile anche dopo la cessazione della qualità di militare, della funzione o dell'attività ausiliaria.
9. Procedura penale militare del 23 marzo 197935 Art. 77 cpv. 2 Nessun funzionario o suo ausiliario può, senza il consenso dell'autorità da cui dipende, essere interrogato come testimone su un segreto d'ufficio (art. 320 CP 36) o essere obbligato a produrre documenti ufficiali. Sono del resto applicabili le disposizioni del diritto amministrativo federale e cantonale.
2
32 33 34 35 36
RS 312.0 RS 311.0 RS 321.0 RS 322.1 RS 311.0
2745
L sulla sicurezza delle informazioni
FF 2017
10. Legge federale del 13 giugno 200837 sui sistemi d'informazione di polizia della Confederazione Art. 15 cpv. 4 lett. f Abrogata Art. 17 cpv. 4, frase introduttiva e lett. l 4
Hanno accesso a questi dati mediante procedura di richiamo: l.
i servizi specializzati competenti per l'esecuzione dei controlli di sicurezza relativi alle persone secondo l'articolo 32 capoverso 2 della legge del ...38 sulla sicurezza delle informazioni, ai fini della valutazione del rischio per la sicurezza nel quadro di un controllo di sicurezza relativo alle persone, di una verifica dell'affidabilità o di una valutazione del potenziale di violenza.
11. Legge militare del 3 febbraio 199539 Art. 14
Verifica dell'affidabilità
I militari possono essere sottoposti a una verifica dell'affidabilità se nel quadro della loro funzione: 1
a.
sono destinati a rappresentare regolarmente la Svizzera all'estero e in tale contesto potrebbero pregiudicare considerevolmente l'immagine della Confederazione;
b.
sono destinati a prendere decisioni e a esercitare compiti di vigilanza in affari finanziari essenziali e in tale contesto potrebbero pregiudicare considerevolmente gli interessi finanziari della Confederazione.
Il Consiglio federale stabilisce quali funzioni sono soggette alla verifica. Al riguardo si limita al minimo indispensabile.
2
Il servizio specializzato secondo l'articolo 32 capoverso 2 della legge federale del ...40 sulla sicurezza delle informazioni (LSIn) esegue le verifiche dell'affidabilità.
La procedura è retta per analogia dalle pertinenti disposizioni della LSIn.
3
Se i militari sono sottoposti contemporaneamente a un controllo di sicurezza relativo alle persone secondo la LSIn, le due procedure sono riunite.
4
37 38 39 40
RS 361 RS ...; FF 2017 2563 2711 RS 510.10 RS ...; FF 2017 2563 2711
2746
L sulla sicurezza delle informazioni
FF 2017
Art. 113 cpv. 6 La procedura è retta per analogia dalle disposizioni relative al controllo di sicurezza di base secondo l'articolo 31 lettera a LSIn41. Se contemporaneamente deve essere eseguito un controllo di sicurezza di base anche per altri motivi, le due procedure sono riunite.
6
Art. 150 cpv. 4 Abrogato
12. Legge federale del 3 ottobre 200842 sui sistemi d'informazione militari Art. 14 cpv. 1 lett. i Il PISA contiene i seguenti dati delle persone soggette all'obbligo di leva, delle persone soggette all'obbligo di prestare servizio militare, del personale previsto per il promovimento della pace nonché di civili assistiti dalla truppa o chiamati a partecipare a un impiego di durata limitata dell'esercito: 1
i.
dati concernenti l'esecuzione della verifica dell'affidabilità secondo l'articolo 14 della legge militare del 3 febbraio 199543 (LM), con decisione.
Art. 17 cpv. 1 lett. a I dati del PISA concernenti reati, decisioni e misure penali possono essere conservati soltanto se, sulla base di tali dati: 1
a.
è stata emanata una decisione di non reclutamento, esclusione o degradazione ai sensi della LM44;
Capitolo 5, sezioni 1 e 2 (art. 144155) Abrogate
13. Legge federale del 21 marzo 200345 sull'energia nucleare Art. 5 cpv. 3 e 3bis Per impedire che la sicurezza interna di impianti nucleari e materiali nucleari sia ridotta da effetti non autorizzati o che materiali nucleari siano sottratti, vanno presi provvedimenti di sicurezza esterna.
3
41 42 43 44 45
RS ...; FF 2017 2563 2711 RS 510.91 RS 510.10 RS 510.10 RS 732.1
2747
L sulla sicurezza delle informazioni
FF 2017
La classificazione e il trattamento delle informazioni sono rette dalle disposizioni della legislazione sulla sicurezza delle informazioni in seno alla Confederazione.
3bis
14. Legge del 23 marzo 200746 sull'approvvigionamento elettrico Art. 20a
Verifica dell'affidabilità
Ai fini della valutazione del rischio per la sicurezza, gli impiegati della società nazionale di rete che adempiono compiti essenziali per la sicurezza della rete di trasporto a livello nazionale e il suo esercizio affidabile e performante sono sottoposti a una verifica della loro affidabilità.
1
Il Consiglio federale stabilisce quali gruppi di persone sono soggetti alla verifica.
Al riguardo si limita al minimo indispensabile.
2
Il servizio specializzato secondo l'articolo 32 capoverso 2 della legge del ...47 sulla sicurezza delle informazioni (LSIn) esegue la verifica dell'affidabilità. La procedura è retta per analogia dalle pertinenti disposizioni della LSIn.
3
Gli esiti della verifica sono comunicati alla direzione della società nazionale di rete, all'Ufficio federale e alla ElCom.
4
15. Legge del 3 ottobre 200348 sulla Banca nazionale Art. 16, rubrica e cpv. 5 Confidenzialità e sicurezza delle informazioni Per il rimanente si applicano le disposizioni della legge federale del 19 giugno 199249 sulla protezione dei dati e della legge del ...50 sulla sicurezza delle informazioni.
5
46 47 48 49 50
RS 734.7 RS ...; FF 2017 2563 2711 RS 951.11 RS 235.1 RS ...; FF 2017 2563 2711
2748