Gestione del ciberattacco contro la RUAG: punto della situazione Rapporto della Commissione della gestione del Consiglio nazionale dell'8 maggio 2018 Parere del Consiglio federale del 28 settembre 2018

Onorevoli presidente e consiglieri, conformemente all'articolo 158 della legge sul Parlamento, vi sottoponiamo il nostro parere in merito al rapporto della Commissione della gestione del Consiglio nazionale dell'8 maggio 20181 «Gestione del ciberattacco contro la RUAG: punto della situazione».

Gradite, onorevoli presidente e consiglieri, l'espressione della nostra alta considerazione.

28 settembre 2018

In nome del Consiglio federale svizzero: Il presidente della Confederazione, Alain Berset Il cancelliere della Confederazione, Walter Thurnherr

1

FF 2018 3895

2018-2949

5401

FF 2018

Parere 1

Situazione iniziale

L'8 maggio 2018 la Commissione della gestione del Consiglio nazionale (CdG-N) ha pubblicato il rapporto «Gestione del ciberattacco contro la RUAG: punto della situazione». Basandosi sui propri accertamenti e sulle verifiche eseguite in precedenza dal Controllo federale delle finanze (CDF), la CdG-N ha constatato nel suo rapporto che le misure adottate dal Consiglio federale e dal Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) per gestire il ciberattacco erano appropriate e in atto. In tal sede la CdG-N ha inoltre rivolto al Consiglio federale alcune raccomandazioni sulla gestione strategica del gruppo industriale di proprietà della Confederazione.

2

Parere del Consiglio federale

Per ottimizzare la tutela degli interessi azionari della Confederazione, il DDPS ha introdotto appositi workshop strategici con la RUAG Holding SA. Per questa ragione, il Consiglio federale descriverà in via introduttiva tale forma di colloquio con la proprietaria prima di esprimersi in merito alle raccomandazioni formulate dalla CdG-N.

2.1

Osservazioni introduttive

Nel quadro della legge federale del 10 ottobre 1997 concernente le imprese d'armamento della Confederazione (LIAC, RS 934.21), l'Assemblea federale ha deciso di trasformare le ex regie federali in società anonime di diritto privato. Le nuove società sono state costituite il 1° gennaio 1999. Le partecipazioni della Confederazione nelle società anonime sono esercitate per mezzo di una società di partecipazione, anch'essa costituita in società anonima di diritto privato. Nel caso presente, il Consiglio federale definisce nel quadro di obiettivi strategici le proprie aspettative secondo cui il Consiglio d'amministrazione della RUAG Holding SA deve realizzare la ragion d'essere del gruppo industriale, cioè fornire appoggio alla Confederazione «per assicurare l'equipaggiamento dell'esercito» (art. 1 LIAC).

In via aggiuntiva agli obiettivi convenuti con le Commissioni della politica di sicurezza e con le Commissioni delle finanze delle due Camere per gli anni 2016­2019, nel 2017 il DDPS ha svolto per la prima volta un workshop strategico assieme all'Amministrazione federale delle finanze (AFF) e al consiglio d'amministrazione della RUAG Holding SA. I workshop strategici rappresentano una forma di colloquio con la proprietaria che consente di elaborare le questioni strategiche in maniera più approfondita grazie a orizzonti temporali calcolati con maggiore larghezza. Il capo del DDPS ha consapevolmente voluto adottare uno strumento complementare a colloqui orientati talvolta essenzialmente a questioni di attualità e a singoli affari.

5402

FF 2018

L'influsso del Consiglio federale sull'evoluzione a medio e lungo termine della RUAG può essere rafforzato mediante colloqui con la proprietaria e l'intensificazione di quest'ultimi senza limitare le responsabilità del consiglio d'amministrazione della RUAG Holding SA disciplinate a livello di legge. Il consiglio d'amministrazione assume la direzione del gruppo RUAG ed è responsabile dell'attuazione degli scopi del gruppo industriale di proprietà della Confederazione definiti a livello di legge e di volta in volta concretizzati mediante gli obiettivi strategici del Consiglio federale.

Poiché il primo workshop strategico ha dato buone prove, il 18 gennaio 2018 ha avuto luogo un secondo workshop strategico, durante il quale le conseguenze del ciberattacco riscontrato nel 2016 sono state discusse in un'ottica strategica globale e le conoscenze acquisite in occasione del ciberattacco sono confluite in un elenco di aspettative sul futuro sviluppo della RUAG. Come constatato dalla CdG-N nel suo rapporto, l'elaborazione del ciberattacco nel quadro di un'organizzazione di progetto appositamente allestita a tal fine ha dato buone prove. Il DDPS ha fatto valere le sue aspettative nei confronti della RUAG, facendo intervenire il capo del DDPS se necessario. L'elaborazione del ciberattacco, che prosegue come previsto, ha dimostrato che l'auspicato scorporo del gruppo industriale deve andare oltre a una semplice separazione dei sistemi TIC e comprendere anche aspetti inerenti alla struttura organizzativa e alla forma giuridica del gruppo. Per questa ragione una parte importante del secondo workshop strategico è stata dedicata alla tematica della cybersicurezza. Le aspettative del capo del DDPS e del direttore dell'AFF sono confluite nel progetto di separazione delle attività della RUAG e del DDPS.

I rappresentanti dell'azionista esercitano pertanto un influsso effettivo sull'impresa d'armamento RUAG di proprietà della Confederazione, nel rispetto però delle competenze disciplinate a livello di legge e limitatamente a tematiche inerenti alla gestione strategica, in conformità con quanto stabilito nella LIAC.

2.2

Parere in merito alle raccomandazioni

In merito alle singole raccomandazioni il Consiglio federale si esprime come segue: Raccomandazione 1

Considerare le principali conclusioni nel quadro della gestione strategica

La CdG-N invita il Consiglio federale a valutare, sulla base delle conclusioni del CDF, se sia necessario operare determinati cambiamenti nel quadro della gestione strategica, in particolare nel quadro delle decisioni che saranno prese quanto alla struttura organizzativa e alla forma giuridica della RUAG e quanto a un'eventuale privatizzazione parziale dell'impresa.

Il Consiglio federale condivide il parere della CdG-N, secondo cui la concretizzazione dello scorporo comporterà delle conseguenze anche per la struttura organizzativa e la forma giuridica della RUAG Holding SA.

5403

FF 2018

Per questa ragione il Consiglio federale auspica, conformemente alla sua decisione del 21 marzo 2018, una nuova struttura per le parti del gruppo RUAG operative quasi esclusivamente per l'Esercito svizzero in qualità di centro di competenza per il materiale. Tale attività comprende innanzitutto prestazioni di assistenza e manutenzione per i sistemi dell'Esercito svizzero. Nel quadro del proprio piano programmatico, il consiglio d'amministrazione della RUAG Holding SA ha pertanto proposto al Consiglio federale di far confluire in due unità aziendali giuridicamente e finanziariamente indipendenti, da un lato, le componenti determinanti per il DDPS e l'Esercito svizzero e, dall'altro, quelle attive sul mercato. Il Consiglio federale ha approvato il suddetto piano programmatico nella sua seduta del 28 giugno 2018. Il consiglio d'amministrazione ha avviato gli ulteriori lavori d'intesa con il DDPS e il Dipartimento federale delle finanze (DFF). Nell'ambito di tali lavori saranno considerati anche i seguenti parametri fondamentali: la LIAC continuerà ad essere applicata senza modifiche. Come sinora, il Consiglio federale definirà ogni quattro anni gli obiettivi strategici della società di partecipazione. Ma in futuro potrà formulare e verificare con maggiore precisione le sue aspettative nei confronti delle due unità aziendali strategiche «MRO CH» («Maintenance, Repair and Overhaul CH») e «RUAG International». Il Consiglio d'amministrazione della società di partecipazione provvederà all'attuazione di tali aspettative, ai differenti livelli, da parte dell'intero gruppo industriale. La rendicontazione sarà realizzata a livello di società del gruppo (denominazioni provvisorie: «MRO CH», «RUAG Real Estate SA», «Corporate Services», «Space, Aerostructures», «MRO International», «Ammotec» e «Cyber Security»).

Il consiglio d'amministrazione della società di partecipazione sarà come sinora nominato dall'assemblea generale, cioè, in definitiva, dal Consiglio federale. Una parte dei membri di detto consiglio d'amministrazione siederà nel contempo nel consiglio d'amministrazione della «RUAG International», l'altra andrà a comporre il consiglio d'amministrazione della «MRO Holding». Questi due consigli d'amministrazione potranno comprendere anche ulteriori membri. In particolare, nel consiglio d'amministrazione
della «MRO Holding» potrà essere nominato un quadro del DDPS, che farebbe nel contempo parte anche del consiglio d'amministrazione della «MRO CH».

Raccomandazione 2

Tenere conto della problematica della separazione delle reti in caso di future esternalizzazioni o nel quadro dei principi del governo d'impresa

La CdG-N invita il Consiglio federale a garantire che in caso di future esternalizzazioni la problematica della separazione delle reti sia tenuta in debito conto.

In particolare dovrà chiarire se la questione della separazione debba essere considerata nel quadro dei criteri d'idoneità per un'esternalizzazione o nelle direttive e nei rapporti rilevanti in materia di governo d'impresa.

5404

FF 2018

Il Consiglio federale condivide il parere della CdG-N, secondo cui nel quadro di future esternalizzazioni occorrerà prestare particolare attenzione alla problematica della separazione delle reti. È tuttavia del parere che a tal fine non siano necessarie aggiunte ai principi in materia di governo d'impresa.

Il Consiglio federale ha già ordinato delle misure per gestire il ciberattacco. La problematica dell'interconnessione delle reti della Confederazione con quelle di unità esternalizzate è stata sottoposta a verifica. La RUAG potrebbe rappresentare un caso particolare, poiché l'interconnessione delle sue reti con reti dell'Amministrazione federale e del DDPS è particolarmente intensa ed estesa.

Sia per le unità già esistenti sia per unità di nuova costituzione, il Consiglio federale ha la possibilità di inserire tra gli obiettivi strategici, per quanto necessario, anche direttive specifiche in materia di interconnessione o separazione delle reti. Al pari degli altri obiettivi, simili direttive devono tuttavia concernere unicamente il livello strategico e non devono costituire un'ingerenza nella gestione operativa dell'unità interessata. Nel quadro degli obiettivi strategici il Consiglio federale può in particolare formulare anche direttive concernenti la gestione dei rischi da parte dell'unità in questione (cfr. per es. il n. 2.7 degli Obiettivi strategici del Consiglio federale per Skyguide negli anni 2016­2019, FF 2015 7207). Una gestione dei rischi al passo con i tempi deve tener conto anche del rischio di eventuali cyberattacchi.

Le attuali regolamentazioni in materia di protezione delle informazioni e di sicurezza delle informazioni sono risultate lacunose. Nel quadro del messaggio concernente la legge sulla sicurezza delle informazioni, attualmente trattato nelle Camere federali (FF 2017 2563), il Consiglio federale ha proposto una nuova regolamentazione al passo con i tempi ed estesa anche all'Amministrazione federale.

Il Consiglio federale ritiene pertanto già adempiuto quanto richiesto nella raccomandazione.

Raccomandazione 3

Ricorrere in modo adeguato agli strumenti di gestione per tutelare gli interessi della proprietaria

La CdG-N chiede al Consiglio federale di spiegare in che modo intende garantire un ricorso adeguato agli strumenti di gestione e quindi migliorare la tutela degli interessi della proprietaria.

In particolare, la gestione strategica non deve avvenire durante contatti informali, ma nel quadro dei colloqui con la proprietaria. La CdG-N si aspetta anche che le discussioni e le decisioni importanti siano documentate per scritto. Chiede infine al Consiglio federale, alla luce delle sfide da affrontare, di valutare in modo approfondito la presenza (perlomeno temporanea) di un rappresentante cui poter impartire istruzioni nel consiglio d'amministrazione della RUAG.

Il Consiglio federale dirige e gestisce le imprese in questione mediante obiettivi strategici, nel quadro dei principi in materia di governo d'impresa, conformemente a quanto espresso nei suoi rapporti in materia (Rapporto del Consiglio federale sul governo d'impresa, 2006, FF 2006 7545; Rapporto supplementare del Consiglio federale concernente il Rapporto sul governo d'impresa, 2009, FF 2009 2225; prin5405

FF 2018

cipi per le unità rese autonome, versione 2009). Negli scorsi anni le relative basi sono state costantemente sviluppate e adeguate alle nuove sfide economiche e politiche delle imprese. I colloqui personali e i contatti informali hanno luogo in via complementare alla LIAC e agli obiettivi strategici. La trasparenza viene ottimizzata e i contenuti dei rapporti trimestrali, allestiti dalla direzione del gruppo RUAG quali basi per i colloqui con il capo del DDPS, sono vieppiù orientati alle esigenze della Confederazione quale azionista unica della RUAG Holding SA, sulla base dei feedback e delle direttive ricevuti. Per esempio, la società Clearswift, attiva nel settore della cybersicurezza e acquisita dalla RUAG nel 2016, sarà d'ora in poi menzionata nei rapporti come segmento aziendale separato.

I recenti sviluppi delle imprese summenzionate, i dibattiti politici e alcuni interventi parlamentari hanno indotto a verificare la concezione del governo d'impresa della Confederazione. Quest'ultimo non è limitato a regolamentazioni interne all'amministrazione sulle competenze e sulle delimitazioni tra i dipartimenti interessati e l'AFF, ma è anche correlato alle attuali condizioni quadro giuridiche ed economicoaziendali delle imprese di proprietà della Confederazione. Pure tale interfaccia va analizzata. A partire dai risultati andranno elaborate le possibilità di ulteriore sviluppo del governo d'impresa.

Per tale ragione il Consiglio federale ha incaricato il DFF di avviare una relativa verifica in collaborazione con il Dipartimento federale dell'ambiente, dei trasporti, dell'energia e delle comunicazioni (DATEC) e il DDPS. Il Consiglio federale sarà informato sui risultati della verifica nel secondo trimestre del 2019. Il rapporto non concernerà tuttavia la questione (specifica innanzitutto alla RUAG) dell'interconnessione o della separazione delle reti informatiche, non contemplata nel mandato.

5406