FF 2023 www.fedlex.admin.ch La versione elettronica firmata è quella determinante
Legge federale sulla sicurezza delle informazioni in seno alla Confederazione
Disegno
(Legge sulla sicurezza delle informazioni, LSIn) Modifica del ...
L'Assemblea federale della Confederazione Svizzera, visto il messaggio del Consiglio federale del 2 dicembre 20221, decreta: I La legge del 18 dicembre 20202 sulla sicurezza delle informazioni è modificata come segue: Titolo Legge federale sulla sicurezza delle informazioni (Legge sulla sicurezza delle informazioni, LSIn) Art. 1 cpv. 1 1
La presente legge ha lo scopo di: a.
garantire il trattamento sicuro delle informazioni di competenza della Confederazione nonché l'impiego sicuro dei mezzi informatici della Confederazione;
b.
aumentare la resilienza della Svizzera alle ciberminacce.
Art. 2 cpv. 5 Alle organizzazioni di diritto pubblico o privato che gestiscono infrastrutture critiche, ma che non sono contemplate ai capoversi 13 si applicano gli articoli 73a79.
La legislazione speciale può dichiarare applicabili altre disposizioni della presente legge.
5
1 2
FF 2023 84 RS 128; RU 2022 232
2022-3970
FF 2023 85
Legge sulla sicurezza delle informazioni
FF 2023 85
Art. 4 cpv. 1 e 1bis La legge del 17 dicembre 20043 sulla trasparenza (LTras) prevale sulla presente legge.
1
Le informazioni relative a terzi di cui il Centro nazionale per la cibersicurezza (NCSC) viene a conoscenza tramite la ricezione e l'analisi di segnalazioni secondo il capitolo 5 non possono essere rese accessibili secondo la LTras. Non sono considerati terzi le autorità, le organizzazioni e le persone menzionate all'articolo 2 capoverso 1 LTras.
1bis
Art. 5, frase introduttiva (concerne soltanto il testo francese) e lett. dg Ai sensi della presente legge s'intende per: d.
ciberincidente: un evento che si verifica nell'utilizzo di mezzi informatici e che compromette la confidenzialità, l'accessibilità o l'integrità delle informazioni o la tracciabilità del loro trattamento;
e.
ciberattacco: un ciberincidente provocato intenzionalmente;
f.
ciberminaccia: qualsiasi circostanza o evento che rende potenzialmente possibile un ciberincidente;
g.
vulnerabilità: una ciberminaccia che è da ricondurre a punti deboli o errori nei mezzi informatici.
Inserire prima del titolo della sezione 2 Art. 10a
Trattamento di dati personali
Le autorità e organizzazioni assoggettate possono trattare i dati personali utili al fine di garantire la sicurezza delle informazioni, in particolare nei sistemi d'informazione previsti a tale scopo (applicazioni ISMS).
1
Possono scambiare i dati personali di cui al capoverso 1 reciprocamente nonché con organizzazioni di diritto pubblico svizzere, internazionali ed estere, sempre che: 2
a.
ciò sia utile al fine di garantire la sicurezza delle informazioni;
b.
non sia violato alcun obbligo legale o contrattuale di mantenere il segreto;
c.
siano rispettate le disposizioni della legislazione federale sulla protezione dei dati; e
d.
queste organizzazioni assumano compiti legali nell'ambito della sicurezza delle informazioni che corrispondono a quelli dell'autorità o dell'organizzazione che ha trasmesso la comunicazione.
Le autorità e organizzazioni assoggettate possono collegare i propri sistemi d'informazione, in particolare le applicazioni ISMS, e scambiarsi dati automaticamente o su richiesta tramite interfacce.
3
3
RS 152.3
2 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
Possono gestire i moduli digitali finalizzati all'inoltro e al trattamento di richieste e segnalazioni nell'ambito della sicurezza delle informazioni e collegarli alle proprie applicazioni ISMS o ad altri sistemi d'informazione.
4
Se necessario per far fronte a violazioni della sicurezza delle informazioni o per eliminare vulnerabilità, le autorità e organizzazioni assoggettate possono: 5
a.
trattare; e
b.
scambiare reciprocamente nonché con organizzazioni di diritto pubblico svizzere, internazionali ed estere, sempre che le condizioni di cui al capoverso 2 lettera b siano soddisfatte,
i dati personali degni di particolare protezione secondo l'articolo 5 lettera c della legge del 25 settembre 20204 sulla protezione dei dati (LPD) di persone che sono o potrebbero essere coinvolte in tali violazioni o vulnerabilità o da esse interessate.
Le autorità e organizzazioni assoggettate possono conservare i dati personali degni di particolare protezione fino a due anni dopo che si è fatto fronte alla violazione della sicurezza delle informazioni o è stata eliminata la vulnerabilità, ma al massimo per dieci anni.
6
L'archiviazione dei dati è retta dalle disposizioni della legislazione in materia di archiviazione.
7
Il trattamento dei dati personali da parte dell'NCSC nel quadro dell'adempimento dei suoi compiti è retto dagli articoli 7579.
8
Art. 23 cpv. 3 Concerne soltanto il testo francese Art. 44 cpv. 2 2
La restrizione del diritto d'accesso è retta dall'articolo 26 LPD5.
Titolo dopo l'art. 73
Capitolo 5: Misure della Confederazione per la protezione della Svizzera contro le ciberminacce Sezione 1: Disposizioni generali Art. 73a
Principio
Ai fini della protezione della Svizzera contro le ciberminacce, l'NCSC effettua analisi tecniche per valutare e contrastare ciberincidenti e ciberminacce, nonché per indentificare ed eliminare vulnerabilità.
1
4 5
RS 235.1 RS 235.1
3 / 14
Legge sulla sicurezza delle informazioni
2
FF 2023 85
Sulla base delle analisi, l'NCSC svolge in particolare i seguenti compiti: a.
sensibilizzare e avvisare il pubblico riguardo alle ciberminacce;
b.
avvisare le autorità, le organizzazioni e le persone interessate in caso di ciberminacce imminenti o di ciberattacchi in corso;
c.
pubblicare informazioni sulla cibersicurezza e raccomandazioni per l'adozione di misure preventive e reattive contro i ciberincidenti;
d.
ricevere e trattare le segnalazioni riguardanti ciberincidenti e ciberminacce;
e.
sostenere i gestori di infrastrutture critiche.
Art. 73b
Segnalazioni
L'NCSC riceve le segnalazioni riguardanti ciberincidenti e ciberminacce. Le segnalazioni possono essere anonime.
1
L'NCSC analizza le segnalazioni in relazione alla loro rilevanza per la protezione della Svizzera contro le ciberminacce. Su richiesta, l'NCSC emana una raccomandazione su come procedere, sempre che non siano necessari ulteriori analisi e chiarimenti.
2
Se gli vengono segnalate vulnerabilità, l'NCSC informa immediatamente il produttore dell'hardware o del software interessato e gli fissa un congruo termine per eliminarle. Gli indica che la mancata osservanza può essere sanzionata secondo il diritto in materia di appalti pubblici (art. 44 cpv. 1 lett. fbis della legge federale del 21 giugno 20196 sugli appalti pubblici) e che l'NCSC, allo scadere del termine, può pubblicare la vulnerabilità ai sensi dell'articolo 73c capoverso 2.
3
Art. 73c
Pubblicazione di informazioni provenienti da segnalazioni
L'NCSC può pubblicare informazioni relative a ciberincidenti, sempre che ciò serva alla protezione contro le ciberminacce. Queste informazioni possono contenere dati relativi alla persona fisica o giuridica interessata soltanto se quest'ultima vi acconsente e se i dati concernono le caratteristiche d'identificazione e gli elementi d'indirizzo che sono stati utilizzati in modo abusivo.
1
L'NCSC può pubblicare informazioni relative a vulnerabilità indicando l'hardware o il software interessato, sempre che il produttore vi acconsenta o non abbia eliminato la vulnerabilità entro il termine di cui all'articolo 73b capoverso 3.
2
Art. 73d
Inoltro di informazioni
L'NCSC può inoltrare informazioni provenienti da segnalazioni ad autorità e organizzazioni attive nel settore della cibersicurezza. Queste informazioni possono contenere dati personali soltanto se la persona interessata vi acconsente.
1
Se dalla segnalazione di un ciberincidente o dalla sua analisi emergono informazioni necessarie a individuare tempestivamente e sventare minacce per la sicurezza interna 2
6
RS 172.056.1
4 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
o esterna, a valutare la situazione di minaccia o ad assicurare un servizio di preallerta informativa per la protezione di infrastrutture critiche secondo l'articolo 6 capoversi 1 lettera a, 2 e 5 della legge federale del 25 settembre 20157 sulle attività informative (LAIn), l'NCSC inoltra queste informazioni al SIC.
I collaboratori dell'NCSC che nell'ambito di una segnalazione o della sua analisi constatano indizi di un possibile reato lo denunciano unicamente al direttore dell'NCSC, in deroga all'articolo 22a capoverso 1 della legge del 24 marzo 20008 sul personale federale. Il direttore dell'NCSC può sporgere denuncia presso le autorità di perseguimento penale, se lo esige la gravità del possibile reato.
3
L'NCSC può inoltrare informazioni che rivelano segreti protetti dal diritto penale unicamente secondo quanto disposto dall'articolo 320 del Codice penale9.
4
Art. 74
Sostegno ai gestori di infrastrutture critiche
L'NCSC sostiene i gestori di infrastrutture critiche nella protezione contro le ciberminacce.
1
L'NCSC mette loro a disposizione gratuitamente per l'utilizzo su base volontaria in particolare i seguenti strumenti: 2
a.
un sistema di comunicazione per lo scambio sicuro delle informazioni;
b.
informazioni tecniche sulle ciberminacce attuali e raccomandazioni per l'adozione di misure preventive e reattive contro i ciberincidenti;
c.
strumenti tecnici e istruzioni per l'individuazione di ciberincidenti che si orientano al bisogno di protezione elevato delle infrastrutture critiche.
L'NCSC può fornire loro consulenza e sostegno nel far fronte a ciberincidenti ed eliminare vulnerabilità se il funzionamento dell'infrastruttura critica interessata rischia di essere compromesso e, nel caso si tratti di gestori privati, se non è possibile procurarsi per tempo un sostegno equivalente sul mercato.
3
Previo consenso del gestore interessato, l'NCSC può accedere alle informazioni e ai mezzi informatici di quest'ultimo per analizzare un ciberincidente.
4
Titolo dopo l'art. 74
Sezione 2: Obbligo di segnalare ciberattacchi Art. 74a
Principi
Le autorità e le organizzazioni di cui all'articolo 74b devono provvedere affinché i ciberattacchi verso i loro mezzi informatici siano segnalati all'NCSC.
1
L'NCSC informa sul loro eventuale assoggettamento all'obbligo di segnalare ciberattacchi le autorità e organizzazioni che lo richiedono; su richiesta, emana una decisione sull'assoggettamento.
2
7 8 9
RS 121 RS 172.220.1 RS 311.0
5 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
La segnalazione di un ciberattacco conferisce alle autorità e organizzazioni assoggettate all'obbligo di segnalazione il diritto a ottenere sostegno dall'NCSC nel far fronte all'incidente secondo l'articolo 74 capoverso 3.
3
L'obbligo di segnalazione è finalizzato soltanto a consentire all'NCSC di individuare tempestivamente modelli di attacco contro infrastrutture critiche e di avvisare così possibili interessati e raccomandare loro misure di prevenzione e di difesa adeguate.
4
Art. 74b 1
Autorità e organizzazioni assoggettate all'obbligo di segnalazione
L'obbligo di segnalare ciberattacchi si applica:
10 11 12 13 14 15 16 17 18
a.
alle scuole universitarie secondo l'articolo 2 capoverso 2 della legge federale del 30 settembre 201110 sulla promozione e sul coordinamento del settore universitario svizzero;
b.
alle autorità federali, cantonali e comunali nonché alle organizzazioni intercantonali, cantonali e intercomunali; è eccettuato l'Aggruppamento Difesa, laddove l'esercito presti servizio d'appoggio secondo articolo 67 o servizio attivo secondo l'articolo 76 della legge militare del 3 febbraio 199511;
c.
alle organizzazioni cui sono affidati compiti di diritto pubblico nei settori della sicurezza e del salvataggio, dell'approvvigionamento di acqua potabile, del trattamento delle acque di scarico e dello smaltimento dei rifiuti;
d.
alle imprese attive nel settore dell'approvvigionamento energetico secondo l'articolo 6 capoverso 1 della legge federale del 30 settembre 201612 sull'energia nonché nel commercio, nella misurazione e nella gestione dell'energia; sono eccettuati i titolari di licenze conformemente alla legge federale del 21 marzo 200313 sull'energia nucleare, per quanto riguarda i ciberattacchi effettuati contro un impianto nucleare;
e.
alle imprese che sottostanno alla legge dell'8 novembre 193414 sulle banche, alla legge del 17 dicembre 200415 sulla sorveglianza degli assicuratori o alla legge del 19 giugno 201516 sull'infrastruttura finanziaria;
f.
agli stabilimenti che figurano negli elenchi cantonali di cui all'articolo 39 capoverso 1 lettera e della legge federale del 18 marzo 199417 sull'assicurazione malattie;
g.
ai laboratori medici che dispongono di un'autorizzazione secondo l'articolo 16 capoverso 1 della legge del 28 settembre 201218 sulle epidemie;
RS 414.20 RS 510.10 RS 730.0 RS 732.1 RS 952.0 RS 961.01 RS 958.1 RS 832.10 RS 818.101
6 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
h.
alle imprese che dispongono di un'autorizzazione secondo la legge del 15 dicembre 200019 sugli agenti terapeutici per la fabbricazione, l'immissione in commercio e l'importazione di medicamenti;
i.
alle organizzazioni che forniscono prestazioni volte a coprire le conseguenze di malattie, infortuni, incapacità al lavoro e al guadagno, vecchiaia, invalidità e grande invalidità;
j.
alla Società svizzera di radiotelevisione;
k.
alle agenzie di stampa d'importanza nazionale;
l.
ai fornitori di servizi postali registrati presso la Commissione delle poste secondo l'articolo 4 capoverso 1 della legge del 17 dicembre 201020 sulle poste;
m. alle imprese ferroviarie secondo l'articolo 5 o 8c della legge federale del 20 dicembre 195721 sulle ferrovie e alle imprese che gestiscono impianti di trasporto a fune, linee filoviarie, autobus e battelli e sono titolari di una concessione secondo l'articolo 6 della legge del 20 marzo 200922 sul trasporto di viaggiatori;
19 20 21 22 23 24
n.
alle imprese dell'aviazione civile che dispongono di un'autorizzazione dell'Ufficio federale dell'aviazione civile e agli aeroporti nazionali conformemente al Piano settoriale dei trasporti, Parte Infrastruttura aeronautica;
o.
alle imprese che trasportano merci sul Reno secondo la legge federale del 23 settembre 195323 sulla navigazione marittima sotto bandiera svizzera e alle imprese che gestiscono l'iscrizione, il carico o lo scarico nei porti basilesi;
p.
alle imprese che riforniscono la popolazione di beni indispensabili di uso quotidiano, sempre che l'interruzione o il pregiudizio della loro attività comporti considerevoli difficoltà di approvvigionamento;
q.
ai fornitori di servizi di telecomunicazione registrati preso l'Ufficio federale delle comunicazioni secondo l'articolo 4 capoverso 1 LTC24;
r.
ai gestori di registri e ai centri di registrazione di domini Internet secondo l'articolo 28b LTC;
s.
ai fornitori e ai gestori di servizi e infrastrutture che servono all'esercizio dei diritti politici;
t.
ai fornitori e ai gestori di servizi di cloud computing, motori di ricerca o servizi di sicurezza e fiduciari digitali nonché ai centri di calcolo, sempre che abbiano una sede in Svizzera;
u.
ai produttori di hardware o software i cui prodotti sono utilizzati da infrastrutture critiche, sempre che tali hardware o software abbiano un accesso remoto per la manutenzione o siano impiegati per uno dei seguenti scopi:
RS 812.21 RS 783.0 RS 742.101 RS 745.1 RS 747.30 RS 784.10
7 / 14
Legge sulla sicurezza delle informazioni
1.
2.
FF 2023 85
la gestione e il monitoraggio di sistemi e processi tecnici, la garanzia della sicurezza pubblica.
Le autorità e organizzazioni che esercitano anche attività non rientranti nel campo di applicazione del capoverso 1 non hanno l'obbligo di segnalare i ciberattacchi che hanno ripercussioni unicamente su queste attività.
2
L'obbligo di segnalazione di cui al capoverso 1 si applica a ciberattacchi che hanno ripercussioni in Svizzera anche se i mezzi informatici interessati si trovano all'estero.
3
Art. 74c
Eccezioni all'obbligo di segnalazione
Il Consiglio federale esenta le autorità e organizzazioni dall'obbligo di segnalazione di cui all'articolo 74b per quanto riguarda i ciberattacchi che causano guasti funzionali con ripercussioni minime sul funzionamento dell'economia o sul benessere della popolazione.
Art. 74d
Ciberattacchi da segnalare
Un ciberattacco deve essere segnalato se: a.
compromette il funzionamento dell'infrastruttura critica interessata;
b.
ha comportato una manipolazione o una fuga di informazioni;
c.
non è stato identificato per un periodo prolungato, in particolare se vi sono indizi secondo cui potrebbe essere stato effettuato per preparare altri ciberattacchi; o
d.
è connesso al reato di estorsione, minaccia o coazione.
Art. 74e
Termine e contenuto della segnalazione
La segnalazione deve avvenire entro le 24 ore successive all'individuazione del ciberattacco.
1
Contiene informazioni sull'autorità o sull'organizzazione assoggettata all'obbligo di segnalazione, sul tipo di ciberattacco e sulla sua esecuzione, sulle sue ripercussioni, sulle misure adottate e, se noto, sull'ulteriore modo di procedere previsto.
2
Se al momento della segnalazione non sono ancora note tutte le informazioni necessarie, l'autorità o l'organizzazione assoggettata all'obbligo di segnalazione completa la stessa non appena dispone di nuove informazioni.
3
Chi deve adempiere l'obbligo di segnalazione per conto di un'autorità o di un'organizzazione non è tenuto, nel quadro della segnalazione, a fornire indicazioni che lo rendono penalmente perseguibile.
4
L'NCSC informa l'autorità o l'organizzazione assoggettata all'obbligo di segnalazione non appena ha ricevuto tutte le informazioni che consentono di adempiere tale obbligo.
5
8 / 14
Legge sulla sicurezza delle informazioni
Art. 74f
FF 2023 85
Trasmissione della segnalazione
L'NCSC mette a disposizione un sistema sicuro con cui trasmettergli per via elettronica le segnalazioni di ciberattacchi.
1
Il sistema permette alle autorità e organizzazioni assoggettate all'obbligo di segnalazione di trasmettere anche ad altre autorità la segnalazione del ciberattacco o delle sue ripercussioni sia nella sua totalità sia in parte.
2
Se per adempiere obblighi di notifica nei confronti di altre autorità sono necessarie informazioni che vanno oltre quelle menzionate all'articolo 74e, il sistema permette alle autorità e organizzazioni assoggettate all'obbligo di segnalazione di trasmettere queste informazioni direttamente alle autorità interessate senza che l'NCSC vi acceda.
3
Art. 74g
Violazione dell'obbligo di segnalazione
Se vi sono indizi di una violazione dell'obbligo di segnalazione, l'NCSC ne informa l'autorità o l'organizzazione assoggettata a tale obbligo e fissa un congruo termine per provvedervi.
1
Se l'autorità o l'organizzazione assoggettata all'obbligo di segnalazione non adempie il proprio obbligo entro questo termine, l'NCSC emana una decisione in merito a tale obbligo fissando un nuovo termine e indicando la comminatoria della multa di cui all'articolo 74h.
2
Art. 74h
Inosservanza di decisioni dell'NCSC
Chi, intenzionalmente, non ottempera a una decisione dell'NCSC passata in giudicato intimatagli con la comminatoria della pena prevista dal presente articolo o a una decisione dell'autorità di ricorso è punito con la multa sino a 100 000 franchi.
1
In caso di infrazioni di cui al capoverso 1 commesse nell'azienda è applicabile l'articolo 6 della legge federale del 22 marzo 197425 sul diritto penale amministrativo (DPA).
2
Se la multa applicabile non supera i 20 000 franchi e se la determinazione delle persone punibili secondo l'articolo 6 DPA esige provvedimenti d'inchiesta sproporzionati all'entità della pena, l'autorità può prescindere dal perseguimento di dette persone e, in loro vece, condannare l'azienda al pagamento della multa.
3
In caso di inosservanza di una decisione dell'NCSC, il perseguimento e il giudizio competono ai Cantoni.
4
25
RS 313.0
9 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
Titolo prima dell'art. 75
Sezione 3: Protezione dei dati e scambio di informazioni Art. 75
Trattamento di dati personali
Per l'adempimento dei propri compiti, l'NCSC può trattare dati personali, compresi elementi di indirizzo di cui all'articolo 3 lettera f LTC26 e i relativi dati personali degni di particolare protezione, che contengono informazioni su: 1
a.
opinioni religiose, filosofiche o politiche; il trattamento è ammesso unicamente nella misura necessaria per la valutazione di minacce e pericoli concreti nell'ambito della cibersicurezza;
b.
perseguimenti e sanzioni amministrativi o penali.
In caso di trattamento di dati personali o di indizi concreti di usurpazione d'identità o di utilizzazione non autorizzata di elementi di indirizzo, l'NCSC informa le persone interessate sempre che ciò non comporti un onere sproporzionato e nessun interesse pubblico preponderante vi si opponga.
2
Art. 76
Cooperazione a livello nazionale
L'NCSC può comunicare dati personali ai gestori di infrastrutture critiche, sempre che ciò sia necessario alla protezione contro le ciberminacce.
1
I gestori di infrastrutture critiche possono comunicare dati personali all'NCSC, sempre che ciò sia necessario alla protezione contro le ciberminacce.
2
L'NCSC può comunicare ai fornitori di servizi di telecomunicazione elementi di indirizzo e i relativi dati personali, sempre che ciò sia necessario alla protezione contro le ciberminacce.
3
I fornitori di servizi di telecomunicazione possono comunicare all'NCSC elementi di indirizzo e i relativi dati personali, sempre che ciò sia necessario alla protezione contro le ciberminacce.
4
Art. 76a
Sostegno alle autorità
L'NCSC sostiene il SIC con valutazioni periodiche sul numero, sul tipo e sulla portata dei ciberattacchi e, su richiesta, con analisi tecniche delle ciberminacce.
1
Concede al SIC l'accesso a informazioni che riguardano l'identità e il modo di operare degli autori di ciberattacchi al fine di individuare tempestivamente e sventare minacce alla sicurezza interna o esterna, valutare la situazione di minaccia e assicurare un servizio di preallerta informativa per la protezione di infrastrutture critiche secondo l'articolo 6 capoversi 1 lettera a, 2 e 5 LAIn27.
2
L'NCSC concede alle autorità di perseguimento penale l'accesso a informazioni che riguardano l'identità e il modo di operare degli autori di ciberattacchi.
3
26 27
RS 784.10 RS 121
10 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
Concede ai servizi cantonali competenti per la cibersicurezza l'accesso alle informazioni necessarie alla protezione contro le ciberminacce.
4
Art. 77
Cooperazione a livello internazionale
L'NCSC può scambiare informazioni che permettono di stabilire l'identità e il modo di operare degli autori di ciberattacchi con servizi esteri e internazionali competenti per la cibersicurezza se questi ultimi necessitano di tali informazioni per l'adempimento di compiti che corrispondono a quelli dell'NCSC. Se lo scambio di informazioni concerne anche dati personali, vanno osservati gli articoli 16 e 17 LPD28.
1
Lo scambio di informazioni di cui al capoverso 1 è ammesso soltanto se i servizi esteri e internazionali garantiscono che i dati sono trattati per i fini previsti da tale disposizione.
2
Art. 78 Abrogato Art. 79 cpv. 1 L'NCSC conserva i dati personali soltanto fino a che sono utili per individuare ciberminacce o far fronte a ciberincidenti, ma al massimo per cinque anni dall'ultimo utilizzo a tale scopo. Per i dati personali degni di particolare protezione il termine è di due anni.
1
Art. 80 Abrogato II Gli atti normativi qui appresso sono modificati come segue:
1. Legge federale del 21 giugno 201929 sugli appalti pubblici Art. 44 cpv. 1 lett. fbis Il committente può escludere un offerente dalla procedura di aggiudicazione, radiarlo da un elenco o revocare l'aggiudicazione, se constata che l'offerente, un terzo coinvolto o i rispettivi organi realizzano una delle seguenti fattispecie: 1
fbis. non eliminano entro il termine fissato dal Centro nazionale per la cibersicurezza secondo l'articolo 73b capoverso 3 della legge del 18 dicembre 202030 28 29 30
RS 235.1 RS 172.056.1 RS 128; RU 2022 232
11 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
sulla sicurezza delle informazioni una vulnerabilità nell'hardware o nel software da loro prodotto;
2. Legge federale del 25 settembre 202031 sulla protezione dei dati Art. 24 cpv. 5bis Con il consenso del titolare del trattamento, l'IFPDT può inoltrare la notifica al Centro nazionale per la cibersicurezza ai fini dell'analisi dell'incidente. La comunicazione può contenere dati personali, compresi dati personali degni di particolare protezione su perseguimenti o sanzioni amministrativi e penali concernenti il titolare del trattamento.
5bis
3. Legge federale del 21 marzo 200332 sull'energia nucleare Art. 102 cpv. 2 Se riceve una notifica riguardante un ciberattacco effettuato contro un impianto nucleare e adempiente le condizioni di cui all'articolo 74d della legge del 18 dicembre 202033 sulla sicurezza delle informazioni, l'Ispettorato federale della sicurezza nucleare inoltra la notifica al Centro nazionale per la cibersicurezza.
2
4. Legge del 23 marzo 200734 sull'approvvigionamento elettrico Art. 8a
Protezione contro le ciberminacce
I gestori di rete, i produttori e i gestori di impianti di stoccaggio devono adottare misure per proteggere adeguatamente i loro impianti contro le ciberminacce.
1
Il Consiglio federale può prevedere eccezioni e, se ciò fosse necessario per garantire l'approvvigionamento, estendere l'obbligo di cui al capoverso 1 ad altri fornitori attivi nel settore dell'approvvigionamento elettrico.
2
31 32 33 34
RS 235.1; RU 2022 491 RS 732.1 RS 128; RU 2022 232 RS 734.7
12 / 14
Legge sulla sicurezza delle informazioni
FF 2023 85
5. Legge del 22 giugno 200735 sulla vigilanza dei mercati finanziari Art. 39 cpv. 1 La FINMA è autorizzata a trasmettere ad altre autorità svizzere di vigilanza, al Centro nazionale per la cibersicurezza e alla Banca nazionale svizzera le informazioni non accessibili al pubblico di cui essi necessitano per adempiere i loro compiti.
1
III 1
La presente legge sottostà a referendum facoltativo.
2
Il Consiglio federale ne determina l'entrata in vigore.
35
RS 956.1
13 / 14
Legge sulla sicurezza delle informazioni
14 / 14
FF 2023 85