FF 2023 www.fedlex.admin.ch La versione elettronica firmata è quella determinante
Strategia nazionale per la protezione delle infrastrutture critiche Approccio globale per garantire la disponibilità di beni e servizi essenziali del 16 giugno 2023
2023-1844
FF 2023 1659
FF 2023 1659
Indice 1
Introduzione
3
2
Contesto 2.1 Contesto della strategia PIC 2.2 Interfacce con altri progetti 2.2.1 Ciberstrategia nazionale 2.2.2 Approvvigionamento economico del Paese 2.2.3 Politica di gestione dei rischi della Confederazione
4 4 4 4 5 5
3
Campo d'applicazione
6
4
Principi 4.1 Approccio globale 4.2 Proporzionalità 4.3 Competenze e responsabilità 4.4 Collaborazione tra enti pubblici e privati
7 7 9 9 9
5
Visione e obiettivi della strategia nazionale PIC 5.1 Visione 5.2 Obiettivi strategici 5.3 Obiettivi operativi
9 9 10 10
6
Misure nell'ambito della strategia nazionale PIC 6.1 Rafforzamento della resilienza infrasettoriale 6.2 Rafforzamento della resilienza intersettoriale 6.2.1 Campo d'azione «analisi» 6.2.2 Campo d'azione «valutazione» 6.2.3 Campo d'azione «misure di protezione» 6.2.4 Campo d'azione «attuazione e verifica»
12 13 14 14 17 17 20
7
Attuazione della strategia nazionale PIC 7.1 Strutture e competenze 7.2 Agenda e controllo 7.3 Revisione della strategia PIC
21 21 22 23
Allegati: 1 Descrizione dei sottosettori e competenze per il rafforzamento della resilienza nei settori critici (misura 1) 2 Panoramica delle misure, delle competenze e delle interfacce 3 Elenco delle abbreviazioni
2 / 30
24 27 29
FF 2023 1659
Strategia nazionale per la protezione delle infrastrutture critiche: approccio globale per garantire la disponibilità di beni e servizi essenziali 1
Introduzione
Per infrastrutture critiche s'intendono i processi, i sistemi e le installazioni essenziali per il funzionamento dell'economia e per le basi vitali della popolazione. Vi rientrano ad esempio l'approvvigionamento di elettricità, le organizzazioni di pronto intervento o le telecomunicazioni. Le gravi perturbazioni o le interruzioni, come un black-out di lunga durata o una paralisi dei trasporti e della logistica, cagionano ingenti danni socioeconomici e seri disagi per la popolazione. La protezione delle infrastrutture critiche (PIC) mira quindi a rafforzare la resilienza della Svizzera in caso di gravi perturbazioni e interruzioni di questi sistemi di servizi e di approvvigionamento. Per resilienza s'intende la capacità di un sistema, di un'organizzazione o di una società di resistere a perturbazioni interne o esterne (capacità di resistenza) e di mantenere (capacità di adattamento) o ripristinare il più presto possibile e completamente il funzionamento (capacità di rigenerazione). Gli oggetti e le rispettive misure di protezione sono solo una parte di un approccio globale. Altrettanto importanti sono le misure volte a migliorare la sicurezza dell'approvvigionamento e la stabilità dei sistemi nonché a preparare la gestione di interruzioni. La PIC è un compito trasversale con interfacce con numerosi altri settori politici e operativi, come ad esempio la politica energetica, la politica dei trasporti, la politica di sicurezza o la pianificazione del territorio.
Con la strategia nazionale PIC s'intende migliorare il coordinamento tra i vari progetti e settori nonché tra gli attori competenti (autorità federali, cantonali e comunali, gestori delle infrastrutture critiche, organizzazioni d'intervento ecc.) e a garantire un approccio concertato.
Il presente documento è la terza strategia nazionale PIC. La prima è stata approvata dal Consiglio federale nel 20121, la seconda nel 20172. La presente strategia è stata sviluppata dall'Ufficio federale della protezione della popolazione (UFPP) in collaborazione con gli organi federali competenti, i Cantoni e i gestori delle infrastrutture critiche nazionali.
La strategia definisce le misure che devono essere attuate principalmente dalle unità organizzative dell'Amministrazione federale. La responsabilità spetta soprattutto alle autorità di vigilanza e
regolamentazione settoriali, le quali sono tenute a verificare le condizioni quadro per la resilienza delle infrastrutture critiche nella rispettiva sfera di competenza e, se del caso, ad adottare misure per migliorare tali condizioni quadro.
Diverse misure concernono, tuttavia, anche direttamente i Cantoni. Questi svolgono i lavori per la PIC nell'ambito delle loro competenze e dei loro compiti e secondo le loro possibilità ed esigenze. La strategia riguarda anche i gestori delle infrastrutture critiche (IC), la cui collaborazione è imprescindibile per il raggiungimento degli obiettivi. La maggior parte di essi sta già compiendo sforzi considerevoli per evitare inter1 2
FF 2012 6875 FF 2018 455
3 / 30
FF 2023 1659
ruzioni e perturbazioni. L'impegno profuso dalle singole infrastrutture per migliorare la loro resilienza e la loro disponibilità a collaborare con gli organi statali e gli altri gestori IC sono di fondamentale importanza per l'attuazione della strategia.
2
Contesto
2.1
Contesto della strategia PIC
Le competenze in ambito PIC sono ripartite su più livelli. A seconda del settore, le competenze per la definizione delle direttive in materia di resilienza delle infrastrutture critiche si situano a livello federale (p. es. approvvigionamento energetico), a livello cantonale (p. es. prestazioni mediche) o a livello comunale (p. es. approvvigionamento idrico). Generalmente sono dunque adottati approcci metodologici differenti per valutare i rischi e definire un grado adeguato di sicurezza dell'approvvigionamento o di resilienza. Spesso è inoltre attribuita un'importanza secondaria a temi quali il rafforzamento della resilienza nei rispettivi ambiti politici e manca pertanto una valutazione esplicita e dettagliata della tematica.
Le infrastrutture critiche assumono un ruolo importante anche nella prevenzione e nella gestione di catastrofi e situazioni d'emergenza. A seconda dell'evento (p. es.
ciberattacco o minaccia terroristica) sono coinvolti attori diversi (Servizio delle attività informative della Confederazione, organizzazioni di pronto intervento, esercito ecc.). La strategia nazionale PIC mira quindi soprattutto a migliorare il coordinamento trasversale tra i diversi settori, pericoli e misure nonché l'approccio concertato nei singoli ambiti operativi. Con le prime due strategie nazionali PIC sono stati compiuti progressi significativi in vari ambiti. Sono state ad esempio elaborate analisi dei rischi e delle vulnerabilità per la maggior parte dei settori critici e, sulla base di tali analisi, sono state sviluppate e attuate misure per rafforzare la resilienza, ad esempio dotando i gestori d'importanza sistemica di sistemi di comunicazione a prova d'interruzione («fail-safe») o sviluppando standard di sicurezza settoriali. L'inventario PIC si è inoltre affermato come importante strumento per la pianificazione e il processo decisionale nella gestione di catastrofi e situazioni d'emergenza, analogamente alle piattaforme volte a migliorare la collaborazione intersettoriale. Garantire un approccio concertato per migliorare la resilienza costituisce, tuttavia, un compito permanente che prosegue con la presente strategia PIC.
2.2
Interfacce con altri progetti
La PIC è strettamente correlata con numerosi campi d'attività. Le principali interfacce sono descritte brevemente qui di seguito.
2.2.1
Ciberstrategia nazionale
La protezione delle infrastrutture critiche contro i ciber-rischi è una componente essenziale della Ciberstrategia nazionale (CSN). Essa è incentrata sullo sviluppo di ca4 / 30
FF 2023 1659
pacità sufficienti per analizzare le minacce e supportare i gestori IC nella gestione degli eventi. La CSN e la strategia CIP sono strettamente coordinate. Misure quali la verifica e il rafforzamento della resilienza delle infrastrutture critiche, soprattutto in relazione ai ciber-rischi, perseguono il medesimo obiettivo.
2.2.2
Approvvigionamento economico del Paese
La Confederazione assicura l'approvvigionamento del Paese di beni e servizi vitali in caso di gravi penurie che l'economia non riesce a fronteggiare da sola. Il Consiglio federale ha affidato la preparazione delle relative misure all'Approvvigionamento economico del Paese (AEP). In caso di grave penuria, lo Stato interviene sul mercato in modo mirato per superare i colli di bottiglia (p. es. liberazione di scorte obbligatorie o amministrazione di beni e servizi vitali). La preparazione e l'attuazione delle misure avvengono in stretta collaborazione con l'economia, i Cantoni e altri attori. L'AEP copre circa la metà dei settori e sottosettori critici della strategia nazionale PIC contribuendo in modo significativo al raggiungimento degli obiettivi strategici. Le altre attività nell'ambito della PIC sono incentrate su aspetti tematici che non vengono trattati dall'AEP, come ad esempio la tenuta di un inventario delle infrastrutture critiche.
Inoltre, l'AEP si concentra soprattutto sulle gravi penurie su scala nazionale. La strategia PIC contempla invece anche perturbazioni più brevi e interruzioni regionali che non riguardano tutta la Svizzera.
2.2.3
Politica di gestione dei rischi della Confederazione
La gestione strategica strutturata dei rischi è stata implementata dalla Confederazione nel 2005. La Gestione dei rischi della Confederazione (GR Confederazione) è incentrata su possibili eventi e sviluppi che hanno gravi ripercussioni, di natura finanziaria finanziaria e non finanziaria, sul raggiungimento degli obiettivi e sull'adempimento dei compiti da parte dell'Amministrazione federale. Il campo d'applicazione concreto è definito fondamentalmente sulla base delle competenze della Confederazione ai sensi del diritto vigente. Esistono interfacce con i compiti delle autorità specializzate, di vigilanza e di regolamentazione della Confederazione nei settori critici (p. es. mercato dell'elettricità, mercati finanziari, sanità pubblica, trasporti o comunicazioni, nello specifico anche nell'ambito della politica europea [p. es. negoziati per un possibile accordo sull'elettricità] o della politica della Confederazione in quanto ente proprietario). La differenza sostanziale tra la GR Confederazione e la PIC risiede nel fatto che nella PIC si considerano i rischi al di là delle competenze giuridiche della Confederazione e si pone l'accento sui danni socioeconomici complessivi causati da perturbazioni e interruzioni, indipendentemente dalla competenza o responsabilità giuridica.
In fase di attuazione delle diverse misure della strategia nazionale PIC, si appura di volta in volta quali aspetti sono già coperti dalla GR Confederazione e quali necessitano invece di ulteriori interventi.
5 / 30
FF 2023 1659
3
Campo d'applicazione
Il campo d'applicazione della strategia nazionale PIC risulta dalla definizione del concetto «Infrastrutture critiche» (cfr. n. 1) e dalla determinazione dei settori e sottosettori critici.
Il ventaglio delle infrastrutture critiche comprende i settori seguenti: Figura 1 Infrastrutture critiche: settori e sottosettori
Le prestazioni particolarmente rilevanti per la PIC sono precisate nell'allegato 1.
6 / 30
FF 2023 1659
Per sottosettori critici s'intendono sistemi di servizi e di approvvigionamento che coprono l'intera catena di approvvigionamento (dall'importazione, incluse le prestazioni preliminari, alla produzione di beni e servizi fino al consumo) e comprendono tutti gli ambiti rilevanti per il funzionamento dei sistemi di servizi e di approvvigionamento.
Le infrastrutture critiche non si limitano quindi agli oggetti elencati nell'inventario PIC. Vi rientrano piuttosto tutti gli elementi (operatori, sistemi informatici, impianti, edifici ecc.) da cui scaturiscono le prestazioni in uno dei 27 sottosettori elencati nella tabella 1, indipendentemente dalla loro criticità. La criticità è un'unità di misura relativa dell'importanza assunta dall'interruzione di un'infrastruttura critica per la popolazione e le sue basi vitali. In primo luogo, essa dipende dal livello preso in considerazione: determinate infrastrutture critiche sono importanti dal punto di vista nazionale, se non internazionale (p. es. sistemi di comando centralizzati della rete elettrica di trasporto), mentre altre presentano un'elevata criticità per l'approvvigionamento su scala locale o comunale (p. es. stazioni di trasformazione della rete elettrica di distribuzione). In secondo luogo, la criticità dipende anche dall'evento concreto e dallo stato del sistema: in caso di pandemia, i prodotti e servizi critici non sono ad esempio gli stessi in caso invece di un black-out su vasta scala.
4
Principi
4.1
Approccio globale
La PIC si basa su un approccio globale. Ciò significa che da un lato si considerano tutte le vulnerabilità rilevanti e i pericoli o le minacce che possono causare interruzioni e perturbazioni3, e dall'altro si includono tutte le misure che contribuiscono a rafforzare la resilienza.
Le vulnerabilità risultano dal fatto che le infrastrutture critiche dipendono dalla disponibilità di risorse e prestazioni (preliminari) quali l'energia, la logistica o le tecnologie dell'informazione e della comunicazione (TIC). Si distinguono le seguenti categorie di risorse:
manodopera: persone che sono di fondamentale importanza per il funzionamento delle infrastrutture critiche (p. es. specialisti, personale operativo);
materiali e mezzi d'esercizio: materie prime, fonti d'energia (carburanti e combustibili), prodotti semilavorati e finiti;
servizi: servizi essenziali che possono essere forniti in patria e dall'estero, come la logistica, le TIC (sistemi di comando e di controllo, servizi di navigazione o servizi cloud) e l'approvvigionamento energetico.
Queste risorse dipendono spesso da catene di fornitura globali («supply chain»). In vari settori si tende inoltre ad esternalizzare importanti processi aziendali («outsourcing»).
3
Per la spiegazione dei termini relativi ai rischi, alle vulnerabilità ecc. si veda il «Glossario sui rischi» dell'UFPP (2013), consultabile all'indirizzo www.babs.admin.ch > Altri campi d'attività > Gestire i pericoli e i rischi.
7 / 30
FF 2023 1659
Laddove un'interruzione o una perturbazione di tali risorse compromette seriamente il funzionamento dell'infrastruttura critica, sussistono vulnerabilità rilevanti. Queste devono essere esaminate a fondo mediante un'analisi dei rischi e possibilmente eliminate. L'analisi dei rischi deve coprire l'intero ventaglio dei pericoli e delle minacce.
Vi rientrano in particolare i seguenti ambiti:
pericoli naturali: per esempio gravi perturbazioni causate da inondazioni, tempeste, valanghe o terremoti.
pericoli tecnologici: per esempio interruzioni di corrente, sistemi TIC difettosi o topologie di rete lacunose.
pericoli e minacce sociali: per esempio atti di sabotaggio alle TIC, attentati terroristici, ciberattacchi e pandemie.
Per stimare i rischi sono determinanti la probabilità d'insorgenza o la plausibilità di un pericolo nonché i danni per la popolazione e le sue basi vitali cagionati dalla perturbazione o dalla distruzione delle infrastrutture critiche.
Per la protezione delle infrastrutture critiche occorre prendere in considerazione tutte le misure che contribuiscono a evitare interruzioni o a ridurne la durata. Vi rientrano misure di prevenzione, di preparazione e d'intervento volte a evitare interruzioni o perlomeno a mantenere la funzionalità o la continuità operativa in caso d'evento (p.
es. attraverso la definizione di processi sostitutivi o alternativi o la rinuncia ad esternalizzare processi aziendali critici). Importanti sono anche le misure volte a ridurre l'entità dei danni in caso d'evento, come una migliore preparazione della popolazione e dell'economia (p. es. scorte domestiche d'emergenza o gruppi elettrogeni d'emergenza nelle aziende contribuiscono in modo significativo a ridurre i danni in caso d'interruzione di corrente). Le misure da valutare si possono suddividere nelle seguenti categorie:
misure tecniche di costruzione: per esempio consolidamento di edifici, installazione di impianti elettrogeni d'emergenza, segregazione di sistemi informatici;
misure organizzative e amministrative: esecuzione di controlli d'accesso, definizione di postazioni di lavoro alternative, protezione tramite servizi di sicurezza esterni, scelta di fornitori particolarmente sicuri negli appalti pubblici;
misure nell'ambito del personale: per esempio definizione di regole per le supplenze, formazione e sensibilizzazione dei collaboratori;
misure giuridiche e normative: per esempio modifica di basi legali specifiche (leggi, ordinanze, istruzioni).
La protezione delle informazioni è un elemento centrale in tutte le categorie di misure.
8 / 30
FF 2023 1659
4.2
Proporzionalità
Il rapporto tra i costi e i benefici (riduzione dei rischi) delle misure per la protezione delle infrastrutture critiche dev'essere possibilmente ottimale. L'obiettivo non è quello di azzerare i rischi, poiché sarebbe tecnicamente impossibile e a partire da un certo punto comporterebbe oneri e costi sproporzionati. Ci si deve quindi preparare a fronteggiare nel miglior modo possibile eventuali perturbazioni e interruzioni. Sono inoltre da evitare distorsioni del mercato o della concorrenza. I costi delle misure di resilienza dovrebbero essere fondamentalmente finanziati dagli attori che beneficiano della migliore resilienza (utenti, gestori IC ecc.).
4.3
Competenze e responsabilità
Le direttive e le norme per i gestori IC risultano soprattutto dalle legislazioni settoriali (energia, trasporti, finanze ecc.). Le rispettive autorità di vigilanza e regolamentazione sono responsabili di verificare se tali basi legali vengono rispettate, sono idonee o devono essere modificate. In caso di catastrofi e situazioni d'emergenza, i Cantoni sono responsabili, nell'ambito delle loro competenze in materia di sicurezza interna e protezione della popolazione e tenendo conto dei mezzi e delle possibilità disponibili, di supportare i gestori IC presenti sul loro territorio nella gestione degli eventi. A seconda delle risorse disponibili, anche l'esercito può successivamente supportare con interventi sussidiari le autorità nell'adempimento dei relativi compiti.
4.4
Collaborazione tra enti pubblici e privati
La PIC richiede una stretta collaborazione tra tutti gli attori coinvolti (autorità federali, cantonali e comunali nonché gestori IC). La collaborazione tra enti pubblici e privati è particolarmente importante per l'analisi e la valutazione congiunta dei rischi e la definizione di misure di protezione adeguate. Anche lo scambio reciproco di informazioni costituisce un presupposto importante per la PIC.
5
Visione e obiettivi della strategia nazionale PIC
5.1
Visione
La strategia nazionale PIC persegue la seguente visione: La Svizzera garantisce la resilienza delle infrastrutture critiche in modo da evitare, nel limite del possibile, gravi interruzioni su vasta scala e limitare il più possibile i danni in caso d'evento.
9 / 30
FF 2023 1659
5.2
Obiettivi strategici
Dalla visione si possono dedurre i seguenti obiettivi parziali:
le infrastrutture critiche sono resilienti in modo da evitare, nel limite del possibile, gravi interruzioni su vasta scala e ripristinare il più presto possibile il funzionamento in caso d'evento;
le autorità sono resilienti e preparate a supportare efficientemente (tramite strumenti sussidiari) i gestori IC a gestire gli eventi e a reagire adeguatamente ad eventuali interruzioni delle infrastrutture critiche;
la popolazione e l'economia sono resilienti affinché interruzioni e perturbazioni delle infrastrutture critiche non possano causare danni importanti.
5.3
Obiettivi operativi
Dagli obiettivi strategici emerge la necessità di rafforzare la resilienza delle infrastrutture critiche nei singoli settori (infrasettoriale) e la resilienza trasversale ai settori (intersettoriale) garantita soprattutto dalle autorità, ma anche dalla popolazione e dall'economia.
1.
Rafforzamento della resilienza infrasettoriale: i gestori IC e le rispettive autorità di vigilanza e regolamentazione devono verificare ed eventualmente rafforzare la resilienza delle infrastrutture critiche in ogni settore. Sulla base delle vulnerabilità e dei rischi specifici, si devono quindi attuare misure volte ad evitare, nel limite del possibile, gravi interruzioni e perturbazioni o perlomeno ridurre la durata delle interruzioni.
2.
Rafforzamento della resilienza intersettoriale: in questo ambito sono prioritarie la resilienza delle autorità così come quella della popolazione e dell'economia. Si tratta tra l'altro di adottare, in collaborazione con tutti gli attori coinvolti, provvedimenti concertati e volti a evitare o gestire interruzioni che toccano tutti i settori. I preparativi dovrebbero tra l'altro mirare a supportare efficientemente i gestori IC dei diversi settori nella gestione degli eventi.
Il rafforzamento della resilienza infra- e intersettoriale si fonda su un processo a cinque tappe, di cui ognuna prevede obiettivi specifici:
10 / 30
FF 2023 1659
Figura 2 Tappe di rafforzamento della resilienza
Analisi
Identificare i processi, i sistemi, gli oggetti critici ecc.
Identificare e analizzare le vulnerabilità e i rischi che potrebbero causare gravi interruzioni.
Individuare per tempo cambiamenti rilevanti dei pericoli e delle minacce per le infrastrutture critiche e comunicarli agli organi competenti.
Valutazione
Individuare le divergenze dalle direttive vigenti.
Definire il livello di sicurezza auspicato.
Misure di protezione
Definire misure volte a evitare, nel limite del possibile, gravi interruzioni e a gestire le interruzioni. Approvare unicamente le misure che permettono di raggiungere il miglior livello di resilienza possibile (costi complessivi minimi costituiti dai costi per le misure supplementari e dai costi generati dai rischi residui dopo l'adozione delle misure).
Attuazione
Attuare le misure in modo efficiente.
11 / 30
FF 2023 1659
Verifica
Consolidare le misure nell'ambito di esercitazioni e formazioni.
Verificare l'efficacia delle misure adottate.
Dato che gli obiettivi operativi secondo il ciclo devono essere raggiunti sia nell'ambito infrasettoriale che in quello intersettoriale, si possono rappresentare graficamente come segue: Figura 3 Obiettivi operativi
6
Misure nell'ambito della strategia nazionale PIC
Il presente numero spiega con quali misure si devono raggiungere gli obiettivi descritti nel numero 5 e indicati nella figura 3. La misura 1 illustrata nel numero 6.1 spiega come rafforzare la resilienza nei singoli settori (resilienza infrasettoriale). Le misure 28 illustrate nel numero 6.2 spiegano come rafforzare la resilienza intersettoriale.
Si valutano le azioni necessarie per raggiungere i relativi obiettivi operativi. Vengono formulate misure per raggiungere gli obiettivi seguiti da una descrizione delle modalità d'attuazione delle misure.
Le misure menzionate si limitano ai compiti chiave a lungo termine. Vengono precisate in piani d'attuazione o d'azione separati e, se necessario, completate con ulteriori
12 / 30
FF 2023 1659
misure orientate a un orizzonte temporale più breve (cfr. commenti sull'attuazione della strategia nel n. 7).
Nel contesto della PIC assumono una grande rilevanza numerosi progetti, avamprogetti e misure già in corso o previste. Nell'ambito dell'attuazione della strategia nazionale PIC si tratta quindi di verificare ed eventualmente completare i processi già esistenti. Nel limite del possibile, la strategia nazionale PIC si fonda infatti su elementi già consolidati.
6.1
Rafforzamento della resilienza infrasettoriale
Le misure infrasettoriali mirano a conferire ai singoli settori delle infrastrutture critiche (approvvigionamento di elettricità, telecomunicazioni, trasporti stradali ecc.) la resilienza adeguata in funzione della relativa importanza. Sia da parte dei gestori IC sia nei singoli settori sono già stati adottati vari provvedimenti volti a rafforzare la resilienza (p. es. regolamentazioni settoriali o misure predisposte nell'ambito dell'AEP). Si tratta quindi di verificare, conformemente alla procedura descritta nel numero 5.3, se questi provvedimenti sono sufficienti o se sono necessari degli adeguamenti.
Questi lavori devono essere svolti soprattutto a due livelli:
4
1.
al livello dei singoli gestori IC, i quali dispongono generalmente di dispositivi per la gestione dei rischi nonché di dispositivi per la gestione delle emergenze, delle crisi e della continuità aziendale. Per garantire l'attività aziendale anche in caso di catastrofi e situazioni d'emergenza, si adottano provvedimenti, in parte anche di una certa entità. Non è, tuttavia, garantito che i processi essenziali per la popolazione e l'economia siano giudicati prioritari, e quindi adeguatamente protetti, anche dalle imprese. I gestori IC devono pertanto verificare se i provvedimenti adottati sono sufficienti o se occorre rafforzare la resilienza. Per agevolare tale processo di verifica, l'UFPP ha pubblicato una guida4 e un sussidio per l'attuazione.
2.
In aggiunta ai lavori dei gestori IC, occorre verificare e rafforzare la resilienza nei singoli sottosettori critici (approvvigionamento di elettricità, approvvigionamento idrico, telecomunicazioni ecc.). A tal fine, le autorità settoriali (secondo l'allegato 2) esaminano, insieme ai gestori IC, se sussistono gravi vulnerabilità e rischi. Verificano inoltre se sono necessarie ulteriori misure per raggiungere un livello di resilienza e di sicurezza (dell'approvvigionamento) adeguato e proporzionato (cfr. spiegazioni sulle misure di protezione nel n. 5.3 e sul campo d'azione per la valutazione nel n. 6.2.2). Tali misure devono tenere conto dei provvedimenti già adottati (da parte dei gestori o p. es. dell'AEP). In molti casi è possibile ridurre i rischi residui con soluzioni infrasettoriali, ad esempio con accordi di collaborazione in caso d'evento. In determinate circostanze potrebbe anche essere necessario emanare direttive e norme supplementari per i gestori IC, adeguando le relative basi legali.
La guida è consultabile all'indirizzo www.babs.admin.ch > Altri campi d'attività > Guida PIC.
13 / 30
FF 2023 1659
Nell'ambito delle politiche settoriali (politica energetica, politica dei trasporti, politica sanitaria ecc.) le autorità specializzate, di vigilanza e di regolamentazione sono competenti per la definizione delle direttive corrispondenti e la precisazione del finanziamento delle eventuali misure supplementari necessarie e del rapporto costi-benefici. Poiché le vulnerabilità e i rischi nei singoli settori cambiano continuamente (p. es. in seguito alla crescente digitalizzazione o all'esternalizzazione dei processi chiave), le verifiche della resilienza devono essere effettuate a intervalli regolari.
Misura 1
Per le infrastrutture critiche occorre verificare periodicamente se sussistono vulnerabilità e rischi che potrebbero causare gravi perturbazioni e interruzioni e se sono necessarie misure supplementari per rafforzare la resilienza.
Attuazione
I gestori IC verificano e rafforzano la loro resilienza, ad esempio sulla base della guida PIC, sia autonomamente che in collaborazione con le autorità specializzate, di vigilanza e di regolamentazione.
Le autorità specializzate, di vigilanza e di regolamentazione elencate nell'allegato 2 verificano periodicamente (di regola ogni quattro anni), in collaborazione con i gestori IC, se nei sottosettori critici esistono vulnerabilità e rischi che potrebbero causare gravi interruzioni o perturbazioni. Valutano le misure necessarie per rafforzare la resilienza ed elaborano le eventuali basi legali per la loro attuazione.
6.2
Rafforzamento della resilienza intersettoriale
Anche le misure per rafforzare la resilienza intersettoriale si basano sul ciclo di verifica e rafforzamento della resilienza descritto nel numero 5.3 (analisi, valutazione, misure di protezione, attuazione, verifica; cfr. fig. 2).
6.2.1
Campo d'azione «analisi»
Campo d'azione «analisi»: identificare e definire le priorità delle infrastrutture critiche Al fine di dedurre misure e fissare priorità per la gestione dei rischi o per la gestione di catastrofi e situazioni d'emergenza, gli organi competenti devono sapere quali sono le infrastrutture particolarmente critiche. Considerato il gran numero di oggetti e della loro grande importanza, ciò vale in particolare per gli edifici e gli impianti. A questo scopo, l'UFPP tiene un inventario delle infrastrutture critiche che include gli oggetti rilevanti a livello nazionale e cantonale. L'inventario PIC e le informazioni corrispondenti devono essere periodicamente controllati e aggiornati. Dato che anche gestori IC che non dipendono, o solo in minima parte, da singoli oggetti (p. es. ditte di trasporto) possono avere grande importanza, oltre agli oggetti critici è necessario identi14 / 30
FF 2023 1659
ficare anche le relative ditte e organizzazioni e definire i processi critici. Ciò che conta è la loro importanza per le basi vitali della popolazione o per il funzionamento dell'economia.
Misura 2
Tenere un inventario periodicamente aggiornato delle infrastrutture critiche che elenca gli edifici e gli impianti critici nonché le ditte e le organizzazioni critiche e i relativi processi.
Attuazione
Il DDPS (UFPP) è responsabile di identificare, in collaborazione con gli enti specializzati e i gestori IC, le infrastrutture critiche rilevanti dal punto di vista nazionale e di aggiornare periodicamente i dati corrispondenti. I dati di base (in particolare le informazioni di contatto) vengono controllati ogni due anni, mentre la revisione completa dell'inventario viene effettuata ogni quattro anni. I Cantoni identificano le infrastrutture critiche rilevanti dal punto di vista cantonale e aggiornano periodicamente i dati corrispondenti.
Campo d'azione «analisi»: conoscere i rischi, le vulnerabilità e le possibilità di protezione Per rafforzare la resilienza delle infrastrutture critiche si deve disporre di dati intersettoriali dei rischi rilevanti. A tal fine, occorre raccogliere le analisi della resilienza dei vari sottosettori critici in un quadro d'insieme dei rischi.
Per l'ulteriore sviluppo metodologico della PIC sono necessarie anche ricerche scientifiche, ad esempio analisi delle resilienze, interdipendenze e criticità. Si tratta inoltre di seguire gli sviluppi tecnologici, ambientali e contestuali che potrebbero generare nuovi rischi. Ciò avviene nell'ambito della ricerca settoriale degli enti federali e dei Cantoni. Non sono quindi necessarie misure specifiche nella strategia PIC.
Campo d'azione «analisi»: migliorare la collaborazione intersettoriale e lo scambio di informazioni Le infrastrutture critiche sono interdipendenti a vari livelli. La collaborazione e il dialogo sui rischi e sulle possibili misure di protezione (migliori prassi) tra gli attori dei singoli settori assumono pertanto un'importanza fondamentale. L'UFPP coordina attualmente due piattaforme (piattaforma dei gestori delle infrastrutture critiche nazionali e gruppo di lavoro PIC delle autorità) per lo scambio intersettoriale di informazioni. L'esperienza dimostra che la collaborazione intersettoriale e intercantonale in ambito PIC riscuote molto interesse. Le piattaforme offrono a tutti gli attori dei diversi settori (enti federali e gestori IC) e ai Cantoni la possibilità di scambiare esperienze e discutere possibili soluzioni. Un ulteriore obiettivo di miglioramento prevede di raggiungere uno scambio più stretto tra le varie piattaforme (p. es. tra gestori IC e Cantoni). Sarebbe inoltre auspicabile creare un contenitore per la formazione di base e continua dei partner competenti presso la Confederazione, i Cantoni e i gestori IC (p. es. sulla procedura metodologica o sulle migliori prassi). Dato che le infrastrutture critiche sono spesso sistemi transfrontalieri, è importante anche la collaborazione in-
15 / 30
FF 2023 1659
tersettoriale nel contesto internazionale. A tal fine, temi specifici ai vari settori vengono trattati in ambito politico e operativo.
Misura 3
Le piattaforme esistenti per migliorare la collaborazione intersettoriale vengono mantenute. Se necessario, occorre intensificare lo scambio di informazioni all'interno delle piattaforme e tra di esse. La composizione delle piattaforme va verificata periodicamente.
Attuazione
Il DDPS (UFPP) coordina la piattaforma dei gestori IC nazionali e il gruppo di lavoro PIC delle autorità (Confederazione e Cantoni). In caso di necessità, i Cantoni gestiscono proprie piattaforme di coordinamento secondo le loro possibilità. Anche i gestori IC gestiscono altre piattaforme sotto la loro responsabilità.
Campo d'azione «analisi»: individuare e comunicare precocemente i pericoli e le minacce In caso di eventi imminenti (p. es. inondazioni incombenti, ciberattacchi o atti di sabotaggio), è importante che i gestori IC vengano informati tempestivamente sulla situazione di pericolo e di minaccia affinché possano adeguare il loro dispositivo di sicurezza. In alcuni settori e per diversi pericoli e minacce, esistono forme di collaborazione consolidate per informare tempestivamente i gestori IC in caso d'evento (p. es. cerchia chiusa dei clienti del Centro nazionale per la cibersicurezza [NCSC], analisi integrata della situazione del NEOC [National Emergency Operations Centre ex CENAL], collaborazione nell'ambito del Servizio delle attività informative della Confederazione [SIC] ecc.). La sfida principale nel contesto della strategia PIC consiste nel verificare periodicamente se tutti i gestori rilevanti sono coinvolti nei rispettivi processi. Viceversa ciò vale anche per l'informazione precoce da parte dei gestori IC agli organi di crisi federali e cantonali, che dipendono da un'informazione rapida su possibili interruzioni e perturbazioni. Anche a questo proposito il NEOC ha stabilito dei processi che vanno controllati periodicamente per quanto concerne il coinvolgimento dei principali gestori IC.
Misura 4
Verificare periodicamente e, se necessario, completare i processi specifici ai singoli pericoli per l'informazione precoce in caso d'evento per quanto concerne il coinvolgimento dei gestori IC.
Attuazione
16 / 30
Il DDPS (UFPP) verifica, insieme agli organi responsabili per i singoli pericoli, se i gestori IC rilevanti sono coinvolti nei processi corrispondenti ed elabora eventuali proposte di miglioramento.
FF 2023 1659
6.2.2
Campo d'azione «valutazione»
Nella fase di «valutazione» si tratta di definire al livello intersettoriale i presupposti affinché le infrastrutture critiche dei diversi settori presentino un livello di sicurezza proporzionato. Per la PIC non si applicano dei valori limite fissi (p. es. durata d'interruzione massima tollerabile), poiché non tengono conto dei costi delle misure necessarie per raggiungere i valori prefissati. Si applica piuttosto un approccio di costi marginali basato sui rischi. Secondo questo principio, si tratta di raggiungere un rapporto possibilmente ottimale tra i costi delle misure di protezione supplementari e i rischi residui dopo la loro adozione. Va però tenuto conto che questa procedura non si basa su processi automatici. Nella ponderazione degli interessi sono presi in considerazione altri aspetti (p. es. sostenibilità, restrizioni della libertà economica ecc.) inclusi a loro volta nel processo decisionale.
Le spiegazioni chiariscono che la definizione del livello ottimale di resilienza dipende in larga misura dalle possibili misure (e in particolare dai costi associati e dalla risultante riduzione dei rischi) e ha quindi luogo solo nella tappa «misure di protezione» del ciclo descritto nel numero 5.3.
In questa fase di «valutazione», a livello intersettoriale si pone l'accento soprattutto sulla definizione dei principi per raggiungere il livello di sicurezza auspicato. Per quanto riguarda l'approccio basato sui costi marginali da applicare alla PIC, si tratta in particolare di stabilire la disponibilità a pagare per evitare danni (p. es. per evitare la perdita di vite umane). Questo livello di sicurezza dovrebbe essere fondamentalmente identico e comparabile in tutti i settori delle infrastrutture critiche. È tuttavia impossibile raggiungere ovunque lo stesso livello concreto di resilienza. La procedura mira piuttosto a garantire che tutte le infrastrutture critiche abbiano un livello di resilienza commisurato alla loro importanza. Dato che le infrastrutture critiche con un'importanza molto elevata implicano rischi maggiori, è anche possibile adottare più misure con un rapporto costi-benefici ottimale in modo da raggiungere un livello di resilienza più elevato.
La procedura e i valori concreti dei costi marginali nonché la disponibilità a sostenerli sono definiti e descritti in dettaglio nei documenti metodologici sulla verifica e sul rafforza-mento della resilienza delle infrastrutture critiche (in particolare nella guida PIC).
6.2.3
Campo d'azione «misure di protezione»
Campo d'azione «misure di protezione»: creare le basi per evitare interruzioni di infrastrutture critiche In questo campo d'azione si pone l'accento sulle misure intersettoriali per rafforzare la resilienza ed evitare gravi perturbazioni e interruzioni. Per evitare interruzioni di infrastrutture critiche in seguito a catastrofi e situazioni d'emergenza (p. es. pandemia o grave penuria di elettricità), nella misura del possibile bisognerebbe trattare in via prioritaria queste infrastrutture durante la gestione dell'evento. Per diversi eventi è già prevista la possibilità di applicare regole eccezionali o prioritarie nelle imprese essenziali per il sistema o l'approvvigionamento. Nell'ambito della strategia nazionale PIC 17 / 30
FF 2023 1659
del 2012 sono state elaborate varie proposte per definire le infrastrutture critiche prioritarie. Si tratta di attuarle e aggiornarle periodicamente.
I lavori svolti finora per verificare e rafforzare la resilienza delle infrastrutture critiche hanno evidenziato che quasi tutte dipendono da reti di telecomunicazione funzionanti.
Una comunicazione funzionante tra i gestori IC e gli organi responsabili della gestione degli eventi è il presupposto fondamentale per fronteggiare catastrofi e situazioni d'emergenza. Ciò vale in particolare in caso di penuria di elettricità o di un black-out di lunga durata. La realizzazione attualmente in corso di una rete di dati autonoma, altamente affidabile e sicura, alla quale si potranno collegare anche i gestori IC, costituisce pertanto una misura intersettoriale importante per evitare interruzioni di infrastrutture critiche.
Le basi legali intersettoriali con disposizioni per i gestori IC costituiscono anch'esse uno strumento importante per evitare interruzioni. Nell'ambito dell'attuazione della strategia nazionale PIC 20182022, è stata effettuata una prima valutazione delle eventuali basi legali concernenti disposizioni per la segnalazione di gravi incidenti e interruzioni, l'esecuzione di controlli di sicurezza per i collaboratori con funzioni critiche (in particolare nelle centrali di controllo e comando) e l'emanazione di direttive di resilienza vincolanti per tutti. È emerso che le basi legali vigenti non contengono pressoché alcuna disposizione esplicita sulla resilienza per i gestori IC. A differenza di altri ambiti (p. es. la preparazione agli incidenti), non esistono disposizioni concrete ed esplicite su cui potrebbero basarsi i gestori IC. Anche la mozione della CPS-S 23.3001 Basi legali al passo con i tempi per la protezione delle infrastrutture critiche e una verifica del Controllo federale delle finanze (CFF) sulla protezione delle infrastrutture critiche, pubblicata all'inizio del 20235, chiedono di rendere più vincolanti le basi legali in materia PIC. Si tratta quindi di elaborare proposte per tale base giuridica.
Misura 5
Valutare una proposta di base legale per l'emanazione di direttive intersettoriali.
Attuazione
5
Il DDPS (UFPP) e gli attori responsabili (in particolare DEFR, DATEC e DFF) valutano congiuntamente una proposta per basi legali intersettoriali.
Queste devono focalizzarsi sui controlli di sicurezza del personale con funzioni critiche, sull'obbligo di segnalare incidenti e interruzioni e sull'emanazione di direttive di resilienza vincolanti per tutti.
Il rapporto di verifica «Prüfung des Schutzes kritischer Infrastrukturen Governance und integrales Risikomanagement» (disponibile anche in franc.) è consultabile all'indirizzo www.efk.admin.ch > Publikationen > Verteidung und Armee.
18 / 30
FF 2023 1659
Campo d'azione «misure di protezione»: migliorare l'aiuto sussidiario ai gestori di infrastrutture critiche nella gestione degli eventi In caso di minacce e pericoli acuti o di gravi interruzioni, è importante che le autorità aiutino i gestori IC a fronteggiare l'evento in modo possibilmente efficace con mezzi o prestazioni sussidiarie extra-aziendali. Si tratta, ad esempio, di forze d'intervento (polizia, pompieri, protezione civile, esercito), mezzi di comunicazione o gruppi elettrogeni d'emergenza. In tal modo si può evitare che un'interruzione (p. es. durante un'inondazione o in caso di un attentato terroristico) causi ulteriori danni alla popolazione e all'economia o ad altre infrastrutture critiche (per effetto domino).
Per i rischi convenzionali sono disponibili, in quantità limitata, mezzi della polizia, dei pompieri, della sanità e della protezione civile nonché mezzi sussidiari dell'esercito. Nel caso di eventi in cui sono coinvolte sostanze chimiche, biologiche o nucleari, l'UFPP dispone inoltre di mezzi (squadra d'intervento DDPS) per supportare le forze d'intervento sul posto. La PIC rientra nella missione (di protezione) generale delle organizzazioni d'intervento. Si tratta quindi di garantire che i mezzi disponibili vengano impiegati in modo efficiente in caso d'evento. Le priorità per il supporto devono essere fissate tenendo conto dell'importanza (criticità) delle infrastrutture critiche, delle minacce e dei mezzi disponibili. Nella maggior parte dei casi sarà possibile proteggere solo un numero ristretto di infrastrutture critiche, ossia le più importanti. È quindi fondamentale che i gestori IC adottino misure preventive efficaci e dispongano di un sistema consolidato di gestione delle crisi e della continuità aziendale (come per l'obiettivo della misura 1). Non meno importante è la collaborazione settoriale e intersettoriale tra i gestori IC.
Fissare le priorità è un compito complesso per le organizzazioni d'intervento statali, poiché la competenza dei mezzi operativi per la lotta contro i pericoli con mezzi di polizia e per la protezione della popolazione spetta generalmente ai Cantoni e ai Comuni, compresa la definizione delle priorità. Molte infrastrutture critiche sono, tuttavia, sistemi interconnessi gestiti a livello nazionale, se non internazionale (p. es. rete di
trasporto dell'elettricità). È quindi importante che, a seconda dell'evento, venga effettuata una valutazione a livello superiore, ossia al livello del rispettivo sistema (di approvvigionamento) complessivo. Nel quadro dell'attuazione della strategia nazionale PIC 20182022, sono stati esaminati i processi e le competenze per il supporto ai gestori IC nella gestione di eventi e sono state elaborate proposte di ottimizzazione.
Un elemento fondamentale è costituito dall'introduzione di una ponderazione complessiva degli interessi in collaborazione con tutti gli attori rilevanti, come è stato ad esempio il caso della gestione federale delle risorse (ResMaB) durante la pandemia di COVID-19. L'istituzionalizzazione di un coordinamento complessivo delle risorse avviene nel quadro dell'attuazione delle raccomandazioni scaturite dall'esercitazione 2019 della Rete integrata Svizzera per la sicurezza.
Per garantire una gestione degli eventi possibilmente ottimale, sono necessarie pianificazioni d'intervento preventive aggiornate. L'esercito e più Cantoni hanno già elaborato simili piani per oggetti dell'inventario PIC particolarmente importanti. Si tratta di aggiornarli periodicamente e di completarli se necessario.
19 / 30
FF 2023 1659
Misura 6
Elaborare e aggiornare periodicamente piani d'intervento per la protezione delle infrastrutture particolarmente critiche.
Attuazione
Il DDPS (aggruppamento Difesa) allestisce dossier di oggetti militari per oggetti dell'inventario PIC delle classi di prestazione 4 e 5 e li aggiorna periodicamente. I Cantoni elaborano e aggiornano, ad esempio nell'ambito dell'analisi dei pericoli e della preparazione a livello cantonale, piani civili nell'ambito della protezione della popolazione per infrastrutture critiche di grande importanza. L'elaborazione dei piani civili e militari avviene in modo coordinato.
Campo d'azione «misure» di protezione: migliorare la preparazione della popolazione, dell'economia e dello Stato Gravi interruzioni delle infrastrutture critiche possono compromettere seriamente le basi vitali della popolazione, l'ambiente e il funzionamento dell'economia e dello Stato. È possibile ridurre l'entità dei danni se la popolazione, l'economia e lo Stato sono adeguatamente preparati. Per questo motivo si attribuisce grande importanza alle pianificazioni preventive per la gestione degli eventi e alla sensibilizzazione preliminare della popolazione e dell'economia sui possibili rischi e sulle misure preventive individuali. Considerata l'importanza cruciale dell'approvvigionamento di elettricità, i piani per gestire black-out o penurie di corrente sono prioritari. A tal fine sono stati avviati numerosi lavori a livello federale e cantonale. Nell'ambito dell'AEP e di Alertswiss sono stati realizzati numerosi prodotti per sensibilizzare la popolazione e l'economia (p. es. Guida corrente elettrica per l'economia e la popolazione, modello di piano d'emergenza personale), che verranno ulteriormente sviluppati anche in questo contesto.
Misura 7
La Confederazione e i Cantoni elaborano e aggiornano periodicamente i piani preventivi per la gestione di gravi interruzioni di infrastrutture critiche.
Attuazione
6.2.4
Nell'ambito della preparazione, le autorità federali competenti elaborano, insieme agli attori rilevanti (Cantoni, associazioni ecc.), piani preventivi per la gestione delle interruzioni di infrastrutture critiche. A livello cantonale questi piani vengono elaborati nell'ambito delle analisi dei pericoli e della preparazione.
Campo d'azione «attuazione e verifica»
L'attuazione delle misure della strategia nazionale PIC spetta agli organi federali e cantonali competenti e ai gestori IC. Le esperienze tratte dalle due precedenti strategie nazionali PIC dimostrano che le competenze a più livelli comportano delle sfide e che la comprensione della strategia, la quale definisce la PIC come un compito congiunto 20 / 30
FF 2023 1659
di tutti gli attori coinvolti, è ancora poco consolidata. Di conseguenza, finora la PIC è stata spesso considerata come un compito esclusivo dell'UFPP e si è riconosciuto troppo poco che la PIC è anche un compito delle autorità di vigilanza e regolamentazione settoriali. Affinché la protezione e la resilienza delle infrastrutture critiche siano prese in considerazione opportunamente nelle politiche e nei compiti settoriali, occorre fornire maggiore sostegno alla strategia PIC a livello politico-strategico. Anche nella verifica della PIC pubblicata dal CFF all'inizio del 2023 si è giunti alla conclusione che l'attuazione della strategia nazionale PIC dovrebbe essere seguita più da vicino dal Consiglio federale. Lo stato di avanzamento dell'attuazione delle misure della strategia nazionale PIC dovrà quindi essere verificato periodicamente dalla delegazione del Consiglio federale per l'energia, l'ambiente e l'infrastruttura, composta da DATEC, DFF e DDPS ai quali sono sottoposti numerosi uffici preposti alle infrastrutture e i quali coprono gli interessi delle imprese parastatali in quanto enti proprietari e gli organi di sicurezza della Confederazione.
In questo campo d'azione è inoltre importante verificare, mediante esercitazioni, se le strutture e i concetti sono idonei per la pratica. Ciò dovrebbe avvenire nell'ambito delle esercitazioni già pianificate a livello federale e cantonale.
Misura 8
La delegazione del Consiglio federale per l'energia, l'ambiente e l'infrastruttura verifica periodicamente l'avanzamento dell'attuazione delle misure della strategia nazionale PIC.
Attuazione
Il DDPS (UFPP) mantiene una panoramica sullo stato di avanzamento dell'attuazione delle misure della strategia nazionale PIC e prepara l'affare all'attenzione del DATEC, che presiede la delegazione.
7
Attuazione della strategia nazionale PIC
7.1
Strutture e competenze
L'attuazione della strategia nazionale PIC avviene in modo decentralizzato nel quadro delle strutture e delle competenze esistenti. In particolare, la responsabilità per la resilienza delle infrastrutture critiche spetta ai gestori IC e alle autorità specializzate, di vigilanza e di regolamentazione settoriali. Queste sono responsabili della verifica periodica e dell'eventuale rafforzamento della resilienza conformemente alla misura 1 della strategia. A tal fine, analizzano le vulnerabilità e i rischi specifici che potrebbero portare a gravi interruzioni e perturbazioni di infrastrutture critiche. Sulla base di questi risultati, valutano le misure necessarie per raggiungere un livello di sicurezza adeguato e creano i presupposti necessari per adottarle. Le competenze per l'attuazione di queste misure sono definite negli allegati 1 e 2. L'allegato 2 fornisce inoltre una panoramica delle competenze per l'attuazione delle altre misure della strategia PIC.
21 / 30
FF 2023 1659
Il segretariato PIC presso l'UFPP è responsabile del coordinamento generale dei lavori d'attuazione, tra cui rientrano in particolare i seguenti compiti:
coordinamento delle misure per rafforzare la resilienza intersettoriale (p. es.
tenuta dell'inventario PIC);
supporto metodologico e consulenza alle autorità competenti e ai gestori IC nell'ambito della verifica e del rafforzamento della resilienza;
consulenza ai Cantoni nell'ambito di lavori inerenti alla PIC;
coordinamento delle due piattaforme di scambio nazionali;
organo di contatto per le questioni PIC a livello nazionale e internazionale;
controllo dei progressi compiuti nell'attuazione delle singole misure della strategia;
stesura di rapporti sullo stato di avanzamento dell'attuazione della strategia nazionale PIC e relativo aggiornamento.
La delegazione del Consiglio federale per l'energia, l'ambiente e l'infrastruttura vigila sull'attuazione delle misure della strategia nazionale PIC (misura 8). In particolare, controlla i progressi compiuti nell'attuazione delle misure volte a rafforzare la resilienza dei settori critici (misura 1). Prioritari sono in particolare i sottosettori caratterizzati da una criticità particolarmente elevata (v. tab. 1).
Si tratta inoltre di valutare la possibilità di impiegare un gremio già esistente a livello di direzione (con rappresentanti degli organi federali rilevanti, dei gestori IC e dei Cantoni) come comitato direttivo (p. es. nel contesto dell'ulteriore sviluppo della gestione delle crisi a livello federale).
7.2
Agenda e controllo
L'attuazione delle singole misure e delle raccomandazioni in sospeso nell'ambito PIC viene concretizzata con un piano d'attuazione separato e gestita mediante un controllo dell'attuazione. Nel piano d'attuazione sono definite chiaramente anche le responsabilità per l'attuazione delle singole misure (in particolare per l'attuazione della misura 1 riguardante la verifica e il rafforzamento della resilienza dei sottosettori critici). Il controllo dell'attuazione efficace delle misure e delle raccomandazioni e la discussione dei piani d'attuazione e d'azione con le eventuali misure supplementari necessarie sono compiti politico-strategici della delegazione del Consiglio federale per l'energia, l'ambiente e l'infrastruttura in quanto organo direttivo.
22 / 30
FF 2023 1659
7.3
Revisione della strategia PIC
La strategia nazionale PIC formula misure valide per un orizzonte temporale a lungo termine. Ogni quattro anni o quando sussiste un'esigenza concreta di revisione (p. es.
all'insorgere di una situazione di pericolo o minaccia mutata radicalmente), si valuta la necessità di aggiornare la strategia.
16 giugno 2023
In nome del Consiglio federale svizzero: Il presidente della Confederazione, Alain Berset Il cancelliere della Confederazione, Walter Thurnherr
23 / 30
FF 2023 1659
Allegato 1
Descrizione dei sottosettori e competenze per il rafforzamento della resilienza nei settori critici (misura 1) Settore
Sottosettore
Prestazioni particolarmente rilevanti nell'ottica PIC (elenco non esaustivo)
Organi federali competenti (elenco non esaustivo)*
Autorità
Ricerca e insegnamento
Prestazioni basate sulla ricerca in caso di catastrofi e situazioni d'emergenza (p. es. servizio sismologico) Garanzia della certezza del diritto (in partic. archivi di Stato), valenza identitaria Legislazione, direzione ed esecuzione dei compiti statali, giurisprudenza ed applicazione del diritto, compiti amministrativi generali (allerta ed allarme in caso di pericolo, salvaguardia della sicurezza interna ecc.)
SEFRI
Beni culturali Parlamento, governo, giustizia, Amministrazione
Energia
Smaltimento
Approvvigionamento di gas Approvvigionamento di petrolio
24 / 30
SP, CaF, Dipartimenti
Commercio, trasporto, deposito e distribuzione di gas Commercio, trasporto, deposito e distribuzione di combustibili e carburanti (benzina, cherosene ecc.)
ApprovvigionaProduzione, commercio, trasporto, mento di elettricità accumulazione e distribuzione di elettricità Teleriscaldamento Produzione e distribuzione e calore di teleriscaldamento e calore di processo di processo
UFE, IFO, UFAE UFE, IFO, UFAE
Rifiuti
UFAM
Acque reflue
Finanze
UFPP, UFC
Servizi finanziari
Raccolta, eliminazione e riciclaggio di rifiuti delle economie domestiche, speciali e industriali Smaltimento di acque luride delle economie domestiche, delle attività commerciali e delle industrie a protezione della popolazione (salute) e dell'ambiente
Svolgimento del traffico pagamenti, approvvigionamento della popolazione con denaro contante, capitalizzazione di terzi, raccolta di depositi e garanzia della stabilità dei prezzi Servizi assicurativi Garanzia della protezione assicurativa, del sostegno finanziario in caso di sinistro e delle prestazioni nell'ambito della prevenzione dei sinistri (incl. assicurazioni malattia e assicurazioni sociali)
UFE, ELCom, UFAE, IFSN, ESTI UFE
UFAM
FINMA / BNS, SFI, UFAE, UFCOM FINMA, SFI, UFAS, UFSP
FF 2023 1659
Settore
Sottosettore
Prestazioni particolarmente rilevanti nell'ottica PIC (elenco non esaustivo)
Organi federali competenti (elenco non esaustivo)*
Sanità pubblica
Prestazioni mediche Servizi di laboratorio
Cure a domicilio, specialistiche e ospedaliere e cure veterinarie di base Analisi diagnostiche di laboratorio per la protezione delle persone, degli animali e dell'ambiente Approvvigionamento di agenti terapeutici (farmaci e dispositivi medici), incl. vaccini
UFSP, UFPP
Chimica e agenti terapeutici
Informazione e comunicazione
Alimentazione
Sicurezza pubblica
UFSP, USAV, UFPP UFAE, Swissmedic, Farmacia dell'esercito
Servizi informatici Servizi informatici per l'economia (in partic. elaborazione e archiviazione dati risp. servizi cloud) Telecomunicazioni Servizi di telecomunicazione accessibili al pubblico (telefono [chiamate d'emergenza], Internet ecc.)
diffusione di segnali radio e TV Media Informazione della popolazione in caso di catastrofi e situazioni d'emergenza, formazione dell'opinione politica Servizi postali di base, in partic. nel Servizi postali settore della corrispondenza ufficiale e commerciale
UFAE
Approvvigionamento alimentare Approvvigionamento idrico
Approvvigionamento della popolazione con derrate alimentari Approvvigionamento della popolazione e dell'economia con acqua potabile e di consumo
UFAE, UFAG
Esercito
Aiuto militare in caso di catastrofe, impieghi sussidiari di sicurezza, aiuto alla condotta per civili, difesa nazionale Garanzia della sicurezza pubblica, interventi di soccorso e di salvataggio, interventi di polizia, pompieri e sanità pubblica per la gestione di catastrofi e situazioni d'emergenza Prestazioni di supporto alla gestione di catastrofi e situazioni d'emergenza
Aggruppamento Difesa
Organizzazioni di pronto intervento
Protezione civile
UFCOM, UFAE UFCOM
UFCOM, UFAE
UFAM, UFAE
fedpol, UFPP
UFPP
25 / 30
FF 2023 1659
Prestazioni particolarmente rilevanti nell'ottica PIC (elenco non esaustivo)
Settore
Sottosettore
Trasporti
Traffico aereo Trasporto di persone e merci via aria Traffico ferroviario Trasporto di persone e merci su rotaia Traffico navale Trasporto di merci via acqua (in partic. collegamento con i porti marittimi) Trasporto di persone e merci su Traffico stradale strada (trasporto motorizzato individuale e pubblico)
Organi federali competenti (elenco non esaustivo)*
UFAC, UFAE UFT, UFAE UFT, UFAE USTRA, UFAE
* Gli organi citati stabiliscono, insieme al Segretariato PIC, quale organo assume la responsabilità principale e quali altri attori (Confederazione, Cantoni, associazioni ecc.) devono essere coinvolti. Le competenze vigenti sono mantenute.
26 / 30
FF 2023 1659
Allegato 2
Panoramica delle misure, delle competenze e delle interfacce Misura
M1: Verifica e rafforzamento della resilienza delle infrastrutture critiche Resilienza Gestori IC Resilienza Sottosettori critici Resilienza Ricerca e insegnamento Resilienza Beni culturali Resilienza Parlamento, governo, giustizia, Amministrazione Resilienza Approvvigionamento di gas Resilienza Approvvigionamento di petrolio Resilienza Teleriscaldamento e calore di processo Resilienza Approvvigionamento di elettricità Resilienza Rifiuti Resilienza Acque reflue Resilienza Servizi finanziari Resilienza Servizi assicurativi Resilienza Prestazioni mediche Resilienza Servizi di laboratorio Resilienza Chimica e agenti terapeutici Resilienza Servizi informatici Resilienza Telecomunicazioni Resilienza Media Resilienza Servizi postali Resilienza Approvvigionamento alimentare Resilienza Approvvigionamento idrico Resilienza Esercito Resilienza Organizzazioni di pronto intervento Resilienza Protezione civile Resilienza Traffico aereo Resilienza Traffico ferroviario Resilienza Traffico navale Resilienza Traffico stradale
Organi competenti (elenco non esaustivo)*
Interfacce (elenco non esaustivo)
Gestori IC
GR, BCM Progetti settoriali, CSN
SEFRI UFPP, UFC SP, CaF, Dipartimenti UFE, IFO, UFAE UFE, IFO, UFAE UFE UFE, ELCom, UFAE, IFSN, ESTI UFAM UFAM FINMA, SFI, UFAE, UFCOM FINMA, SFI, UFAS, UFSP UFSP, UFPP UFSP, USAV, UFPP UFAE, Swissmedic, FarmES UFAE UFCOM, UFAE UFCOM UFCOM, UFAE UFAE, UFAG UFAM, UFAE Aggruppamento Difesa fedpol, UFPP UFPP UFAC, UFAE UFT, UFAE UFT, UFAE USTRA, UFAE
27 / 30
FF 2023 1659
Misura
Organi competenti (elenco non esaustivo)*
Interfacce (elenco non esaustivo)
M2: Tenuta e aggiornamento periodico di un inventario PIC
UFPP
KATAPLAN, protezione contro i pericoli naturali
M3: Coordinamento di piattaforme intersettoriali UFPP, Cantoni e regionali
AEP, CSN
M4: Verifica e aggiornamento periodico UFPP dei processi per l'informazione in caso d'evento
CSN, SIC, centro di notifica e di analisi integrata della situazione NEOC
M5: Elaborazione di una proposta per basi legali intersettoriali
UFPP e organi federali Autorità di vigicompetenti lanza e regolazione settoriali
M6: Elaborazione e aggiornamento dei piani d'intervento preventivi
Cantoni, esercito
KATAPLAN
M7: Elaborazione e aggiornamento dei piani preventivi per la gestione di interruzioni di IC
Cantoni, enti specializzati
KATAPLAN, pianificazioni preventive della Confederazione, SMFP
M8: Verifica, da parte della delegazione del Consiglio federale, dell'attuazione delle misure
UFPP, DATEC
* Gli organi citati stabiliscono, insieme al Segretariato PIC, quale organo assume la responsabilità principale e quali altri attori (Confederazione, Cantoni, associazioni ecc.) devono essere coinvolti. Le competenze vigenti sono mantenute.
28 / 30
FF 2023 1659
Allegato 3
Elenco delle abbreviazioni AEP
Approvvigionamento economico del Paese
BCM
Business continuity management
BNS
Banca nazionale svizzera
CaF
Cancelleria federale svizzera
CENAL
Centrale nazionale d'allarme (ora NEOC)
CFF
Controllo federale delle finanze
CSN
Ciberstrategia nazionale
DATEC
Dipartimento federale dell'ambiente, dei trasporti, dell'energia e delle comunicazioni
DDPS
Dipartimento federale della difesa, della protezione della popolazione e dello sport
DEFR
Dipartimento federale dell'economia, della formazione e della ricerca
DFF
Dipartimento federale delle finanze
DFGP
Dipartimento federale di giustizia e polizia
ElCom
Commissione federale dell'energia elettrica
ESTI
Ispettorato federale degli impianti a corrente forte
FarmES
Farmacia dell'esercito
fedpol
Ufficio federale di polizia
FINMA
Autorità federale di vigilanza sui mercati finanziari
GR
Gestione dei rischi
IFO
Ispettorato federale degli oleo- e gasdotti
IFSN
Ispettorato federale della sicurezza nucleare
KATAPLAN
Analisi cantonale dei pericoli e preparazione alle situazioni d'emergenza
NCSC
Centro nazionale per la cibersicurezza
NEOC
National Emergency Operations Centre
PIC
Protezione delle infrastrutture critiche
SEFRI
Segreteria di Stato per la formazione, la ricerca e l'innovazione
SFI
Segreteria di Stato per le questioni finanziarie internazionali
SIC
Servizio delle attività informative della Confederazione
SMFP
Stato maggiore federale Protezione della popolazione 29 / 30
FF 2023 1659
SP
Servizi del Parlamento
TI
Tecnologia dell'informazione
TIC
Tecnologie dell'informazione e della comunicazione
UFAC
Ufficio federale dell'aviazione civile
UFAE
Ufficio federale per l'approvvigionamento economico del Paese
UFAG
Ufficio federale dell'agricoltura
UFAM
Ufficio federale dell'ambiente
UFC
Ufficio federale della cultura
UFCOM
Ufficio federale delle comunicazioni
UFE
Ufficio federale dell'energia
UFPP
Ufficio federale della protezione della popolazione
UFSP
Ufficio federale della sanità pubblica
UFT
Ufficio federale dei trasporti
USTRA
Ufficio federale delle strade
30 / 30