1 La presente ordinanza disciplina le misure da adottare nel quadro della ciberdifesa per l’autoprotezione e l’autodifesa dell’esercito e dell’amministrazione militare in caso di attacco ai rispettivi sistemi d’informazione e alle rispettive reti informatiche.
2 Per ciberdifesa militare si intendono attività su scala globale condotte nel ciberspazio volte a garantire l’autoprotezione e l’autodifesa dei sistemi d’informazione e delle reti informatiche militari mediante attività nel ciberspazio a livello di condotta strategico-militare e operativa; la ciberdifesa militare comprende le attività seguenti:
a.
ciberdifesa: attività nel ciberspazio volta a identificare attacchi e attività di ciberesplorazione e a proteggere le proprie risorse;
b.
ciberesplorazione: attività nel ciberspazio volta ad acquisire informazioni nel ciberspazio;
c.
ciberattacco: attività nel ciberspazio volta a disturbare, ostacolare o rallentare, nel ciberspazio o per mezzo del ciberspazio, le risorse e le capacità dell’avversario.
Art. 2Misure soggette ad autorizzazione e misure non soggette ad autorizzazione
1 Le misure che, nel quadro di un’attività nel ciberspazio, richiedono l’infiltrazione in reti e sistemi informatici estranei, sono soggette ad autorizzazione.
2 Le misure che, nel quadro di un’attività nel ciberspazio, non richiedono l’infiltrazione in reti e sistemi informatici estranei, non sono soggette ad autorizzazione.
Art. 3Domande per misure soggette ad autorizzazione
Le domande per misure soggette ad autorizzazione sono motivate per scritto e contengono le indicazioni seguenti:
a.
scopo dell’attività nel ciberspazio;
b.
periodo nel quale è prevista l’esecuzione dell’attività nel ciberspazio;
c.
reti e sistemi informatici interessati;
d.
numero di infiltrazioni nelle reti e nei sistemi informatici interessati;
e.
prova della legalità, in particolare della proporzionalità, e valutazione dei rischi dell’attività nel ciberspazio.
Art. 4Competenze della Base d’aiuto alla condotta
1 La Base d’aiuto alla condotta (BAC) è competente per la ciberdifesa militare e la garantisce con risorse proprie, ad essa subordinate o ad essa assegnate.
2 La BAC ha i compiti seguenti:
a.
esegue mandati concernenti attività nel ciberspazio;
b.
adotta misure preventive volte all’autoprotezione dei sistemi d’informazione e delle reti informatiche militari;
c.
verifica in via preliminare la fondamentale legalità e la fattibilità di nuove attività nel ciberspazio;
d.
interrompe l’accesso ai sistemi d’informazione e alle reti informatiche militari;
e.
si assicura in maniera autonoma di disporre delle informazioni tecniche necessarie all’assunzione dei compiti;
f.
valuta reti e sistemi informatici messi in sicurezza che sono stati utilizzati o sfruttati abusivamente per un attacco;
g.
in coordinamento con le autorità della Confederazione responsabili, cura contatti diretti con servizi tecnici specializzati in Svizzera e all’estero;
h.
appoggia l’impiego e l’istruzione nel settore della ciberdifesa militare;
i.
documenta le misure soggette ad autorizzazione nel quadro di un’attività nel ciberspazio.
3 Le misure soggette ad autorizzazione nel quadro di un’attività nel ciberspazio sono eseguite esclusivamente dal Centro operazioni elettroniche della BAC.
Art. 5Competenze del capo dell’esercito
1 Il capo dell’esercito assegna i mandati concernenti attività nel ciberspazio.
2 In via preliminare, il capo dell’esercito sottopone per verifica al capo del Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) le domande per misure soggette ad autorizzazione.
3 Nel caso di un servizio attivo ai sensi dell’articolo 76 capoverso 1 LM, il capo dell’esercito o il comandante in capo dell’esercito può autorizzare misure soggette ad autorizzazione. Può delegare tale competenza.
Art. 6Competenze del capo del DDPS
Il capo del DDPS decide in merito alle domande del capo dell’esercito.
Art. 7Competenze del Consiglio federale
Il Consiglio federale autorizza le misure soggette ad autorizzazione.
Art. 8Vigilanza
1 La Segreteria generale del DDPS assume la vigilanza interna al dipartimento concernente la ciberdifesa militare, ne riferisce periodicamente al Consiglio federale e ne informa gli organi di alta vigilanza parlamentare.
2 La vigilanza interna all’esercito concernente la ciberdifesa militare è subordinata al capo dell’esercito ed è disciplinata da quest’ultimo.
Art. 9Ricerca
D’intesa e in coordinamento con le unità amministrative del DDPS responsabili, la BAC può concludere accordi di cooperazione con istituti di ricerca e università.
Art. 10Esecuzione
Il capo del DDPS esegue la presente ordinanza ed emana istruzioni sull’impiego e sull’istruzione. Può delegare l’esecuzione al capo dell’esercito.
Art. 11Entrata in vigore
La presente ordinanza entra in vigore il 1° marzo 2019.