120.73 Ordinance of 27 May 2020 on Protection against Cyber Risks in the Federal Administration (Cyber Risks Ordinance, CyRV)

120.73 Ordinanza del 27 maggio 2020 sulla protezione contro i ciber-rischi nell'Amministrazione federale (Ordinanza sui ciber-rischi, OCiber)

Art. 12 National Cyber Security Centre

1 The NCSC is the centre of excellence of the Confederation for cyber risks and coordinates the work of the Confederation in the cyber security domain. It has the following tasks:

It runs the National Contact Point for Cyber Risks; this receives reports from the Federal Administration, the private sector, the cantons and the public, analyses them and may issue recommendations thereon.
It ensures with its cooperation partners in the Federal Administration that subsidiary support is given to operators of critical infrastructures and encourages these operators to exchange information on cyber risks.
It runs the Computer Emergency Response Team (GovCERT); this is the national specialist service responsible for technical aspects of incident management, analysing technical questions, assessing the threat situation from a technical viewpoint and providing technical support to the National Contact Point.
It runs a specialist service for the federal information technology security; this shall draw up IT security directives, advise the administrative units on their implementation and monitor the status of information technology security in the departments and the Federal Chancellery.
It provides the federal IT security officers (FITSOs).
It coordinates the implementation of the NCS, conducts strategic controls and prepares the meetings of the CyCG and of the NCS StC.
It has a pool of experts from which experts are provided to support the individual offices in implementing NCS measures and in developing, implementing and checking standards and regulations in relation to cyber security.
It contributes with specific information to raising awareness of cyber risks in the Federal Administration and among the general public, provides information on the current situation and gives instructions on preventive and reactive measures.
It runs a resilient analysis and communications infrastructure that must function independently of the other federal IT systems.
It informs the CyCG and, on matters of importance to foreign and security policy, the SCG about relevant cyber incidents.

2 It may, provided this directly or indirectly serves to protect the Federal Administration against cyber risks, process data on cyber incidents and associated communication flows. It may disclose such data to government and private security teams, provided:

the data provider agrees; and
no statutory duties of confidentiality are infringed.

3 A disclosure of personal data abroad is only permitted if the related requirements of the federal legislation on data protection are complied with.

4 Sensitive personal data may only be processed if there is a statutory basis for processing such data with the means available within the federal IT systems.

5 After consulting with the offices concerned, the NCSC shall assume overall responsibility within the Federal Administration for managing a cyber incident if the incident poses a risk to the proper functioning of the Federal Administration. In doing so, it has the following tasks and powers:

It may require the service providers and recipients concerned to provide it with all necessary information.
It may order immediate measures.
It shall update the management of the administrative units concerned on the current situation.

6 If, following a cyber incident, the risk to the confidentiality or the efficiency of the Federal Administration is sufficiently reduced by the measures taken and if the required follow-up work and its funding have been defined, the NCSC shall reassign responsibility for the further processing to the offices concerned.

Art. 12 Centro nazionale per la cibersicurezza

1 Il NCSC è il centro di competenza della Confederazione in materia di ciber-rischi che coordina i lavori della Confederazione nel settore della cibersicurezza. Esso ha i seguenti compiti:

gestire il servizio nazionale di contatto per le questioni legate ai ciber-rischi; questo servizio riceve e analizza le segnalazioni dell’Amministrazione federale, del settore economico, dei Cantoni e della popolazione e, se necessario, formula raccomandazioni al riguardo;
fornire, insieme ai partner competenti dell’Amministrazione federale, supporto sussidiario ai gestori di infrastrutture critiche e promuovere tra questi lo scambio di informazioni sui ciber-rischi;
gestire il «Computer Emergency Response Team» (GovCERT); esso costituisce il servizio specializzato nazionale per la gestione tecnica degli incidenti, l’analisi di problematiche tecniche, la valutazione delle minacce dal profilo tecnico e il supporto tecnico del servizio nazionale di contatto;
gestire il servizio specializzato per la sicurezza informatica della Confederazione; questo servizio elabora direttive in materia di sicurezza informatica, offre consulenza alle unità amministrative per la rispettiva attuazione e rileva lo stato della sicurezza informatica presso i dipartimenti e la Cancelleria federale;
designare gli incaricati della sicurezza informatica della Confederazione (ISIC);
coordinare l’attuazione della SNPC, eseguire il controlling strategico e preparare le sedute del Comitato ristretto Ciber e del CD SNPC;
disporre di un pool di esperti incaricati di fornire supporto agli uffici specializzati nell’attuazione delle misure definite nella SNPC nonché nello sviluppo, nell’attuazione e nell’esame di standard e norme in materia di cibersicurezza;
contribuire con informazioni mirate a sensibilizzare l’Amministrazione federale e il pubblico sui ciber-rischi, informare sulla situazione attuale ed emanare istruzioni per l’adozione di misure preventive e reattive;
gestire un’infrastruttura di analisi e comunicazione resiliente in grado di funzionare indipendentemente dal resto dell’informatica della Confederazione;
informare il Comitato ristretto Ciber sui ciberincidenti rilevanti e, se questi ultimi sono d’interesse per la politica estera e la politica di sicurezza, anche il Comitato ristretto Sicurezza della Confederazione.

2 Il NCSC può trattare i dati sui ciberincidenti e sui relativi flussi di comunicazione, qualora ciò serva a proteggere direttamente o indirettamente l’Amministrazione federale dai ciber-rischi. Può comunicare i dati a gruppi statali o privati incaricati della sicurezza, sempre che:

il fornitore di dati abbia dato il suo consenso; e
non sia violato alcuno obbligo legale di mantenere il segreto.

3 La comunicazione di dati personali all’estero è ammessa soltanto se sono rispettate le pertinenti prescrizioni della legislazione federale sulla protezione dei dati.

4 I dati personali degni di particolare protezione possono essere trattati solo se esiste la necessaria base legale che autorizza il loro trattamento mediante i mezzi informatici della Confederazione.

5 Nel caso di un ciberincidente che minaccia il corretto funzionamento dell’Amministrazione federale, dopo aver consultato i servizi interessati il NCSC assume in seno all’Amministrazione federale la responsabilità principale della sua gestione. A tal fine, gli sono assegnati i compiti e le competenze seguenti:

obbligare, se necessario, i fornitori e i beneficiari di prestazioni interessati a fornirgli tutte le informazioni necessarie;
ordinare, se necessario, misure urgenti;
informare la direzione delle unità amministrative interessate sugli sviluppi della situazione.

6 Se, dopo un ciberincidente, le misure adottate hanno permesso di ridurre sufficientemente la minaccia per la confidenzialità o il funzionamento dell’Amministrazione federale e i necessari lavori successivi nonché il loro finanziamento sono stati definiti, il NCSC trasmette la responsabilità del seguito dei lavori ai servizi interessati.


This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.