Internal Law 1 State - People - Authorities 12 Security of the Confederation
Diritto nazionale 1 Stato - Popolo - Autorità 12 Sicurezza della Confederazione

120.73 Ordinance of 27 May 2020 on Protection against Cyber Risks in the Federal Administration (Cyber Risks Ordinance, CyRV)

120.73 Ordinanza del 27 maggio 2020 sulla protezione contro i ciber-rischi nell'Amministrazione federale (Ordinanza sui ciber-rischi, OCiber)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 14 Administrative units and their service providers

1 The administrative units shall each appoint an IT security officer (ITSOO) who shall act on the direct instructions of the head of the administrative unit. The Digital Transformation and ICT Steering Sector at the Federal Chancellery (DTI Sector of the FCh) shall also appoint an IT security officer for standard services.

2 The ITSOOs and the IT security officer for standard services shall carry out the following tasks:

a.
They shall ensure the rapid implementation of the IT security directives and the use of the security procedures in the administrative units (Chapter 3a).
b.
They shall ensure that employees are made aware of and receive training on IT security issues on taking up employment and periodically thereafter and are familiar with the responsibilities and procedures for information technology security in their working environment relevant to their level and function.
c.
They shall report to the head of their administrative unit at least every six months on the current status of information technology security in their administrative unit.

3 The administrative units are responsible for the security of their protected IT systems. They shall carry out the following tasks:

a.
They shall conduct an inventory of their protected IT systems and take the required security measures; they shall in particular ensure that these measures are documented for the individual protected systems in the current manner.
b.
They are responsible for compliance with and the implementation of the IT security directives and the decisions of the Federal Council, the NCSC and the departments or the Federal Chancellery within the scope of their responsibilities.
c.
They are responsible, subject to Article 12 paragraph 5, for managing cyber incidents that affect their protected IT systems.
d.
When obtaining services from an external service provider, they shall ensure that the IT security directives form part of the contractual relationship with that provider.
e.
They shall verify in an appropriate manner whether external service providers are complying with the IT directives.
f.
They shall ensure that the responsibilities for information technology security at an operational level are set out in the project and performance agreements between service providers and service procurers.
g.
They shall ensure that persons to whom this Ordinance does not apply are only allowed access to federal IT infrastructure if they undertake to comply with the IT security directives.

4 The service providers shall perform the following functions:

a.
They shall provide their service procurers on request with all the information required to protect their protected IT systems in an appropriate form.
b.
They shall ensure that they have the capacities required to conduct a technical analysis and manage cyber incidents that affect them directly or affect their service procurers.
c.
They shall report to their service procurers without delay any weaknesses and security incidents that they detect that relate to their protected IT systems.
d.
They shall work with the service providers to define a process for managing cyber incidents. The process shall in particular regulate decision-making powers in relation to immediate measures.

5 If it is not possible to manage a cyber incident in accordance with the defined process, the parties concerned shall inform the NCSC so that it can decide on what further action to take.

6 The administrative units shall consult the NCSC in connection with security-relevant IT directives as well as projects.

7 They are responsible for developing, implementing and checking standards and regulations in relation to cyber security in their sectors. The NCSC shall wherever possible provide them with experts from the pool mentioned in Article 12 paragraph 1 letter g.

15 Amended by No I of the O of 24 Feb. 2021, in force since 1 April 2021 (AS 2021 132).

Art. 14 Unità amministrative e i loro fornitori di prestazioni

1 Ogni unità amministrativa designa il proprio ISIU, che opera su incarico diretto della direzione dell’unità amministrativa. Il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (settore TDT) designa inoltre un incaricato della sicurezza informatica per i servizi standard.

2 Gli ISIU e l’incaricato della sicurezza informatica per i servizi standard hanno i seguenti compiti:

a.
garantire una rapida attuazione delle direttive in materia di sicurezza informatica e l’applicazione delle procedure di sicurezza (cap. 3a.);
b.
provvedere affinché al momento dell’assunzione, e in seguito periodicamente, i collaboratori vengano sensibilizzati e istruiti sui temi legati alla sicurezza informatica e conoscano le competenze e i processi della sicurezza informatica nel loro ambito lavorativo, a seconda del livello gerarchico e della funzione;
c.
informare il responsabile dell’unità amministrativa almeno ogni sei mesi sullo stato della sicurezza informatica all’interno dell’unità amministrativa.

3 Le unità amministrative sono responsabili della sicurezza dei propri oggetti informatici da proteggere. Hanno le seguenti funzioni:

a.
tenere un inventario dei loro oggetti informatici da proteggere e adottare le necessarie misure di sicurezza; provvedere segnatamente affinché la documentazione di queste misure sia aggiornata per ogni oggetto informatico da proteggere;
b.
garantire il rispetto e l’attuazione delle direttive in materia di sicurezza informatica, delle procedure di sicurezza nonché delle decisioni del Consiglio federale, dell’NCSC e dei dipartimenti o della Cancelleria federale nel loro settore di competenza;
c.
fatto salvo l’articolo 12 capoverso 5, gestire i ciberincidenti che riguardano i loro oggetti informatici da proteggere;
d.
in caso di acquisizione di prestazioni presso un fornitore esterno, garantire che le direttive in materia di sicurezza informatica siano parte integrante del rapporto contrattuale con il fornitore;
e.
verificare in modo appropriato che i fornitori esterni rispettino le direttive in materia di sicurezza informatica;
f.
assicurare che le responsabilità per la sicurezza informatica a livello operativo siano definite negli accordi di progetto e di prestazione tra i fornitori di prestazioni e i beneficiari di prestazioni;
g.
provvedere affinché le persone a cui la presente ordinanza non è applicabile possano accedere all’infrastruttura informatica della Confederazione soltanto se si impegnano a rispettare le direttive in materia di sicurezza informatica.

4 I fornitori di prestazioni hanno le seguenti funzioni:

a.
su richiesta, mettere a disposizione dei beneficiari di prestazioni in forma adeguata tutte le informazioni necessarie alla protezione degli oggetti informatici da proteggere;
b.
garantire di disporre delle capacità necessarie alle analisi tecniche e alla gestione dei ciberincidenti che possono verificarsi ai loro danni o ai danni dei beneficiari di prestazioni;
c.
comunicare senza indugio ai beneficiari di prestazioni le vulnerabilità scoperte e gli incidenti legati alla sicurezza riguardanti i loro oggetti informatici da proteggere;
d.
definire in collaborazione con i beneficiari di prestazioni un processo di gestione dei ciberincidenti; questo processo disciplina segnatamente le competenze decisionali per l’adozione di misure urgenti.

5 Se un ciberincidente non può essere gestito nell’ambito del processo definito, gli interessati informano il NCSC al fine di determinare l’ulteriore modo di procedere.

6 Le unità amministrative consultano il NCSC in merito a direttive e progetti informatici rilevanti dal profilo della sicurezza.

7 Sono responsabili dello sviluppo, dell’attuazione e dell’esame di standard e norme in materia di cibersicurezza nei loro settori. Per quanto possibile, il NCSC mette a loro disposizione esperti del pool di cui all’articolo 12 capoverso 1 lettera g.

15 Nuovo testo giusta il n. I dell’O del 24 feb. 2021, in vigore dal 1° apr. 2021 (RU 2021 132).

 

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.