510.921

# Ordinanza sulla ciberdifesa militare

(OCDM)

del 30 gennaio 2019 (Stato 1° gennaio 2024)

Il Consiglio federale svizzero,

visto l’articolo 100 capoverso 4 della legge militare del 3 febbraio 1995[^1](LM),

ordina:

##### **Art. 1** Oggetto {#art_1 omnilex-key=ch-fedlex--510.921--1}
1. La presente ordinanza disciplina le misure da adottare nel quadro della ciberdifesa per l’autoprotezione e l’autodifesa dell’esercito e dell’amministrazione militare in caso di attacco alle prestazioni dell’esercito critiche per gli impieghi nel settore delle tecnologie dell’informazione e della comunicazione (prestazioni TIC dell’esercito critiche per gli impieghi).[^2]
2. Per ciberdifesa militare si intendono attività su scala globale condotte nel ciberspazio volte a proteggere e a difendere le prestazioni TIC dell’esercito critiche per gli impieghi a livello di condotta strategico-militare e operativa; la ciberdifesa militare comprende le attività seguenti:[^3]
a. ciberdifesa: attività nel ciberspazio volta a identificare attacchi e attività di ciberesplorazione e a proteggere le proprie risorse;
b. ciberesplorazione: attività nel ciberspazio volta ad acquisire informazioni nel ciberspazio;
c. ciberattacco: attività nel ciberspazio volta a disturbare, ostacolare o rallentare, nel ciberspazio o per mezzo del ciberspazio, le risorse e le capacità dell’avversario.

##### **Art. 2** Misure soggette ad autorizzazione e misure non soggette ad autorizzazione {#art_2 omnilex-key=ch-fedlex--510.921--2}
1. Le misure che, nel quadro di un’attività nel ciberspazio, richiedono l’infiltrazione in reti e sistemi informatici estranei, sono soggette ad autorizzazione.
2. Le misure che, nel quadro di un’attività nel ciberspazio, non richiedono l’infiltrazione in reti e sistemi informatici estranei, non sono soggette ad autorizzazione.

##### **Art. 3** Domande per misure soggette ad autorizzazione {#art_3 omnilex-key=ch-fedlex--510.921--3}
Le domande per misure soggette ad autorizzazione sono motivate per scritto e contengono le indicazioni seguenti:
a. scopo dell’attività nel ciberspazio;
b. periodo nel quale è prevista l’esecuzione dell’attività nel ciberspazio;
c. reti e sistemi informatici interessati;
d. numero di infiltrazioni nelle reti e nei sistemi informatici interessati;
e. prova della legalità, in particolare della proporzionalità, e valutazione dei rischi dell’attività nel ciberspazio.

##### **Art. 4** Competenze del Comando Ciber {#art_4 omnilex-key=ch-fedlex--510.921--4}
1. Il Comando Ciber (Cdo Ci) è competente per la ciberdifesa militare.
2. Il Cdo Ci ha i compiti seguenti:
a. esegue mandati concernenti attività nel ciberspazio;
b. adotta misure preventive volte all’autoprotezione delle prestazioni TIC dell’esercito critiche per gli impieghi;
c. verifica in via preliminare la fondamentale legalità e la fattibilità di nuove attività nel ciberspazio;
d. interrompe l’accesso a prestazioni TIC dell’esercito critiche per gli impieghi;
e. si assicura in maniera autonoma di disporre delle informazioni tecniche necessarie all’assunzione dei compiti;
f. valuta reti e sistemi informatici messi in sicurezza che sono stati utilizzati o sfruttati abusivamente per un attacco;
g. in coordinamento con le autorità della Confederazione responsabili, cura contatti diretti con servizi tecnici specializzati in Svizzera e all’estero;
h. appoggia l’impiego e l’istruzione nel settore della ciberdifesa militare;
i. documenta le misure soggette ad autorizzazione nel quadro di un’attività nel ciberspazio.
3. Adempie i propri compiti con risorse proprie, con risorse a esso subordinate e con risorse a esso attribuite.
4. Le misure soggette ad autorizzazione nel quadro di un’attività nel ciberspazio sono eseguite esclusivamente dal Servizio delle attività ciber ed elettromagnetiche.

##### **Art. 5** Competenzedel capo dell’esercito {#art_5 omnilex-key=ch-fedlex--510.921--5}
1. Il capo dell’esercito assegna i mandati concernenti attività nel ciberspazio.
2. In via preliminare, il capo dell’esercito sottopone per verifica al capo del Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) le domande per misure soggette ad autorizzazione.
3. Nel caso di un servizio attivo ai sensi dell’articolo 76 capoverso 1 LM, il capo dell’esercito o il comandante in capo dell’esercito può autorizzare misure soggette ad autorizzazione. Può delegare tale competenza.

##### **Art. 6** Competenzedel capo del DDPS {#art_6 omnilex-key=ch-fedlex--510.921--6}
Il capo del DDPS decide in merito alle domande del capo dell’esercito.

##### **Art. 7** Competenzedel Consiglio federale {#art_7 omnilex-key=ch-fedlex--510.921--7}
Il Consiglio federale autorizza le misure soggette ad autorizzazione.

##### **Art. 8** Vigilanza {#art_8 omnilex-key=ch-fedlex--510.921--8}
1. La Segreteria generale del DDPS assume la vigilanza interna al dipartimento concernente la ciberdifesa militare, ne riferisce periodicamente al Consiglio federale e ne informa gli organi di alta vigilanza parlamentare.
2. La vigilanza interna all’esercito concernente la ciberdifesa militare è subordinata al capo dell’esercito ed è disciplinata da quest’ultimo.

##### **Art. 9** Ricerca {#art_9 omnilex-key=ch-fedlex--510.921--9}
D’intesa con le unità amministrative del DDPS responsabili, il Cdo Ci può concludere accordi di collaborazione con istituti di ricerca e università.

##### **Art. 10** Esecuzione {#art_1 omnilex-key=ch-fedlex--510.921--10}
Il capo del DDPS esegue la presente ordinanza ed emana istruzioni sull’impiego e sull’istruzione. Può delegare l’esecuzione al capo dell’esercito.

##### **Art. 11** Entrata in vigore {#art_1 omnilex-key=ch-fedlex--510.921--11}
La presente ordinanza entra in vigore il 1° marzo 2019.

[^1]: RS  **510.10**
[^2]: Nuovo testo giusta il n. II 9 dell’O del 22 nov. 2023, in vigore dal 1° gen. 2024  (RU  **2023**  746).
[^3]: Nuovo testo giusta il n. II 9 dell’O del 22 nov. 2023, in vigore dal 1° gen. 2024  (RU  **2023**  746).