Sicurezza negli acquisti
Disposizioni standard sulla sicurezza delle informazioni per i contratti di acquisto
La sicurezza delle informazioni presso i fornitori della Confederazione deve essere disciplinata contrattualmente. Le disposizioni standard sulla sicurezza delle informazioni sono destinate ai servizi richiedenti e ai servizi d’acquisto della Confederazione e fungono da raccomandazioni. Illustrano le possibilità che le autorità hanno a disposizione per impartire ai propri fornitori in modo efficace, economico e basato sul rischio istruzioni relative alla sicurezza delle informazioni. Queste raccomandazioni si applicheranno a partire dal 1° gennaio 2026.
Di seguito sono riportate disposizioni con relative istruzioni e commenti, che sono state elaborate in collaborazione con i servizi d’acquisto e gli uffici di vari dipartimenti e che sono state sottoposte a consultazione negli ambienti economici.
Il fabbisogno determina i requisiti in materia di sicurezza delle informazioni
La sicurezza delle informazioni presso i fornitori non inizia al momento della conclusione del contratto, ma già prima, ossia nel momento in cui viene definito il fabbisogno. Questo è quanto emerge dal rapporto del 1° maggio 2025 sulla vigilanza nella collaborazione con i fornirtori. Il servizio richiedente, ovvero il servizio all’interno dell’amminstrazione che ha bisogno di una prestazione e di un prodotto, definisce per tempo quali sono i requisiti di sicurezza. Il servizio d’acquisto, responsabile dell’esecuzione della procedura d’acquisto, provvede affinché tali requisiti siano riportati correttamente nella documentazione del bando. In tal modo i potenziali fornitori vengono informati in maniera trasparente già al momento della presentazione dell’offerta riguardo ai requisiti di sicurezza che devono soddisfare.
Se il tema della sicurezza delle informazioni non è disciplinato sin dall’inizio, è difficile colmare la lacuna in un secondo tempo o lo è soltanto sostenendo costi supplementari.
Ogni contratto è diverso, e quindi anche le prescrizioni di sicurezza.
Le disposizioni standard sulla sicurezza delle informazioni sono state concepite come standard minimi per tutti gli acquisti che non sono soggetti a particolari requisiti di sicurezza. Per questi ultimi devono essere concordate prescrizioni di sicurezza supplementari e specifiche, che non fanno parte delle presenti disposizioni.
Ai fornitori possono essere richieste soltanto prescrizioni di sicurezza adeguate allo scopo del rapporto commerciale e alla sua sensibilità.
Non da ultimo, per ragioni di proporzionalità e di concorrenza, è necessario distinguere tra i diversi tipi di contratto. Le disposizioni standard che sono ora state elaborate classificano, da un lato, il rischio del contenuto del contratto. Dall’altro lato, fanno una distinzione tra diversi tipi di contratti, come i contratti di prestazioni o i contratti di appalto, i mandati, i servizi di ingegneria e di architettura, le forniture e i servizi informatici.
Quale disposizione standard per quale contratto? Le istruzioni seguanti, con i commenti alle singole disposizioni, fornisce un orientamento.
Documenti
Linee guida per l’utilizzo di disposizioni standard
H1 Consegna di dispositivi della Confederazione per il trattamento di infor-mazioni
H2_Utilizzo di mezzi informatici aziendali per il trattamento di informazioni
I1_Consegna di dispositivi della Confederazione per il trattamento di infor-mazioni
I2_Utilizzo di mezzi informatici aziendali per il trattamento di informazioni
J_Rilevante per il funzionamento dei sistemi IT con livello di sicurezza “protezione di base”
Link
Informazione per i media del 1° maggio 2025: La SEPOS identifica misure per la sicurezza degli appalti della Confederazione Decreto del Consiglio federale del 1° maggio 2024: Conclusione dell’inchiesta amministrativa concernente l’attacco hacker contro Xplain: il Consiglio federale decide misure