{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='IT')/Transcripts"}},"ID":20153656,"Language":"IT","BusinessShortNumber":"15.3656","BusinessType":8,"BusinessTypeName":"Interpellanza","BusinessTypeAbbreviation":"Ip.","Title":"Pericolo per la centrale nucleare di M\u00fchleberg a causa della manutenzione a distanza del sistema informatico. Discutibile sorveglianza da parte dell'IFSN","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>1. La manutenzione dei sistemi informatici della centrale nucleare di M\u00fchleberg sar\u00e0 effettuata a distanza da Berna. Quest'affermazione corrisponde al vero? Perch\u00e9 la BKW non ha informato al riguardo?</p><p>2. L'Ispettorato federale della sicurezza nucleare (IFSN) ha rilasciato un'autorizzazione permanente per la manutenzione a distanza dei sistemi informatici dell'area tecnica?</p><p>3. Il Nuclear Energy Institute, l'associazione di categoria dell'industria nucleare americana, scrive, a proposito della sicurezza informatica negli impianti nucleari: \"I sistemi necessari per la sicurezza interna ed esterna negli impianti nucleari e per la gestione delle emergenze devono essere isolati da Internet.\" Il Consiglio federale, e pi\u00f9 precisamente l'IFSN, condivide questa valutazione?</p><p>4. L'IFSN prende sufficientemente sul serio il proprio obbligo di vigilanza sui sistemi IT del secondo livello di sicurezza? A questo riguardo, l'Agenzia internazionale per l'energia atomica (AIEA) ha stabilito regole chiare, secondo le quali per i sistemi informatici del secondo livello di sicurezza la manutenzione a distanza pu\u00f2 essere autorizzata al massimo caso per caso e per un tempo di lavoro ben definito.</p><p>5. Perch\u00e9 per i sistemi informatici negli impianti nucleari non si applica il livello di sicurezza massimo?</p><p>6. L'IFSN prende sufficientemente sul serio il proprio obbligo di vigilanza sul sistema IT dell'area amministrativa? Anche in questo ambito vengono gestite informazioni sensibili che potrebbero essere utilizzate in maniera abusiva da terzi per scopi illeciti. Secondo quanto riportato nel numero 12/2015 del settimanale \"Beobachter\", il firewall sarebbe lacunoso. Dozzine di amministratori avrebbero accesso a server con dati sensibili, indirizzi IP verrebbero spediti via e-mail. L'IFSN verrebbe informato in maniera insufficiente su procedure rilevanti ai fini della sicurezza.</p><p>7. L'IFSN non dovrebbe rendere pi\u00f9 severi i requisiti concernenti la sicurezza informatica e adeguarli ai nuovi scenari di minaccia?</p><p>8. La International Electrotechnical Commission (IEC) ha pubblicato uno standard per la sicurezza informatica nelle centrali nucleari (IEC 62645). Perch\u00e9 l'IFSN non dichiara vincolante questo standard?</p>","ReasonText":"<p>Le domande prendono spunto dall'articolo \"AKW M\u00fchleberg. Einladung f\u00fcr Hacker\" (Centrale nucleare di M\u00fchleberg. Un invito per gli hacker), pubblicato nel numero 12/2015 del settimanale \"Beobachter\", del 12 giugno 2015, <a href=\"http://www.beobachter.ch/dossiers/energie/artikel/akw-muehleberg_einladung-fuer-hacker/\">http://www.beobachter.ch/dossiers/energie/artikel/akw-muehleberg_einladung-fuer-hacker/</a>. Quest'articolo riferisce di una serie di gravi lacune di sicurezza nella sorveglianza dei sistemi informatici del secondo livello di sicurezza e del sistema informatico dell'area amministrativa della centrale nucleare di M\u00fchleberg.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. La manutenzione dei sistemi informatici della centrale nucleare di M\u00fchleberg viene in parte effettuata dalla sede centrale della BKW AG; l'informatica necessaria per i sistemi di protezione \u00e8 tuttora nel sito di M\u00fchleberg. La centrale nucleare di M\u00fchleberg fa parte della BKW AG e non ha personalit\u00e0 giuridica propria. La BKW AG, quale titolare della licenza ed esercente, \u00e8 responsabile della sicurezza interna ed esterna dell'impianto nucleare, incluse le misure di sicurezza nel settore informatico. La BKW AG ha informato il 12 giugno 2015 in merito alla sicurezza informatica della centrale nucleare di M\u00fchleberg.</p><p>2. L'Ispettorato federale della sicurezza nucleare (IFSN) ha svolto i suoi compiti conformemente all'articolo 40 dell'ordinanza del 10 dicembre 2004 sull'energia nucleare (OENu; RS 732.11) e ha rilasciato i nullaosta concernenti la riorganizzazione dell'informatica della centrale nucleare di M\u00fchleberg dopo aver esaminato a fondo le relative domande. Il nullaosta relativo alle modifiche tecniche \u00e8 stato dato il 19 luglio 2013.</p><p>3. I sistemi di comando e controllo degli impianti nucleari prevedono misure di protezione tecniche, amministrative e organizzative. Fra l'altro, sono implementate separazioni fisiche delle reti e ridondanze strutturali, e sono previsti piani restrittivi che prevedono zone e livelli di autorizzazione differenziati. Nella sua richiesta di rilascio del nullaosta, l'esercente ha applicato le raccomandazioni tecniche di base dell'Agenzia internazionale per l'energia atomica (AIEA/IAEA) e l'IFSN le ha verificate. Le raccomandazioni sono contenute nel documento \"IAEA Nuclear Security Series 17\" (IAEA NSS 17), consultabile all'indirizzo <a href=\"http://www-ns.iaea.org/security/nuclear_security_series.asp\">http://www-ns.iaea.org/security/nuclear_security_series.asp</a>.</p><p>4. L'IFSN ha dato il nullaosta per l'accesso all'informatica di processo secondaria (secondo IAEA NSS 17 Level 2 e 3). Secondo queste raccomandazioni dell'AIEA, nel caso di accessi a distanza per manutenzione, occorre rilevare in quale direzione, con quali autorizzazioni e con il coinvolgimento di quali responsabilit\u00e0 essi avvengono. Nel rilasciare il nullaosta l'IFSN ha tenuto conto di questi elementi.</p><p>5. Anche nell'informatica, come nella protezione fisica contro azioni illecite ai sensi dell'allegato 2 OENu, esiste una struttura a zone (cfr. IAEA NSS 17 capitolo 5.5.2) a sicurezza crescente. Il livello di sicurezza massimo \u00e8 il livello 1 ed \u00e8 utilizzato per i sistemi che richiedono la protezione pi\u00f9 alta, cio\u00e8 i sistemi di protezione primaria del reattore. I livelli da 2 a 5 hanno un grado di protezione via via meno alto e corrispondono alle raccomandazioni dell'AIEA.</p><p>6. L'IFSN ha svolto il suo compito conformemente all'articolo 40 OENu. Le decisioni dell'IFSN si basano sia sulle informazioni messe a disposizione dal titolare della licenza, sia sui dati che l'IFSN stesso acquisisce da s\u00e9. L'IFSN ha rilasciato il nullaosta sulla base di tutte le informazioni nel loro complesso. Per il Consiglio federale non vi \u00e8 alcun motivo per dubitare della vigilanza svolta dall'IFSN.</p><p>I sistemi informatici cui si fa riferimento nell'interpellanza si trovano al livello di sicurezza 5, il pi\u00f9 basso. A questo riguardo, sono implementate misure di sicurezza idonee (cfr. anche risposta alla domanda 5).</p><p>7. Gli esercenti degli impianti nucleari svizzeri devono valutare i rischi informatici, effettuare analisi dei rischi e adottare misure appropriate. L'articolo 22 della legge federale del 21 marzo 2003 sull'energia nucleare (RS 732.1) descrive gli obblighi del titolare dalla licenza e le misure di riequipaggiamento che egli deve adottare. A questo riguardo, la lettera g del capoverso 2 trova applicazione, in particolare, anche nel settore della sicurezza informatica. Secondo questa disposizione, gli esercenti sono tenuti a riequipaggiare i loro impianti nella misura richiesta dall'esperienza e dallo stato della tecnica di riequipaggiamento e prendere provvedimenti ulteriori sempre che contribuiscano a un'ulteriore riduzione del pericolo e siano adeguati. L'IFSN verifica costantemente il rispetto di questo obbligo.</p><p>8. La raccomandazione tecnica citata non \u00e8 giuridicamente vincolante per gli impianti nucleari svizzeri e inoltre riguarderebbe solamente una parte dell'informatica utilizzata. Questa, come anche altre raccomandazioni internazionali, vengono tuttavia prese in considerazione dall'IFSN come base di valutazione.</p>  Risposta del Consiglio federale.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1440547200000)\/","SubmittedBy":"Munz Martina","BusinessStatus":229,"BusinessStatusText":"Liquidato","BusinessStatusDate":"\/Date(1497571200000)\/","ResponsibleDepartment":9,"ResponsibleDepartmentName":"Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni","ResponsibleDepartmentAbbreviation":"DATEC","IsLeadingDepartment":true,"Tags":"52|66","Category":null,"Modified":"\/Date(1690523430123)\/","SubmissionDate":"\/Date(1434585600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Consiglio nazionale","SubmissionCouncilAbbreviation":"CN","SubmissionSession":4919,"SubmissionLegislativePeriod":49,"FirstCouncil1":1,"FirstCouncil1Name":"Consiglio nazionale","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Ambiente|Energia"}}