it
128.41 OPSAz
Favoriten
In Entwicklung (-_-;)
Aa
Aa
Aa

  • Kontaktformular

    Sind Sie auf einen Fehler gestossen? Oder haben Sie eine Idee für zukünftige Funktionen? Gerne nehmen wir Ihr Feedback auf. Herzlichen Dank!

    Sie können optional Ihre Email-Adresse für allfällige Rückfragen angeben. Diesfalls stimmen Sie einer entsprechenden Bearbeitung dieser persönlichen Daten für den vorliegenden Zweck zu.

    Neben Ihrer Nachricht wird die aktuelle URL, Zeit und Datum der Nachricht sowie eine generische Information zur Art des genutzten Browsers mitgeschickt (bspw. "Chrome"). Die IP-Adresse oder sonstige Informationen werden nicht übermittelt oder gespeichert.

    Es sei im Weiteren auf die aktuelle Datenschutzerklärung verwiesen.

    Pinnwand Alle Elemente minimieren/maximieren Alle Elemente entfernen Pinnwand als PDF drucken

    Text vorbereiten...

    128.41

    Ordinanza sulla procedura di sicurezza relativa alle aziende

    (OPSAz)

    dell’8 novembre 2023 (Stato 1° gennaio 2024)

    Il Consiglio federale svizzero,

    visti gli articoli 73 e 84 capoverso 1 della legge del 18 dicembre 20201 sulla sicurezza delle informazioni (LSIn),

    ordina:

    1 RS 128

    Sezione 1: Disposizioni generali

    Art. 1 Oggetto e campo d’applicazione

    (art. 2, 49 e 73 LSIn)

    1 La presente ordinanza disciplina:

    a.
    la procedura di sicurezza relativa alle aziende di cui agli articoli 49–73 LSIn;
    b.
    l’applicazione della procedura di sicurezza relativa alle aziende a imprese subappaltatrici;
    c.
    i compiti e le competenze del Servizio specializzato competente per l’esecuzione della procedura di sicurezza relativa alle aziende (Servizio specializzato PSA);
    d.
    la sicurezza dei dati nel sistema d’informazione di cui all’articolo 70 LSIn;
    e.
    il controllo periodico del trattamento dei dati personali da parte di un organo esterno.

    2 Si applica:

    a.
    alle autorità assoggettate secondo l’articolo 2 capoverso 1 LSIn;
    b.
    alle unità amministrative dell’Amministrazione federale centrale di cui all’articolo 7 dell’ordinanza del 25 novembre 19982 sull’organizzazione del Governo e dell’Amministrazione;
    c.
    all’esercito.

    3 L’applicabilità della presente ordinanza alle unità amministrative dell’Amministrazione federale decentralizzata secondo l’articolo 2 capoverso 3 della legge del 21 marzo 19973 sull’organizzazione del Governo e dell’Amministrazione (LOGA) e alle organizzazioni secondo l’articolo 2 capoverso 4 LOGA è retta dall’articolo 2 capoversi 2 e 3 dell’ordinanza dell’8 novembre 20234 sulla sicurezza delle informazioni (OSIn).

    2 RS 172.010.1

    3 RS 172.010

    4 RS 128.1

    Art. 2 Aziende interessate

    (art. 50 LSIn)

    1 Sono sottoposte alla procedura di sicurezza relativa alle aziende secondo la presente ordinanza le aziende con sede in Svizzera.

    2 Per le aziende con sede all’estero, la procedura di sicurezza relativa alle aziende è disciplinata dai trattati internazionali di cui all’articolo 87 LSIn.

    Art. 3 Autorità competente

    (art. 51 cpv. 2 LSIn)

    1 La Segreteria di Stato della politica di sicurezza in seno al Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) gestisce il Servizio specializzato PSA.

    2 Il Servizio specializzato PSA coordina le sue attività internazionali con il Servizio specializzato della Confederazione per la sicurezza delle informazioni secondo l’articolo 83 LSIn.

    Sezione 2: Avvio della procedura di sicurezza relativa alle aziende

    Art. 4 Domanda di avvio della procedura

    (art. 52 LSIn)

    1 Nell’ambito di competenza del Consiglio federale gli incaricati della sicurezza delle informazioni delle unità amministrative di cui all’articolo 37 OSIn5 sono competenti per presentare la domanda di avvio della procedura. È fatto salvo l’articolo 13 capoverso 2 lettera c.

    2 Le autorità assoggettate secondo l’articolo 2 capoverso 1 LSIn comunicano al Servizio specializzato PSA chi è competente per la domanda di avvio della procedura nel rispettivo ambito di competenza.

    3 La domanda comprende in particolare:

    a.
    una descrizione della prestazione edile, della fornitura o della prestazione di servizio;
    b.
    commenti sulla sensibilità del mandato sotto il profilo della sicurezza;
    c.
    informazioni sulla procedura di aggiudicazione prevista.

    5 RS 128.1

    Art. 5 Esame della domanda

    (art. 53 LSIn)

    1 Prima di avviare la procedura il Servizio specializzato PSA consulta il mandante o l’autorità estera o l’organizzazione internazionale competente.

    2 Non si può rinunciare all’avvio della procedura se è soddisfatta una delle condizioni seguenti:

    a.
    il mandato sensibile comprende il trattamento di informazioni classificate «segreto» oppure l’amministrazione, l’esercizio, la manutenzione o la verifica di mezzi informatici del livello di sicurezza «protezione molto elevata»;
    b.
    il mandato sensibile comprende il trattamento di informazioni classificate «confidenziale» che concernono più autorità o dipartimenti;
    c.
    il mandato sensibile comprende l’amministrazione, l’esercizio, la manutenzione o la verifica di mezzi informatici del livello di sicurezza «protezione elevata» impiegati per l’adempimento di compiti che coinvolgono più autorità o di compiti interdipartimentali;
    d.
    l’azienda si candida per un mandato per il quale necessita di un’attestazione internazionale di sicurezza aziendale secondo l’articolo 66 LSIn.

    3 Se è prevedibile che l’esame della domanda duri più di 30 giorni, il Servizio specializzato PSA ne informa il mandante.

    Art. 6 Esame della domanda con autorità di sicurezza estere

    (art. 52 cpv. 3 LSIn)

    1 Se per l’adempimento del mandato sensibile entrano in linea di conto aziende estere, il Servizio specializzato PSA trasmette la domanda al Servizio specializzato della Confederazione per la sicurezza delle informazioni.

    2 Il Servizio specializzato della Confederazione per la sicurezza delle informazioni esamina unitamente all’autorità di sicurezza estera competente se le aziende interessate dispongono di un’attestazione di sicurezza aziendale valida. In caso contrario, domanda all’autorità di sicurezza estera l’avvio della procedura di sicurezza relativa alle aziende.

    Art. 7 Definizione dei requisiti di sicurezza

    (art. 54 LSIn)

    1 I requisiti in materia di sicurezza delle informazioni durante la procedura di aggiudicazione e l’adempimento del mandato si basano sulle disposizioni dell’OSIn6 e dell’ordinanza dell’8 novembre 20237 sui controlli di sicurezza relativi alle persone.

    2 Se la procedura è avviata su richiesta di un’autorità estera o di un’organizzazione internazionale, i requisiti in materia di sicurezza delle informazioni sono disciplinati dal corrispondente trattato internazionale.

    3 Il Servizio specializzato PSA definisce, d’intesa con il mandante, quali compiti sensibili sotto il profilo della sicurezza devono essere eseguiti dal mandante durante la procedura di aggiudicazione e l’adempimento del mandato.

    4 Il mandante rimane responsabile del coordinamento degli iter procedurali nell’ambito della procedura di aggiudicazione.

    6 RS 128.1

    7 RS 128.1

    Sezione 3: Valutazione delle aziende

    Art. 8 Notifica delle aziende idonee

    (art. 55 LSIn)

    1 Il mandante può comunicare al Servizio specializzato PSA un massimo di cinque aziende che entrano in considerazione. In casi motivati, il Servizio specializzato PSA può autorizzare un numero maggiore di aziende su richiesta del mandante.

    2 Il Servizio specializzato PSA verifica se le aziende che entrano in considerazione hanno dato il loro consenso allo svolgimento della procedura.

    3 Informa il mandante se è prevedibile che la valutazione dell’idoneità duri più di 30 giorni.

    Art. 9 Raccolta dei dati

    (art. 56 LSIn)

    1 Il Servizio specializzato PSA raccoglie tutti i dati rilevanti per la sicurezza necessari alla valutazione dell’idoneità dell’azienda, in particolare:

    a.
    dati sui rapporti di proprietà e sulle modifiche previste, quali fusioni, partecipazioni o acquisizioni;
    b.
    dati sulla composizione della direzione aziendale;
    c.
    dati sulle relazioni d’interesse dei membri della direzione aziendale;
    d.
    dati sulla solvibilità e su eventuali procedure di pignoramento e fallimento;
    e.
    dati sul pagamento di imposte e contributi sociali;
    f.
    referenze da precedenti procedure d’aggiudicazione;
    g.
    dati sulle relazioni dell’azienda con Stati o organizzazioni esteri e altre dipendenze.

    2 Ottiene dal Servizio delle attività informative della Confederazione i dati che tale Servizio ha raccolto in adempimento dei suoi compiti secondo l’articolo 6 capoverso 1 lettera a della legge del 25 settembre 20158 sulle attività informative.

    8 RS 121

    Art. 10 Esclusione dalla procedura di aggiudicazione

    (art. 5758 LSIn)

    1 Il mandante e il Servizio specializzato PSA si informano senza indugio se sussistono indizi secondo cui una delle aziende che entrano in considerazione potrebbe essere esclusa dalla procedura di aggiudicazione.

    2 Il Servizio specializzato PSA continua la procedura fintanto che il mandante non esclude l’azienda interessata dalla procedura di aggiudicazione.

    3 Se il mandante esclude l’azienda, la procedura di sicurezza relativa alle aziende concernente tale azienda viene abbandonata.

    Art. 11 Scambio di informazioni

    (art. 5758 LSIn)

    Fatti salvi gli articoli 70 capoverso 3 e 71 capoverso 1 lettera a LSIn, nell’ambito dello scambio di informazioni secondo l’articolo 10 capoverso 1 il mandante e il Servizio specializzato PSA mettono reciprocamente a disposizione tutte le informazioni e i dati utili per la valutazione dell’idoneità o per l’esame delle fattispecie di cui all’articolo 44 della legge federale del 21 giugno 20199 sugli appalti pubblici (LAPub).

    9 RS 172.056.1

    Sezione 4: Piano in materia di sicurezza

    Art. 12 Contenuto ed esame del piano in materia di sicurezza

    (art. 59 cpv. 2 e 3 LSIn)

    1 Il piano in materia di sicurezza definisce le misure organizzative, di personale, tecniche e fisiche per garantire un’esecuzione adeguata in funzione dei rischi del mandato rilevante in materia di sicurezza.

    2 Il Servizio specializzato PSA stabilisce le direttive per il piano in materia di sicurezza dopo un sopralluogo presso l’azienda. Al riguardo, tiene conto dei requisiti specifici dell’azienda.

    3 Se il piano in materia di sicurezza non è conforme alle direttive del Servizio specializzato PSA, quest’ultimo accorda all’azienda un termine adeguato per correggerlo.

    4 Se è prevedibile che l’esame del piano in materia di sicurezza duri più di 30 giorni, il Servizio specializzato PSA ne informa il mandante.

    Art. 13 Incaricati della sicurezza aziendale

    1 Le aziende che entrano in considerazione per l’esecuzione del mandato comunicano al Servizio specializzato PSA un incaricato della sicurezza aziendale e la relativa supplenza. L’incaricato della sicurezza aziendale e la relativa supplenza devono essere membri della direzione o operare direttamente per essa.

    2 L’incaricato della sicurezza aziendale assume i compiti seguenti:

    a.
    funge da persona di contatto per il Servizio specializzato PSA per tutte le questioni relative alla sicurezza delle informazioni;
    b.
    si occupa dell’attuazione del piano in materia di sicurezza (art. 12 cpv. 1);
    c.
    se l’azienda è stata autorizzata dal mandante ad aggiudicare un mandato sensibile a un’impresa subappaltatrice, chiede l’avvio della procedura di sicurezza relativa alle aziende per tale impresa.
    Art. 14 Comunicazione dell’aggiudicazione

    (art. 59 cpv. 1 LSIn)

    1 L’aggiudicazione è comunicata separatamente per ogni singolo rapporto di mandato connesso a un contratto quadro.

    2 Unitamente alla comunicazione dell’aggiudicazione, il mandante trasmette al Servizio specializzato PSA le informazioni necessarie per l’allestimento del piano in materia di sicurezza.

    Art. 15 Controlli di sicurezza relativi alle persone

    (art. 60 LSIn)

    1 Il Servizio specializzato PSA stabilisce quali persone dell’azienda sottostanno ai controlli di sicurezza relativi alle persone.

    2 Può autorizzare l’azienda ad avviare autonomamente il controllo di sicurezza relativo alle persone.

    Sezione 5: Dichiarazione di sicurezza aziendale e ripetizione della procedura

    Art. 17 Annunci dell’azienda

    (art. 63 cpv. 2 LSIn)

    1 Sono considerati cambiamenti rilevanti sotto il profilo della sicurezza in particolare:

    a.
    un cambiamento dei rapporti di proprietà o delle strutture dell’azienda;
    b.
    un cambiamento della sede aziendale;
    c.
    un cambiamento della composizione della direzione aziendale;
    d.
    un cambiamento delle relazioni d’interesse dei membri della direzione aziendale;
    e.
    un cambiamento a livello di solvibilità e un’eventuale procedura di pignoramento o di fallimento;
    f.
    l’esistenza di controversie giuridiche di diritto pubblico o privato nonché di procedimenti penali;
    g.
    un cambiamento nell’impiego di mezzi informatici;
    h.
    l’assunzione di collaboratori destinati ad essere coinvolti nelle attività sensibili sotto il profilo della sicurezza;
    i.
    un cambiamento nelle relazioni dell’azienda con Stati o organizzazioni esteri nonché una modifica di altre dipendenze;
    j.
    l’esecuzione di mandati che generano un conflitto di interessi con un mandante o una dipendenza da esso.

    2 Sono considerati incidenti rilevanti sotto il profilo della sicurezza in particolare:

    a.
    l’accesso illecito all’azienda;
    b.
    l’impiego indebito dei mezzi informatici dell’azienda;
    c.
    un attacco tentato o riuscito ai mezzi informatici dell’azienda;
    d.
    la scoperta di punti deboli e di falle nella sicurezza;
    e.
    l’apertura di procedure esecutive e di procedimenti penali nei confronti di persone dell’azienda coinvolte nell’esecuzione del mandato sensibile;
    f.
    l’esecuzione di perquisizioni domiciliari e di sequestri presso l’azienda.

    3 L’azienda deve anche annunciare i cambiamenti e gli incidenti rilevanti sotto il profilo della sicurezza che riguardano i fornitori, se tali cambiamenti e incidenti possono essere rilevanti per l’esecuzione del mandato sensibile.

    4 L’azienda deve informare senza indugio il Servizio specializzato PSA se è prevedibile che al momento della scadenza della validità della dichiarazione di sicurezza aziendale è in corso l’esecuzione di un mandato sensibile.

    Art. 18 Obblighi del mandante

    1 Se constata un cambiamento o un incidente rilevante sotto il profilo della sicurezza nel corso della sua collaborazione con l’azienda, il mandante adotta le misure immediate necessarie e ne informa senza indugio il Servizio specializzato PSA.

    2 Il mandante informa inoltre il Servizio specializzato PSA se:

    a.
    nell’ambito dell’esecuzione del mandato sensibile dispone di indizi che lasciano supporre una revoca dell’aggiudicazione secondo l’articolo 44 LAPub10;
    b.
    intende apportare un cambiamento al mandato rilevante sotto il profilo della sicurezza;
    c.
    intende assegnare un ulteriore mandato all’azienda.

    10 RS 172.056.1

    Art. 19 Attestazione internazionale di sicurezza aziendale

    (art. 66 LSIn)

    1 Per il rilascio di un’attestazione internazionale di sicurezza aziendale il Servizio specializzato PSA riscuote un emolumento pari a 100 franchi.

    2 Se per il rilascio dell’attestazione internazionale di sicurezza aziendale occorre dapprima effettuare una procedura di sicurezza relativa alle aziende, viene riscosso un emolumento supplementare in funzione del tempo impiegato. Si applica una tariffa oraria di 100–400 franchi. La tariffa dipende in particolare dall’urgenza dell’affare e dal livello di funzione del personale che esegue il lavoro. Per il resto si applica l’ordinanza generale dell’8 settembre 200411 sugli emolumenti.

    3 Su richiesta, il Servizio specializzato della Confederazione per la sicurezza delle informazioni e il Servizio specializzato PSA possono trasmettere all’autorità estera o all’organizzazione internazionale una copia dell’attestazione internazionale di sicurezza aziendale.

    11 RS 172.041.1

    Art. 20 Revoca della dichiarazione di sicurezza aziendale e ritiro del mandato

    (art. 67 LSIn)

    1 Se dispone di indizi secondo cui vi è un motivo per revocare la dichiarazione di sicurezza aziendale, il Servizio specializzato PSA accorda all’azienda, d’intesa con il mandante, un termine adeguato per eliminare le lacune.

    2 Se il mandato viene ritirato in seguito alla revoca della dichiarazione di sicurezza aziendale, il mandante provvede senza indugio a:

    a.
    interrompere immediatamente tutte le attività sensibili sotto il profilo della sicurezza e a revocare i diritti d’accesso corrispondenti;
    b.
    proteggere tutte le informazioni classificate, i mezzi informatici e i materiali.

    3 Il mandante conferma al Servizio specializzato PSA l’esecuzione delle misure di cui al capoverso 2 entro dieci giorni dalla presa di conoscenza della revoca.

    Art. 21 Ripetizione della procedura

    (art. 68 LSIn)

    1 Il Servizio specializzato PSA è competente per l’avvio della ripetizione della procedura di sicurezza relativa alle aziende.

    2 Se al momento della scadenza della validità della dichiarazione di sicurezza aziendale è in corso la procedura di ripetizione, la validità è prorogata fino al rilascio di una nuova dichiarazione di sicurezza aziendale o fino all’interruzione della procedura di sicurezza relativa alle aziende.

    3 Se una dichiarazione di sicurezza aziendale non è rinnovata o se la procedura di sicurezza relativa alle aziende è interrotta, l’articolo 20 è applicabile per analogia. È fatto salvo l’articolo 58 capoverso 3 LSIn.

    Sezione 6: Trattamento dei dati personali

    Sezione 7: Prestazioni del Servizio specializzato PSA a favore dei Cantoni

    (art. 86 cpv. 4 LSIn)

    Art. 24

    1 Per mandati sensibili sotto il profilo della sicurezza secondo il diritto cantonale, i Cantoni possono chiedere al Servizio specializzato PSA di svolgere una valutazione dell’idoneità secondo gli articoli 55–57 LSIn se:

    a.
    dispongono di una base legale sufficiente;
    b.
    per garantire la sicurezza delle informazioni intendono procedere a valutazioni analoghe a quelle della Confederazione; e
    c.
    hanno concluso con il DDPS un accordo sulle prestazioni.

    2 L’accordo sulle prestazioni di cui al capoverso 1 lettera c disciplina in particolare:

    a.
    il numero delle valutazioni da effettuare;
    b.
    quali organi presso i Cantoni possono presentare la richiesta per lo svolgimento di tali valutazioni;
    c.
    il finanziamento delle prestazioni, comprese le modalità.

    3 L’importo degli emolumenti è calcolato secondo l’articolo 19 capoverso 2.

    Sezione 8: Disposizioni finali

    Art. 26 Disposizione transitoria

    Per i mandati aggiudicati prima dell’entrata in vigore della presente ordinanza e le procedure di tutela del segreto pendenti al momento dell’entrata in vigore si applica il diritto anteriore.

    Allegato 1

    (art. 22)

    Dati del sistema d’informazione sulla procedura di sicurezza relativa alle aziende

    Dati personali

    1.
    Cognome
    2.
    Nome
    3.
    Indirizzo
    4.
    Numero d’assicurato
    5.
    Nazionalità
    6.
    Luogo d’origine
    7.
    Datore di lavoro e indirizzo del datore di lavoro
    8.
    Stato civile
    9.
    Luogo di nascita
    10.
    Data di nascita
    11.
    Data della naturalizzazione
    12.
    Data dell’inizio del soggiorno in Svizzera
    13.
    Cognome e nome del coniuge o del partner
    14.
    Funzione
    15.
    Mandante e indirizzo del mandante
    16.
    Progetto

    Dati concernenti l’azienda

    Azienda

    17.
    Numero di dossier
    18.
    Denominazione
    19.
    Indirizzo
    20.
    Numero telefonico
    21.
    Numero di fax
    22.
    Indirizzo e-mail
    23.
    Indirizzo Internet

    Incaricato della sicurezza aziendale

    24.
    Appellativo/titolo
    25.
    Cognome
    26.
    Nome
    27.
    Sesso
    28.
    Indirizzo e-mail

    Dati concernenti i controlli

    29.
    Data della valutazione dell’idoneità
    30.
    Codice del ramo d’attività economica dell’azienda (codice NOGA)
    31.
    Visita (data, ordine cronologico e osservazioni)
    32.
    Controllo (data, ordine cronologico e osservazioni)
    33.
    Dichiarazione di sicurezza aziendale (data, rilascio, revoca, restituzione)
    34.
    Piano in materia di sicurezza (data, ordine cronologico)

    Atti

    35.
    Numero di esemplare
    36.
    Mittente
    37.
    Data dell’atto
    38.
    Data di spedizione
    39.
    Data del controllo
    40.
    Data di restituzione
    41.
    Denominazione

    Mandati

    42.
    Denominazione del mandato principale
    43.
    Mandante
    44.
    Denominazione dei mandati
    45.
    Classificazione
    46.
    Data di notifica
    47.
    Data d’inizio della validità
    48.
    Data di scadenza della validità
    49.
    Denominazione abbreviata del ramo
    50.
    Codice del ramo d’attività economica dell’azienda (codice NOGA)

    Allegato 2

    (art. 25)

    Abrogazione e modifica di altri atti normativi

    I

    L’ordinanza del 29 agosto 199012 sulla tutela del segreto è abrogata.

    II

    Gli atti normativi qui appresso sono modificati come segue:

    ... 13

    12 [RU 1990 1774]

    13 Le mod. possono essere consultate alla RU 2023 737.

    WICHTIGER HINWEIS

    Die auf dieser Website abrufbaren Gesetze und Dokumente sind keine amtlichen Veröffentlichungen. Massgebend sind allein die Veröffentlichungen durch die Bundeskanzlei. Siehe www.fedlex.admin.ch.

    In Bezug auf englische Sprachfassungen sei darauf hingewiesen, dass Englisch keine offizielle Amtssprache ist. Die englischen Übersetzungen der Erlasstexte dienen lediglich der generellen Information.

    COOKIE INFORMATION

    Diese Website erfordert einige wenige funktionelle Cookies und die Local Storage Web API. In den Nutzungsbedingungen und den Informationen zum Datenschutz erfahren Sie mehr.

    Willkommen bei Omnius EasyReaderbeta

    Omnius EasyReader ist ein Tool für ein effizienteres Arbeiten mit Schweizer Bundeserlassen.

    Bitte beachten Sie, dass sich die Website in Entwicklung befindet und gegenwärtig in einer Beta-Version vorliegt. Es können entsprechend Fehler auftauchen oder die Website ist über gewisse Zeit nicht oder nur eingeschränkt verfügbar.

    Eine Übersicht zum Entwicklungsstand und den momentan verfügbaren Funktionen finden Sie hier.

    Die Website ist aktuell nicht vollständig für den Zugriff via Mobile-Geräte optimiert. Es wird daher empfohlen, die Website auf einem Laptop oder Desktop-PC aufzurufen.

    Es sei im Weiteren auf die Hinweise in den Nutzungsbedingungen verwiesen.

        Tour durch die Funktionen gefällig?