9.3.2016   

IT

Gazzetta ufficiale dell’Unione europea

C 93/112

—

vista la comunicazione congiunta della Commissione europea e dell'alto rappresentante dell'Unione europea per gli affari esteri e la politica di sicurezza, del 7 febbraio 2013, dal titolo «Strategia dell'Unione europea per la cibersicurezza: un ciberspazio aperto e sicuro» (JOIN(2013)0001),

—

vista la proposta di direttiva, presentata dalla Commissione il 7 febbraio 2013, recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione (COM(2013)0048),

—

viste le comunicazioni della Commissione del 19 maggio 2010 dal titolo «Un'agenda digitale europea» (COM(2010)0245) e del 18 dicembre 2012 dal titolo «Agenda digitale per l'Europa — Le tecnologie digitali come motore della crescita europea» (COM(2012)0784),

—

vista la comunicazione della Commissione del 27 settembre 2012 dal titolo «Sfruttare il potenziale del cloud computing in Europa» (COM(2012)0529),

—

viste la comunicazione della Commissione del 28 marzo 2012 dal titolo «Lotta alla criminalità nell'era digitale: istituzione di un Centro europeo per la lotta alla criminalità informatica» (COM(2012)0140) e le conclusioni del Consiglio del 7 giugno 2012 in materia,

—

vista la direttiva 2013/40/UE del Parlamento europeo e del Consiglio, del 12 agosto 2013, relativa agli attacchi contro i sistemi di informazione e che sostituisce la decisione quadro 2005/222/GAI del Consiglio (1),

—

vista la direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (2),

—

vista la direttiva 2011/92/UE del Parlamento europeo e del Consiglio, del 13 dicembre 2011, relativa alla lotta contro l'abuso e lo sfruttamento sessuale dei minori e la pornografia minorile, e che sostituisce la decisione quadro 2004/68/GAI del Consiglio (3),

—

visti il programma di Stoccolma (4) in materia di libertà, sicurezza e giustizia, le comunicazioni della Commissione dal titolo «Creare uno spazio di libertà, sicurezza e giustizia per i cittadini europei — Piano d'azione per l'attuazione del programma di Stoccolma» (COM(2010)0171) e «La strategia di sicurezza interna dell'UE in azione: cinque tappe verso un'Europa più sicura» (COM(2010)0673) e la sua risoluzione del 22 maggio 2012 sulla strategia di sicurezza interna dell'Unione europea (5),

—

vista la proposta congiunta di decisione del Consiglio, presentata dalla Commissione e dall'alto rappresentante, relativa alle modalità di attuazione da parte dell'Unione della clausola di solidarietà (JOIN(2012)0039),

—

vista la decisione quadro 2001/413/GAI del Consiglio, del 28 maggio 2001, relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti (6),

—

viste la sua risoluzione del 12 giugno 2012 sulla protezione delle infrastrutture critiche informatizzate — realizzazioni e prossime tappe: verso una sicurezza informatica mondiale (7) e le conclusioni del Consiglio del 27 maggio 2011 riguardanti la comunicazione della Commissione relativa alla protezione delle infrastrutture critiche informatizzate «Realizzazioni e prossime tappe: verso una sicurezza informatica mondiale» (COM(2011)0163),

—

vista la sua risoluzione dell'11 dicembre 2012 sul completamento del mercato unico digitale (8),

—

vista la sua risoluzione del 22 novembre 2012 sulla sicurezza e la difesa informatica (9),

—

vista la sua posizione definita in prima lettura il 16 aprile 2013 sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo all'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) (COM(2010)0521) (10),

—

vista la sua risoluzione dell'11 dicembre 2012 su una strategia di libertà digitale nella politica estera dell'UE (11),

—

vista la convenzione del Consiglio d'Europa sulla criminalità informatica, del 23 novembre 2001,

—

visti gli obblighi internazionali dell'Unione, in particolare l'accordo generale sugli scambi di servizi (GATS),

—

visti l'articolo 16 del trattato sul funzionamento dell'Unione europea (TFUE) e la Carta dei diritti fondamentali dell'Unione europea, in particolare gli articoli 6, 8 e 11,

—

visti i negoziati in corso relativi al partenariato transatlantico in materia di scambi commerciali e investimenti (TTIP) tra l'Unione europea e gli Stati Uniti d'America,

—

visto l'articolo 110, paragrafo 2, del suo regolamento,

A.

considerando che le crescenti sfide informatiche, sotto forma di minacce e attacchi sempre più sofisticati, costituiscono un serio pericolo per la sicurezza, la stabilità e la prosperità economica degli Stati membri così come del settore provato e della comunità internazionale; che la protezione della nostra società e della nostra economia sarà pertanto una sfida in costante evoluzione;

B.

considerando che il ciberspazio e la cibersicurezza dovrebbero costituire uno dei pilastri strategici delle politiche di sicurezza e di difesa dell'Unione e di ciascuno Stato membro; che è fondamentale assicurare che il ciberspazio rimanga aperto al libero flusso di idee e informazioni e alla libera espressione;

C.

considerando che il commercio elettronico e i servizi online costituiscono la forza vitale di Internet e sono di importanza cruciale per le finalità della strategia Europa 2020, nonché apportano benefici sia ai cittadini che al settore privato; che l'Unione deve rendersi pienamente conto delle potenzialità e delle opportunità che Internet offre a favore dell'ulteriore sviluppo del mercato unico, compreso il mercato unico digitale;

D.

considerando che le priorità strategiche delineate nella comunicazione congiunta sulla strategia dell'Unione europea per la cibersicurezza comprendono: raggiungere la ciberresilienza, ridurre la criminalità informatica, sviluppare la politica in materia di difesa informatica e le capacità informatiche relative alla politica di sicurezza e di difesa comune (PSDC) nonché istituire una politica internazionale coerente in materia di ciberspazio per l'UE;

E.

considerando che le reti e i sistemi informatici nell'Unione sono strettamente interconnessi; che, data la natura globale di Internet, molti incidenti riguardanti la sicurezza delle reti e dell'informazione vanno al di là dei confini nazionali e hanno la potenzialità di pregiudicare il funzionamento del mercato interno e la fiducia dei consumatori nel mercato unico digitale;

F.

considerando che la cibersicurezza nell'Unione, così come nel resto del mondo, è tanto solida quanto il suo anello più debole, e che i problemi in un settore o in uno Stato membro hanno ripercussioni su altri settori o Stati membri provocando effetti di ricaduta con implicazioni per l'economia dell'Unione nel suo insieme;

G.

considerando che, a decorrere da aprile 2013, solo 13 Stati membri hanno adottato ufficialmente strategie nazionali per la cibersicurezza; che permangono diversità fondamentali tra gli Stati membri in termini di preparazione, sicurezza, cultura strategica e capacità di elaborare e attuare strategie nazionali per la cibersicurezza, e che occorre effettuare una valutazione di tali differenze;

H.

considerando che diverse culture della sicurezza e la mancanza di un quadro giuridico causano una frammentazione e costituiscono gravi motivi di preoccupazione nel mercato unico digitale; che la mancanza di un approccio armonizzato alla cibersicurezza comporta gravi rischi per la prosperità economica e la sicurezza delle transazioni, e che sono pertanto necessari sforzi concertati e una stretta cooperazione tra le amministrazioni, il settore provato, i servizi preposti all'applicazione della legge e le agenzie di intelligence;

I.

considerando che la criminalità informatica costituisce un problema internazionale sempre più caro, il quale, secondo l'Ufficio delle Nazioni Unite contro la droga e il crimine, costa attualmente all'economia globale circa 295 miliardi di EUR ogni anno;

J.

considerando che la criminalità organizzata internazionale, facendo leva sui progressi tecnologici, trasferisce sempre di più il proprio terreno operativo nel ciberspazio, dove la criminalità informatica altera radicalmente la struttura tradizionale delle organizzazioni criminali; che ciò ha reso la criminalità organizzata meno localizzata e più incline a sfruttare la territorialità e le diverse giurisdizioni nazionali a livello globale;

K.

considerando che permangono diversi ostacoli nell'ambito delle indagini sulla criminalità informatica effettuate dalle autorità competenti, tra cui l'uso, per le transazioni nel ciberspazio, delle «monete virtuali» che consentono il riciclaggio di denaro, il problema della territorialità e dei confini giurisdizionali, le insufficienti capacità di condivisione delle informazioni, la mancanza di personale preparato e la cooperazione incostante con le parti interessate;

L.

considerando che la tecnologia è il fondamento per lo sviluppo del ciberspazio, che un continuo adattamento ai progressi tecnologici è essenziale per migliorare la resilienza e la sicurezza del ciberspazio nell'UE; che occorre adottare misure per garantire che la legislazione sia al passo con i nuovi sviluppi tecnologici, affinché possa consentire di identificare e perseguire in modo efficace gli autori di reati informatici e di proteggere le vittime della criminalità informatica; che la strategia dell'UE per la cibersicurezza deve contemplare misure incentrate sulla sensibilizzazione, l'educazione, lo sviluppo di gruppi di pronto intervento informatico (CERT), lo sviluppo di un mercato interno per i prodotti e i servizi legati alla cibersicurezza, nonché la promozione degli investimenti nella ricerca, nello sviluppo e nell'innovazione;

1.

si compiace della comunicazione congiunta sulla strategia dell'Unione europea per la cibersicurezza e della proposta di direttiva recante misure volte a garantire un livello elevato di sicurezza delle reti e dell'informazione nell'Unione;

2.

sottolinea l'enorme e crescente importanza di Internet e del ciberspazio per le transazioni politiche, economiche e sociali, non solo all'interno dell'Unione ma anche in relazione ad altri attori nel mondo;

3.

sottolinea la necessità di sviluppare una politica di comunicazione strategica in materia di cibersicurezza nell'UE, situazioni di crisi cibernetica, revisioni strategiche, collaborazione pubblico-privato e segnalazioni, nonché raccomandazioni destinate al pubblico;

4.

ricorda che un livello elevato di sicurezza delle reti e dell'informazione è necessario non soltanto per mantenere i servizi essenziali per il buon funzionamento della società e dell'economia, ma anche per salvaguardare l'integrità fisica dei cittadini, migliorando l'efficienza, l'efficacia e la sicurezza del funzionamento delle infrastrutture critiche; sottolinea che, benché sia necessario affrontare la questione della sicurezza delle reti e dell'informazione, è altresì importante rafforzare la sicurezza fisica; mette in evidenza che le infrastrutture dovrebbero essere resilienti alle perturbazioni intenzionali e non intenzionali; sottolinea al riguardo che la strategia per la cibersicurezza dovrebbe porre maggiormente l'accento sulle cause comuni dei guasti non intenzionali dei sistemi;

5.

invita nuovamente gli Stati membri ad adottare, senza indebito ritardo, strategie nazionali per la cibersicurezza che coprano gli aspetti tecnici e quelli relativi al coordinamento, alle risorse umane e alla dotazione finanziaria e comprendano regole specifiche sui benefici e le responsabilità del settore privato, al fine di garantire la partecipazione di quest'ultimo, nonché a prevedere procedure complete per la gestione del rischio e a salvaguardare il quadro normativo;

6.

osserva che soltanto una leadership e una responsabilità politica comuni da parte delle istituzioni dell'Unione e degli Stati membri permetteranno di raggiungere un livello elevato di sicurezza delle reti e dell'informazione nell'Unione, contribuendo in tal modo alla sicurezza e al buon funzionamento del mercato unico;

7.

sottolinea che la politica dell'Unione in materia di cibersicurezza dovrebbe assicurare un ambiente digitale sicuro e affidabile che si fondi sulla protezione e la salvaguardia delle libertà e il rispetto dei diritti fondamentali online e sia concepito a garanzia dei medesimi, come stabilito dalla Carta dell'UE e dall'articolo 16 del TFUE, in particolare il diritto alla vita privata e alla protezione dei dati; ritiene che un'attenzione specifica debba essere riservata alla protezione dei minori online;

8.

invita gli Stati membri e la Commissione ad adottare tutte le misure necessarie per presentare programmi di formazione volti a promuovere e migliorare l'informazione, le competenze e l'educazione dei cittadini europei, in particolare per quanto riguarda la sicurezza personale, nell'ambito di un programma educativo di alfabetizzazione digitale fin dalla più giovane età; valuta positivamente l'iniziativa di organizzare un mese europeo della sicurezza informatica, con il sostegno dell'ENISA e in cooperazione con le autorità pubbliche e il settore privato, al fine di sensibilizzare maggiormente sulle sfide connesse alla protezione delle reti e dei sistemi di informazione;

9.

ritiene che l'educazione in materia di cibersicurezza contribuisca a sensibilizzare la società europea sulle minacce informatiche, incoraggiando in tal modo un uso responsabile del ciberspazio, nonché a sviluppare l'offerta nell'ambito delle competenze informatiche; riconosce il ruolo fondamentale di Europol e del suo nuovo Centro europeo per la lotta alla criminalità informatica (EC3), dell'ENISA e di Eurojust nel fornire attività di formazione a livello di UE sull'uso degli strumenti di cooperazione giudiziaria internazionale e l'applicazione della legge in relazione a diversi aspetti della criminalità informatica;

10.

ribadisce la necessità di fornire consulenza tecnica e informazioni giuridiche, nonché di istituire programmi di prevenzione e lotta alla criminalità informatica; incoraggia la formazione di ingegneri informatici specializzati nella protezione delle infrastrutture critiche e dei sistemi di informazione, nonché di gestori di sistemi di controllo dei trasporti e di centri di gestione del traffico; sottolinea l'assoluta necessità di introdurre regolari programmi di formazione in materia di cibersicurezza per il personale del settore pubblico a tutti i livelli;

11.

ribadisce il suo appello a usare cautela nell'applicare restrizioni alla capacità dei cittadini di utilizzare gli strumenti delle tecnologie dell'informazione e della comunicazione; sottolinea inoltre che gli Stati membri dovrebbero sforzarsi di non mettere mai a rischio i diritti e le libertà dei cittadini nell'elaborare risposte alle minacce e agli attacchi informatici e dovrebbero disporre di strumenti legislativi adeguati per operare una distinzione tra ciberincidenti civili e militari;

12.

ritiene che l'intervento normativo nell'ambito della sicurezza informatica dovrebbe essere orientato al rischio, incentrato sulle infrastrutture critiche il cui corretto funzionamento è di grande interesse pubblico, e fondarsi sugli sforzi, basati sul mercato, attualmente profusi dal settore al fine di assicurare la resilienza delle reti; sottolinea il ruolo essenziale della cooperazione a livello operativo nel promuovere uno scambio più efficace di informazioni sulle minacce informatiche tra le autorità pubbliche e il settore privato — a livello nazionale e di Unione, nonché con i partner strategici dell'Unione — al fine di garantire la sicurezza delle reti e dell'informazione, generando un clima di fiducia reciproca, valore e impegno e realizzando uno scambio di competenze; ritiene che i partenariati pubblico-privato dovrebbero basarsi sulla neutralità tecnologica e delle reti, nonché concentrarsi sugli sforzi diretti ad affrontare i problemi che hanno un forte impatto pubblico; invita la Commissione a incoraggiare tutti gli operatori del mercato interessati a essere più vigili e cooperativi, al fine di evitare che altri operatori siano pregiudicati nei loro servizi;

13.

riconosce che l'individuazione e la notifica di incidenti relativi alla sicurezza informatica siano essenziali per promuovere la ciberresilienza nell'Unione; ritiene che dovrebbero essere in vigore requisiti proporzionati e necessari in materia di comunicazione per consentire la notifica degli incidenti che comportano significative violazioni della sicurezza alle autorità nazionali competenti, permettendo in tal modo un migliore monitoraggio dei casi di criminalità informatica e facilitando gli sforzi di sensibilizzazione a tutti i livelli;

14.

incoraggia la Commissione e gli altri attori a introdurre politiche in materia di cibersicurezza e ciberresilienza che comprendano incentivi per promuovere un livello elevato di cibersicurezza e ciberresilienza;

15.

osserva che i diversi settori e Stati membri presentano diversi livelli di capacità e competenze, il che impedisce lo sviluppo di una cooperazione basata sulla fiducia e compromette il funzionamento del mercato unico;

16.

ritiene che i requisiti per le piccole e medie imprese dovrebbero seguire un approccio proporzionato e basato sul rischio;

17.

insiste sullo sviluppo della ciberresilienza per le infrastrutture critiche e ricorda che le future modalità di attuazione della clausola di solidarietà (articolo 222 del TFUE) dovrebbero tenere conto del rischio di attacchi informatici contro gli Stati membri; invita la Commissione e l'alto rappresentante a prendere in considerazione questo rischio nelle loro relazioni congiunte di valutazione integrata delle minacce e dei rischi che saranno pubblicate a partire dal 2015;

18.

sottolinea che al fine di garantire l'integrità, la disponibilità e la riservatezza specialmente dei servizi critici, l'identificazione e la categorizzazione delle infrastrutture critiche deve essere aggiornata e occorre fissare requisiti minimi di sicurezza per le relative reti e i relativi sistemi di informazione;

19.

riconosce che la proposta di direttiva recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell'informazione nell'Unione prevede tali requisiti minimi di sicurezza per i fornitori di servizi della società dell'informazione e gli operatori di infrastrutture critiche;

20.

invita gli Stati membri e l'Unione a istituire quadri adeguati per la realizzazione di sistemi di scambio delle informazioni rapidi e bidirezionali che assicurino l'anonimato per il settore privato e tengano costantemente aggiornato il settore pubblico, nonché, ove necessario, a fornire assistenza al settore privato;

21.

si compiace dell'intenzione della Commissione di creare una cultura della gestione del rischio in materia di cibersicurezza ed esorta gli Stati membri e le istituzioni dell'Unione a includere la gestione delle crisi informatiche nei loro piani di gestione delle crisi e nelle analisi dei rischi; invita inoltre i governi degli Stati membri e la Commissione a incoraggiare gli attori del settore privato a includere la gestione delle crisi informatiche nei loro piani di gestione delle crisi e nelle analisi dei rischi e a formare il loro personale in materia di cibersicurezza;

22.

invita tutti gli Stati membri e le istituzioni dell'Unione a istituire una rete di gruppi di pronto intervento informatico (CERT) ben funzionanti e permanentemente operativi; sottolinea che i CERT nazionali dovrebbero far parte di una rete efficace che permetta lo scambio di informazioni pertinenti nel rispetto dei requisiti di fiducia e riservatezza; osserva che le iniziative generali che riuniscono i CERT e altri organismi di sicurezza interessati possono rivelarsi strumenti utili per lo sviluppo di un clima di fiducia nel contesto transfrontaliero e intersettoriale; riconosce l'importanza di una cooperazione efficiente ed efficace tra i CERT e le autorità di contrasto nella lotta contro la criminalità informatica;

23.

sostiene l'ENISA nell'esercizio delle sue funzioni in relazione alla sicurezza delle reti e dell'informazione, in particolare fornendo orientamenti e consulenza agli Stati membri, nonché promuovendo lo scambio delle migliori pratiche e lo sviluppo di un clima di fiducia;

24.

sottolinea la necessità per il settore di applicare requisiti di prestazione adeguati in materia di cibersicurezza in tutta la catena del valore dei prodotti informatici utilizzati nelle reti di trasporto e nei sistemi di informazione, di gestire i rischi in maniera adeguata, di adottare soluzioni e norme di sicurezza, nonché di elaborare migliori pratiche e condividere le informazioni, al fine di garantire la sicurezza informatica dei sistemi di trasporto;

25.

è del parere che la garanzia di un elevato livello di sicurezza delle reti e dell'informazione svolga un ruolo centrale nell'accrescere la competitività dei fornitori e degli utenti di soluzioni di sicurezza nell'Unione; ritiene che, se da un lato l'industria della sicurezza informatica dell'Unione presenta importanti potenzialità non ancora sfruttate, dall'altro gli utenti privati, pubblici e aziendali spesso non conoscono i costi e i benefici connessi agli investimenti nella cibersicurezza, rimanendo pertanto vulnerabili a pericolose minacce informatiche; sottolinea che l'istituzione dei CERT costituisce un importante fattore a questo proposito;

26.

ritiene che un'offerta e una domanda elevate di soluzioni di cibersicurezza presuppongano investimenti adeguati in risorse accademiche e attività di ricerca e sviluppo (R&S), nonché lo sviluppo della conoscenza e delle capacità da parte delle autorità nazionali interessate dalle questioni relative alle TIC, al fine di promuovere le innovazioni e creare una sufficiente consapevolezza dei rischi per la sicurezza delle reti e dell'informazione, nell'ottica di realizzare un'industria europea della sicurezza concertata;

27.

invita le istituzioni dell'Unione e gli Stati membri ad adottare le misure necessarie per istituire un «mercato unico della cibersicurezza», che consenta agli utenti e ai fornitori di sfruttare al meglio le innovazioni, le sinergie e le competenze congiunte disponibili e che risulti accessibile alle PMI;

28.

incoraggia gli Stati membri a valutare l'opportunità di realizzare investimenti comuni nell'industria europea della cibersicurezza, analogamente a quanto avvenuto in altri settori, come, ad esempio, l'aviazione;

29.

ritiene che le attività criminali condotte nel ciberspazio possano pregiudicare il benessere delle società quanto i reati commessi nel mondo fisico e che queste forme di criminalità si rafforzino spesso reciprocamente, come è ad esempio possibile osservare nel caso dello sfruttamento sessuale dei minori e della criminalità organizzata o del riciclaggio di denaro;

30.

rileva che in alcuni casi esiste un nesso tra attività commerciali legittime e illecite; pone l'accento sull'importanza del collegamento, facilitato da Internet, tra il finanziamento del terrorismo e le forme gravi di criminalità organizzata; sottolinea la necessità di sensibilizzare il pubblico in merito alla gravità di qualsiasi partecipazione alla criminalità informatica e al fatto che reati che a prima vista potrebbero sembrare «socialmente accettabili», come scaricare film illegalmente, spesso generano ingenti introiti per le organizzazioni criminali internazionali;

31.

concorda con la Commissione sul fatto che le norme e i principi che si applicano offline debbano valere anche online, e che occorre pertanto intensificare la lotta alla criminalità informatica avvalendosi di norme e capacità operative aggiornate;

32.

ritiene particolarmente importante, alla luce del carattere transnazionale della criminalità informatica, compiere sforzi congiunti e offrire competenze comuni a livello di Unione, al di là del livello dei singoli Stati membri, e reputa pertanto che sia necessario dotare Eurojust, l'EC3 di Europol, i CERT, le università e i centri di ricerca delle risorse e delle capacità necessarie per operare correttamente in quanto punti focali delle competenze, della cooperazione e della condivisione delle informazioni;

33.

si rallegra vivamente dell'istituzione dell'EC3 e incoraggia il futuro potenziamento di tale agenzia e del suo ruolo fondamentale nel coordinare uno scambio efficace e tempestivo di informazioni e competenze a livello transfrontaliero a sostegno degli sforzi di prevenzione, indagine e accertamento dei reati legati alla criminalità informatica;

34.

invita gli Stati membri a garantire che i cittadini possano accedere facilmente alle informazioni sulle minacce informatiche e sui mezzi per contrastarle; ritiene che tali orientamenti debbano includere informazioni che spieghino agli utenti come proteggere la propria privacy su Internet, come individuare e segnalare i casi di grooming (tentativo di adescamento di minori online), come installare software e firewall, come gestire le password e come riconoscere i casi di falsa identificazione (phishing), i tentativi di ottenere accesso alle informazioni riservate (pharming) e attacchi di altro tipo;

35.

insiste affinché gli Stati membri che non hanno ancora ratificato la Convenzione di Budapest del Consiglio d'Europa sulla criminalità informatica provvedano in tal senso senza indebito ritardo; valuta positivamente le considerazioni del Consiglio d'Europa sulla necessità di aggiornare la Convenzione alla luce dell'evoluzione tecnologica onde assicurare che continui a essere efficace nel far fronte alla criminalità informatica, e invita la Commissione e gli Stati membri a partecipare a tale dibattito; invita ad adoperarsi per promuovere la ratifica della Convenzione da parte di altri paesi e sollecita la Commissione a perseguire attivamente tale obiettivo al di fuori dell'Unione;

36.

sottolinea che le sfide, le minacce e gli attacchi informatici mettono a rischio gli interessi degli Stati membri in materia di difesa e sicurezza nazionale, e che gli approcci civili e militari alla protezione delle infrastrutture critiche dovrebbero ottimizzare i benefici per entrambe le parti attraverso sforzi volti a creare sinergie;

37.

invita pertanto gli Stati membri a rafforzare la cooperazione con l'Agenzia europea per la difesa (AED) al fine di elaborare proposte e iniziative incentrate sulle capacità di difesa informatica, basandosi sulle iniziative e sui progetti recenti; sottolinea la necessità di incrementare le attività di R&S, tra l'altro mediante la messa in comune e la condivisione delle risorse;

38.

ribadisce che una strategia globale dell'UE in materia di cibersicurezza dovrebbe tenere conto del valore aggiunto offerto dalle agenzie e dagli organi esistenti, nonché delle buone prassi emerse negli Stati membri che hanno già introdotto strategie nazionali di cibersicurezza;

39.

invita il VP/AR a includere la gestione delle crisi informatiche nella pianificazione della gestione delle crisi e sottolinea che gli Stati membri dovrebbero elaborare, in collaborazione con l'AED, programmi volti a proteggere le missioni e le operazioni PSDC dagli attacchi informatici; sollecita le parti in causa a riunire una forza europea di difesa informatica;

40.

richiama l'attenzione sull'efficace cooperazione pratica instaurata con la NATO nell'ambito della cibersicurezza e sottolinea la necessità di rafforzare tale cooperazione, in particolare attraverso un più stretto coordinamento in materia di pianificazione, tecnologie, formazione e attrezzature;

41.

chiede che l'Unione si adoperi per avviare uno scambio con i partner internazionali, inclusa la NATO, individuare i possibili settori di collaborazione, evitare le sovrapposizioni e realizzare attività complementari, laddove possibile;

42.

ritiene che la cooperazione e il dialogo internazionali svolgano un ruolo essenziale per creare la fiducia e la trasparenza, nonché per promuovere un elevato livello di collegamento in rete e un ampio scambio di informazioni su scala mondiale; invita pertanto la Commissione e il Servizio europeo per l'azione esterna a istituire un'équipe diplomatica per le questioni informatiche, incaricata tra l'altro di promuovere il dialogo con i paesi e le organizzazioni che condividono tale impostazione; chiede che l'UE partecipi più attivamente alle numerose conferenze internazionali di alto livello in materia di cibersicurezza;

43.

ritiene che sia necessario trovare un equilibrio tra obiettivi contrastanti quali i trasferimenti transfrontalieri di dati, la protezione dei dati e la cibersicurezza, nel rispetto degli obblighi internazionali assunti dall'Unione, in particolare nell'ambito del GATS;

44.

invita il VP/AR a integrare la dimensione della cibersicurezza nelle azioni esterne dell'UE, in particolare nei rapporti con i paesi terzi, al fine di rafforzare la cooperazione come pure lo scambio di esperienze e di informazioni sulle modalità di gestione della sicurezza informatica;

45.

chiede che l'Unione si adoperi per instaurare con i partner internazionali uno scambio volto a individuare i possibili settori di collaborazione, a evitare le sovrapposizioni e a realizzare attività complementari, laddove possibile; invita il VP/AR e la Commissione a intervenire in modo proattivo in seno alle organizzazioni internazionali e a coordinare le posizioni degli Stati membri relative alle possibilità di promuovere efficacemente soluzioni e politiche in ambito informatico;

46.

ritiene che sia necessario adoperarsi per garantire che gli strumenti giuridici internazionali esistenti, in particolare la Convenzione del Consiglio d'Europa sulla criminalità informatica, siano applicati nel ciberspazio; reputa, pertanto, che la creazione di nuovi strumenti giuridici a livello internazionale non sia attualmente necessaria; accoglie tuttavia con favore la cooperazione internazionale finalizzata all'elaborazione di norme di comportamento nel ciberspazio, che favoriscono lo Stato di diritto nel ciberspazio; giudica opportuno prendere in considerazione la possibilità di aggiornare gli strumenti giuridici esistenti per tenere conto dell'evoluzione tecnologica; ritiene che le questioni giurisdizionali presuppongano una discussione approfondita in materia di cooperazione giudiziaria e procedimenti giudiziari nei casi penali transnazionali;

47.

ritiene che il gruppo di lavoro UE-USA sulla sicurezza e la criminalità informatiche in particolare dovrebbe costituire uno strumento che consenta all'UE e agli Stati Uniti di realizzare se del caso scambi delle migliori prassi concernenti le politiche in materia di cibersicurezza; rileva, in tale contesto, che i settori connessi alla cibersicurezza, quali i servizi che dipendono dal funzionamento sicuro delle reti e dei sistemi di informazione, saranno inclusi nei futuri negoziati relativi al partenariato transatlantico su commercio e investimenti (TTIP), che dovrà essere concluso in modo tale da salvaguardare la sovranità dell'UE e l'indipendenza delle sue istituzioni;

48.

osserva che le competenze in materia di cibersicurezza e la capacità di prevenire, individuare e contrastare efficacemente le minacce e gli attacchi dolosi non sono sviluppate in modo uniforme a livello mondiale; sottolinea che gli sforzi profusi per rafforzare la ciberresilienza e contrastare le minacce informatiche non devono essere limitati ai partner che abbracciano posizioni affini, ma dovrebbero riguardare anche regioni dotate di capacità, infrastrutture tecniche e quadri giuridici meno sviluppati; ritiene che il coordinamento dei CERT sia fondamentale a tale riguardo; invita la Commissione ad agevolare e, se necessario, assistere con mezzi adeguati i paesi terzi negli sforzi profusi per sviluppare capacità proprie in fatto di cibersicurezza;

49.

chiede che siano condotte valutazioni regolari dell'efficacia delle strategie nazionali in materia di cibersicurezza ai più alti livelli politici, onde garantire l'adeguamento alle nuove minacce mondiali e assicurare lo stesso livello di sicurezza informatica in Stati membri diversi;

50.

invita la Commissione a delineare una tabella di marcia chiara che stabilisca i termini entro cui devono essere raggiunti gli obiettivi a livello di Unione nell'ambito della strategia in materia di cibersicurezza nonché i termini per la valutazione di tali obiettivi; sollecita gli Stati membri a concordare un analogo programma di attuazione per le attività nazionali condotte nel quadro della strategia in esame;

51.

invita la Commissione, gli Stati membri, Europol e il nuovo EC3, Eurojust e l'ENISA a elaborare relazioni periodiche che includano la valutazione dei progressi realizzati rispetto agli obiettivi stabiliti dalla strategia in materia di cibersicurezza, tenendo conto degli indicatori chiave di prestazione che consentono di misurare i progressi realizzati nell'attuazione;

52.

incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio e alla Commissione nonché ai governi e ai parlamenti degli Stati membri, a Europol, a Eurojust e al Consiglio d'Europa.