(1)

la nostra vita quotidiana e le nostre economie dipendono sempre di più dalle tecnologie digitali e i cittadini sono sempre più esposti a gravi incidenti informatici. La sicurezza futura dipende anche dal potenziamento della capacità tecnologica e industriale di proteggere l'Unione europea dalle minacce informatiche, in quanto sia le infrastrutture civili che le capacità militari devono poter fare affidamento su sistemi digitali sicuri.

(1)

Oltre l'80 % della popolazione dell'Unione è collegato a Internet, mentre la nostra vita quotidiana e le nostre economie dipendono sempre di più dalle tecnologie digitali e i cittadini sono sempre più esposti a gravi incidenti informatici. La sicurezza futura dipende anche dal contributo alla resilienza generale e dal potenziamento della capacità tecnologica e industriale di proteggere l'Unione europea dalle minacce informatiche in costante evoluzione , in quanto sia le infrastrutture che le capacità di sicurezza devono poter fare affidamento su sistemi digitali sicuri. Tale sicurezza può essere raggiunta sensibilizzando in merito alle minacce alla cibersicurezza, sviluppando competenze, capacità e abilità in tutta l'Unione, tenendo conto pienamente dell'interazione delle infrastrutture hardware e software, delle reti, dei prodotti e dei processi, e delle implicazioni e preoccupazioni sociali ed etiche.

(1 bis)

La criminalità informatica costituisce una minaccia in rapida crescita per l'Unione, i suoi cittadini e la sua economia. Nel 2017, l'80 % delle aziende europee ha registrato almeno un incidente informatico. L'attacco WannaCry del maggio 2017 ha colpito oltre 150 paesi e 230 000 sistemi informatici e ha prodotto effetti significativi su infrastrutture critiche, ad esempio gli ospedali. Ciò evidenzia la necessità di norme molto rigorose in materia di cibersicurezza e di soluzioni olistiche in tale ambito, che coinvolgano le persone, i prodotti, i processi e le tecnologie nell'Unione, nonché di una leadership dell'Unione in questo campo e dell'autonomia digitale.

(4)

In occasione del vertice di Tallinn sul digitale del settembre 2017, i capi di Stato e di governo hanno invitato l'Unione a diventare «un leader mondiale della cibersicurezza entro il 2025, al fine di garantire la fiducia, la sicurezza e la tutela dei nostri cittadini, dei nostri consumatori e delle nostre imprese online e di fare sì che Internet sia libero e regolamentato».

(4)

In occasione del vertice di Tallinn sul digitale del settembre 2017, i capi di Stato e di governo hanno invitato l'Unione a diventare un leader mondiale della cibersicurezza entro il 2025, al fine di garantire la fiducia, la sicurezza e la tutela dei nostri cittadini, dei nostri consumatori e delle nostre imprese online e di fare sì che Internet sia libero , più sicuro e regolamentato , e hanno dichiarato di «avvalersi maggiormente di soluzioni open source e/o di standard aperti in caso di (ri)costruzione di sistemi e soluzioni TIC (tra l'altro per evitare di rimanere vincolati ai fornitori), compresi quelli sviluppati e/o promossi dai programmi dell'UE per l'interoperabilità e la normazione, come ISA2» .

(4 bis)

Il Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza (il «Centro di competenza») dovrebbe contribuire ad aumentare la resilienza e l'affidabilità delle infrastrutture delle reti e dei sistemi informativi, tra cui Internet e altre infrastrutture critiche per il funzionamento della società, come i trasporti, la sanità e i sistemi bancari.

(4 ter)

Il Centro europeo di competenza e le sue azioni dovrebbero tenere conto dell'attuazione del regolamento (UE) 2019/XXX [rifusione del regolamento (CE) n. 428/2009 proposta dal COM(2016)0616]  (1 bis) .

(5)

Una grave perturbazione delle reti e dei sistemi informativi può ripercuotersi su singoli Stati membri e su tutta l'Unione. La sicurezza delle reti e dei sistemi informativi è quindi essenziale per l'armonioso funzionamento del mercato interno . Al momento l'Unione dipende da fornitori di sicurezza informatica non europei. Tuttavia, è nell'interesse strategico dell'UE garantire il mantenimento e lo sviluppo di capacità tecnologiche essenziali in materia di sicurezza informatica per tutelare il proprio mercato unico digitale, e  in particolare per proteggere reti e sistemi informativi critici e fornire servizi fondamentali di cibersicurezza.

(5)

Una grave perturbazione delle reti e dei sistemi informativi può ripercuotersi su singoli Stati membri e su tutta l'Unione. La sicurezza delle reti e dei sistemi informativi al massimo livello in tutto l'Unione è quindi essenziale per la società e l'economia . Al momento l'Unione dipende da fornitori di sicurezza informatica non europei. Tuttavia, è nell'interesse strategico dell'UE garantire il mantenimento e lo sviluppo di capacità e abilità tecnologiche essenziali in materia di sicurezza informatica ai fini della protezione dei dati e per proteggere reti e sistemi informativi critici delle aziende e  dei cittadini europei, comprese infrastrutture critiche per il funzionamento della società, quali sistemi di trasporto, sanitari e  bancari e il mercato unico digitale e  per fornire servizi fondamentali di cibersicurezza.

(6)

L'Unione vanta grandi competenze ed esperienza nello sviluppo industriale, nella tecnologia e nella ricerca sulla cibersicurezza, ma gli sforzi delle comunità dell'industria e della ricerca sono frammentati, disallineati e privi di una progettualità comune, il che frena la competitività in questo ambito. Tali sforzi e competenze devono essere aggregati, collegati in rete e impiegati in modo efficiente per consolidare e integrare le attuali capacità tecnologiche, industriali e di ricerca a livello nazionale e di Unione.

(6)

L'Unione vanta grandi competenze ed esperienza nello sviluppo industriale, nella tecnologia e nella ricerca sulla cibersicurezza, ma gli sforzi delle comunità dell'industria e della ricerca sono frammentati, disallineati e privi di una progettualità comune, il che frena la competitività e l'effettiva protezione di dati, reti e sistemi critici in questo ambito. Tali sforzi e competenze devono essere aggregati, collegati in rete e impiegati in modo efficiente per consolidare e integrare le attuali capacità e competenze tecnologiche, industriali e di ricerca a livello nazionale e di Unione. Considerando che il settore delle tecnologie dell'informazione e della comunicazione (TIC) si trova ad affrontare sfide importanti, quali il soddisfacimento della domanda di lavoratori qualificati, esso può trarre beneficio dalla rappresentanza della diversità della società in generale e dal raggiungimento di una rappresentanza equilibrata dei generi, della diversità etnica e della non discriminazione nei confronti delle persone disabili, nonché dal facilitare l'accesso alla conoscenza e alla formazione dei futuri esperti di cibersicurezza, compresa la loro istruzione in contesti non formali, ad esempio in progetti di software gratuito e open source, progetti civic tech, start-up e microimprese.

(6 bis)

Le piccole e medie imprese (PMI) sono attori fondamentali del settore della cibersicurezza dell'Unione, in grado di fornire soluzioni all'avanguardia grazie alla loro agilità. Tuttavia, le PMI che non sono specializzate nella cibersicurezza tendono anche a essere più vulnerabili agli incidenti informatici, dati gli investimenti e le conoscenze di alto livello necessari per realizzare soluzioni efficaci in materia di sicurezza informatica. È pertanto necessario che il Centro di competenza e la rete di competenza per la cibersicurezza (la «rete») forniscano un sostegno particolare alle PMI agevolando il loro accesso a conoscenze e formazione, affinché possano proteggersi in misura sufficiente e in modo da consentire a coloro che operano nel settore della cibersicurezza di contribuire alla leadership dell'Unione in questo campo.

(6 ter)

Le competenze esistono al di là del contesto industriale e della ricerca. I progetti non commerciali e pre-commerciali, denominati progetti «civic tech», utilizzano standard aperti, dati aperti e software gratuito e open source, nell'interesse della società e del bene pubblico. Essi contribuiscono alla resilienza, alla consapevolezza e allo sviluppo di competenze in materia di sicurezza informatica e svolgono un ruolo importante nella costruzione di capacità per l'industria e la ricerca in questo campo.

(6 quater)

Il termine «parti interessate», se utilizzato nel contesto del presente regolamento, fa riferimento, tra l'altro, all'industria, agli enti pubblici e ad altre entità che si occupano di questioni operative e tecniche nel settore della cibersicurezza, nonché alla società civile, tra cui i sindacati, le associazioni dei consumatori, la comunità di software gratuito e open source e la comunità accademica e di ricerca.

(8)

Il Centro di competenza dovrebbe costituire il principale strumento dell'Unione per concentrare gli investimenti nello sviluppo industriale, nella tecnologia e nella ricerca sulla cibersicurezza e per attuare progetti e iniziative pertinenti in collaborazione con la rete di competenza per la cibersicurezza . Oltre a fornire il sostegno finanziario legato alla sicurezza informatica e concesso dai programmi Europa digitale e Orizzonte Europa, il Centro dovrebbe essere aperto al Fondo europeo di sviluppo regionale e ad altri programmi, ove opportuno. Questo approccio dovrebbe contribuire alla creazione di sinergie e al coordinamento del sostegno finanziario connesso allo sviluppo industriale, all'innovazione, alla tecnologia e alla ricerca sulla cibersicurezza, evitando le duplicazioni.

(8)

Il Centro di competenza dovrebbe costituire il principale strumento dell'Unione per concentrare gli investimenti nello sviluppo industriale, nella tecnologia e nella ricerca sulla cibersicurezza e per attuare progetti e iniziative pertinenti in collaborazione con la rete. Oltre a fornire il sostegno finanziario legato alla sicurezza informatica e concesso dai programmi Europa digitale e Orizzonte Europa, nonché dal Fondo europeo per la difesa per gli interventi e i costi amministrativi legati al settore della difesa, il Centro dovrebbe essere aperto al Fondo europeo di sviluppo regionale e ad altri programmi, ove opportuno. Questo approccio dovrebbe contribuire alla creazione di sinergie e al coordinamento del sostegno finanziario connesso alle iniziative dell'Unione nel settore della ricerca e sviluppo, allo sviluppo industriale, all'innovazione, alla tecnologia e alla ricerca sulla cibersicurezza, evitando le duplicazioni.

(8 bis)

Il principio della «sicurezza fin dalla progettazione» stabilito dalla comunicazione congiunta della Commissione del 13 settembre 2017 dal titolo: «Resilienza, deterrenza e difesa: verso una cibersicurezza forte per l'UE», implica metodi all'avanguardia per aumentare la sicurezza in tutte le fasi del ciclo di vita di un prodotto o di un servizio, a partire da metodi di progettazione e sviluppo sicuri, che riducano la superficie di attacco e integrino opportuni test e controlli della sicurezza. Per l'intera durata del funzionamento e del mantenimento, i produttori o i fornitori devono rendere disponibili senza ritardi aggiornamenti che pongano rimedio alle nuove vulnerabilità o minacce, per la durata prevista della vita di un prodotto e oltre. A tal fine è possibile consentire a terzi di creare e fornire tali aggiornamenti. La fornitura di aggiornamenti è necessaria in particolare nel caso di infrastrutture, prodotti e processi comunemente utilizzati.

(8 ter)

In considerazione della portata della sfida in materia di cibersicurezza e degli investimenti effettuati nelle capacità e abilità di cibersicurezza in altre parti del mondo, l'Unione e i suoi Stati membri dovrebbero incrementare il proprio sostegno finanziario alla ricerca, sviluppo e applicazione in tale settore. Affinché si possano realizzare economie di scala e conseguire un livello di protezione comparabile in tutta l'Unione, gli Stati membri dovrebbero concentrare i propri sforzi in direzione di un quadro europeo, se del caso investendo nel meccanismo del Centro di competenza.

(8 quater)

Al fine di promuovere la competitività dell'Unione e i più elevati standard di cibersicurezza a livello internazionale, il centro di competenza e la comunità di competenza in materia di cibersicurezza dovrebbero mirare a promuovere lo scambio con la comunità internazionale per quanto concerne i prodotti e i processi in materia di cibersicurezza, gli standard e le norme tecniche. Le norme tecniche comprendono la creazione di implementazioni di riferimento pubblicate sulla base di licenze standard aperte. La sicurezza fin dalla progettazione delle implementazioni di riferimento, in particolare, è essenziale per la generale affidabilità e resilienza delle reti e dell'infrastruttura dei sistemi informativi comunemente utilizzate quali Internet e le infrastrutture critiche.

(9)

Considerando che gli obiettivi di questa iniziativa possono essere conseguiti al meglio se vi aderiscono tutti gli Stati membri o il maggior numero di Stati membri possibile, e al fine di incentivare la loro partecipazione, solo gli Stati membri che contribuiscono finanziariamente ai costi amministrativi e operativi del Centro di competenza dovrebbero detenere il diritto di voto.

(9)

Considerando che gli obiettivi di questa iniziativa possono essere conseguiti al meglio se vi contribuiscono tutti gli Stati membri o il maggior numero di Stati membri possibile, e al fine di incentivare la loro partecipazione, solo gli Stati membri che contribuiscono finanziariamente ai costi amministrativi e operativi del Centro di competenza dovrebbero detenere il diritto di voto.

(12)

I centri nazionali di coordinamento devono essere selezionati dagli Stati membri. Oltre alla capacità amministrativa necessaria, i centri devono disporre di competenze tecnologiche in materia di cibersicurezza o devono potervi accedere direttamente, in particolare in ambiti quali la crittografia, i servizi di sicurezza delle TIC, la rilevazione automatica di intrusioni, la sicurezza dei sistemi, delle reti, del software e delle applicazioni e gli aspetti umani e sociali della sicurezza e della privacy. Inoltre devono essere in grado di interagire e di coordinarsi efficacemente con l'industria, il settore pubblico, fra cui le autorità designate a norma della direttiva 2016/1148 del Parlamento europeo e del Consiglio (23) e la comunità della ricerca.

(12)

I centri nazionali di coordinamento devono essere selezionati dagli Stati membri. Oltre alla capacità amministrativa necessaria, i centri devono disporre di competenze tecnologiche in materia di cibersicurezza o devono potervi accedere direttamente, in particolare in ambiti quali la crittografia, i servizi di sicurezza delle TIC, la rilevazione automatica di intrusioni, la sicurezza dei sistemi, delle reti, del software e delle applicazioni e gli aspetti umani, sociali e  ambientali della sicurezza e della privacy. Inoltre devono essere in grado di interagire e di coordinarsi efficacemente con l'industria, il settore pubblico, fra cui le autorità designate a norma della direttiva 2016/1148 del Parlamento europeo e del Consiglio (23) e la comunità della ricerca , al fine di stabilire un dialogo continuo tra pubblico e privato sulla cibersicurezza . Inoltre, è opportuno sensibilizzare i cittadini sulla cibersicurezza mediante mezzi di comunicazione adeguati.

(14)

Tecnologie emergenti come l'intelligenza artificiale, l'Internet delle cose, il calcolo ad alte prestazioni (High-Performance Computing — HPC) e l'informatica quantistica, la blockchain e concetti come le identità digitali sicure creano nuove sfide per la cibersicurezza e offrono nel contempo alcune soluzioni . La valutazione e la convalida dell'affidabilità di sistemi TIC esistenti e futuri richiederanno la sperimentazione di soluzioni di sicurezza contro gli attacchi nei confronti di macchine HPC e quantistiche. Il Centro di competenza, la rete e la comunità delle competenze in materia di cibersicurezza dovrebbero contribuire al progresso e alla diffusione delle soluzioni più recenti nel campo della cibersicurezza. Contestualmente, il Centro di competenza e la rete dovrebbero essere al servizio di sviluppatori e operatori in settori critici quali i trasporti, l'energia, la sanità, le finanze, l'amministrazione, le telecomunicazioni, la manifattura, la difesa e lo spazio per aiutarli a risolvere i loro problemi di cibersicurezza.

(14)

Tecnologie emergenti come l'intelligenza artificiale, l'Internet delle cose, il calcolo ad alte prestazioni (High-Performance Computing — HPC) e l'informatica quantistica, e concetti come le identità digitali sicure creano nuove sfide per la cibersicurezza e offrono nel contempo prodotti e processi . La valutazione e la convalida dell'affidabilità di sistemi TIC esistenti e futuri richiederanno la sperimentazione di prodotti e processi di sicurezza contro gli attacchi nei confronti di macchine HPC e quantistiche. Il Centro di competenza, i poli europei dell'innovazione digitale e la rete e la comunità delle competenze in materia di cibersicurezza dovrebbero contribuire al progresso e alla diffusione dei prodotti e processi più recenti nel campo della cibersicurezza , compreso il duplice uso, in particolare quelli che aiutano le organizzazioni a sviluppare in modo costante capacità, a essere resilienti e ad avere una governance adeguata. Il centro di competenza e la rete dovrebbero stimolare l'intero ciclo dell'innovazione e contribuire a colmare la «valle della morte» dell'innovazione delle tecnologie e dei servizi di cibersicurezza . Contestualmente, il Centro di competenza , la rete e la comunità dovrebbero essere al servizio di sviluppatori e operatori in settori critici quali i trasporti, l'energia, la sanità, le finanze, l'amministrazione, le telecomunicazioni, la manifattura, la difesa e lo spazio per aiutarli a risolvere i loro problemi di cibersicurezza, e ricercare le varie motivazioni degli attacchi contro l'integrità delle reti e dei sistemi di informazione, come la criminalità, lo spionaggio industriale, la diffamazione e la disinformazione .

(14 bis)

Data la natura in rapido cambiamento delle minacce informatiche e della cibersicurezza, l'Unione deve potersi adattare velocemente e continuamente ai nuovi sviluppi del settore. Di conseguenza, il Centro di competenza, la rete e la comunità delle competenze in materia di cibersicurezza dovrebbero essere abbastanza flessibili da garantire la reattività necessaria. Dovrebbero facilitare soluzioni che aiutino gli enti a sviluppare costantemente capacità finalizzate a migliorare la loro resilienza e quella dell'Unione.

(14 ter)

Il Centro di competenza dovrebbe mirare a consolidare la leadership e le competenze dell'Unione in materia di cibersicurezza, e in tal modo a garantire i più elevati standard di sicurezza nell'Unione, assicurare la protezione dei dati, dei sistemi informatici, delle reti e delle infrastrutture critiche nell'Unione, creare nuovi posti di lavoro di alta qualità nel settore, impedire la fuga degli esperti di cibersicurezza europei verso paesi terzi e aggiungere un valore aggiunto europeo alle misure di cibersicurezza nazionali già esistenti.

(15)

Il Centro di competenza dovrebbe avere diverse funzioni chiave. In primo luogo, dovrebbe agevolare e contribuire a coordinare l'attività della rete europea di competenza per la cibersicurezza e promuovere la comunità delle competenze in materia di cibersicurezza. Il Centro dovrebbe guidare l'agenda tecnologica della cibersicurezza e facilitare l'accesso alle competenze raccolte nella rete e nella comunità delle competenze in materia di cibersicurezza. In secondo luogo, dovrebbe attuare le parti pertinenti dei programmi Europa digitale e Orizzonte Europa assegnando sovvenzioni, in genere in seguito ad un invito a presentare proposte. In terzo luogo, il Centro di competenza dovrebbe agevolare gli investimenti congiunti da parte dell'Unione, degli Stati membri e/o dell'industria.

(15)

Il Centro di competenza dovrebbe avere diverse funzioni chiave. In primo luogo, dovrebbe agevolare e contribuire a coordinare l'attività della rete e promuovere la comunità delle competenze in materia di cibersicurezza. Il Centro dovrebbe guidare l'agenda tecnologica della cibersicurezza e  concentrare, condividere e facilitare l'accesso alle competenze raccolte nella rete e nella comunità delle competenze in materia di cibersicurezza , nonché alle infrastrutture di cibersicurezza . In secondo luogo, dovrebbe attuare le parti pertinenti dei programmi Europa digitale e Orizzonte Europa assegnando sovvenzioni, in genere in seguito ad un invito a presentare proposte. In terzo luogo, il Centro di competenza dovrebbe agevolare gli investimenti congiunti da parte dell'Unione, degli Stati membri e/o dell'industria , nonché le opportunità di formazione e i programmi di sensibilizzazione comuni, in linea con il programma Europa digitale per i cittadini e le imprese, al fine di colmare il deficit di competenze. Dovrebbe prestare particolare attenzione a potenziare il ruolo delle PMI nel settore della cibersicurezza.

(16)

Il Centro di competenza dovrebbe stimolare e sostenere la cooperazione e il coordinamento delle attività della comunità delle competenze in materia di cibersicurezza, coinvolgendo un gruppo vasto, aperto e diversificato di operatori impegnati nella tecnologia della cibersicurezza. Tale comunità dovrebbe includere in particolare enti di ricerca, industrie sul versante dell'offerta e su quello della domanda, nonché il settore pubblico. La comunità delle competenze in materia di cibersicurezza dovrebbe fornire il proprio contributo alle attività e al piano di lavoro del Centro di competenza, oltre a beneficiare delle attività di creazione di comunità del Centro di competenza e della rete, ma non dovrebbe essere privilegiata in altro modo per quanto riguarda gli inviti a presentare proposte o gli inviti a presentare offerte.

(16)

Il Centro di competenza dovrebbe stimolare e sostenere la cooperazione strategica di lungo termine e il coordinamento delle attività della comunità delle competenze in materia di cibersicurezza, coinvolgendo un gruppo vasto, aperto , interdisciplinare e diversificato di operatori europei impegnati nella tecnologia della cibersicurezza. Tale comunità dovrebbe includere in particolare enti di ricerca, inclusi quelli che lavorano sull'etica della cibersicurezza, industrie sul versante dell'offerta e su quello della domanda , comprese le PMI , nonché il settore pubblico. La comunità delle competenze in materia di cibersicurezza dovrebbe fornire il proprio contributo alle attività e al piano di lavoro del Centro di competenza, oltre a beneficiare delle attività di creazione di comunità del Centro di competenza e della rete, ma non dovrebbe essere privilegiata in altro modo per quanto riguarda gli inviti a presentare proposte o gli inviti a presentare offerte.

(16 bis)

Il Centro di competenza dovrebbe fornire il supporto adeguato all'ENISA nei suoi compiti definiti dalla direttiva (UE) 2016/1148 («direttiva NIS») e dal regolamento (UE) 2019/XXX del Parlamento europeo e del Consiglio  (1 bis) («regolamento sulla cibersicurezza»). L'ENISA dovrebbe pertanto fornire importanti contributi al Centro di competenza nell'ambito del suo compito di definizione delle priorità di finanziamento.

(17)

Al fine di rispondere alle esigenze delle industrie tanto sul versante della domanda quanto su quello dell'offerta, per il compito del Centro di competenza, ossia fornire alle imprese conoscenze e assistenza tecnica in tema di cibersicurezza, occorrerebbe tenere conto sia dei prodotti e dei servizi delle TIC sia di tutti gli altri prodotti e  soluzioni industriali e tecnologici in cui deve essere integrata la cibersicurezza.

(17)

Al fine di rispondere alle esigenze del settore pubblico e delle industrie tanto sul versante della domanda quanto su quello dell'offerta, per il compito del Centro di competenza, ossia fornire al settore pubblico e alle imprese conoscenze e assistenza tecnica in tema di cibersicurezza, occorrerebbe tenere conto sia dei prodotti e dei servizi delle TIC sia di tutti gli altri prodotti e  processi industriali e tecnologici in cui deve essere integrata la cibersicurezza. In particolare, il Centro di competenza dovrebbe agevolare la diffusione di soluzioni dinamiche a livello di impresa incentrate sullo sviluppo di capacità di intere organizzazioni, compresi persone, processi e tecnologia, al fine di proteggere efficacemente le organizzazioni dalle minacce informatiche in costante cambiamento.

(17 bis)

Il Centro di competenza dovrebbe contribuire a un'ampia implementazione dei prodotti e delle soluzioni all'avanguardia nel settore della cibersicurezza, in particolare quelli riconosciuti a livello internazionale.

(18)

Considerando che il Centro di competenza e la rete dovrebbero cercare di realizzare sinergie tra la sfera civile e quella relativa alla difesa della cibersicurezza, i progetti finanziati dal programma Orizzonte europea saranno attuati in conformità del regolamento XXX [regolamento su Orizzonte Europa], secondo cui le attività di ricerca e innovazione svolte nell'ambito di tale programma riguardano le applicazioni civili.

(18)

Considerando che il Centro di competenza e la rete dovrebbero cercare di realizzare sinergie e coordinamento tra la sfera civile e quella relativa alla difesa della cibersicurezza, i progetti finanziati dal programma Orizzonte europea saranno attuati in conformità del regolamento XXX [regolamento su Orizzonte Europa], secondo cui le attività di ricerca e innovazione svolte nell'ambito di tale programma riguardano le applicazioni civili.

(19)

Ai fini di una collaborazione strutturata e sostenibile, il rapporto tra il Centro di competenza e i centri nazionali di coordinamento dovrebbe basarsi su un accordo contrattuale.

(19)

Ai fini di una collaborazione strutturata e sostenibile, il rapporto tra il Centro di competenza e i centri nazionali di coordinamento dovrebbe basarsi su un accordo contrattuale che dovrebbe essere armonizzato a livello di Unione .

(20)

Dovrebbero essere adottate disposizioni opportune per garantire la responsabilità e la trasparenza del Centro di competenza.

(20)

Dovrebbero essere adottate disposizioni opportune per garantire la responsabilità e la trasparenza del Centro di competenza e delle imprese che ricevono finanziamenti .

(20 bis)

L'attuazione dei progetti di implementazione, in particolare di quelli collegati alle infrastrutture e alle capacità utilizzate a livello europeo o in appalti congiunti, può essere suddivisa in diverse fasi di realizzazione, quali gare di appalto separate per l'architettura di hardware e software, la loro produzione, il loro funzionamento e la loro manutenzione, mentre ogni impresa potrebbe partecipare solo a una delle fasi e si potrebbe stabilire che i beneficiari in una o più di tali fasi soddisfino determinate condizioni in termini di titolarità o controllo europei.

(20 ter)

Poiché l'ENISA è l'agenzia dell'Unione preposta alla cibersicurezza, il Centro di competenza dovrebbe cercare le maggiori sinergie possibili con essa e il consiglio di direzione dovrebbe consultare l'ENISA in seguito alla sua esperienza riguardante tutte le questioni in materia di cibersicurezza, in particolare per quanto concerne i progetti correlati alla ricerca.

(20 quater)

Nel processo di nomina del rappresentante al consiglio di direzione, il Parlamento europeo dovrebbe includere informazioni dettagliate sul mandato, compreso l'obbligo di riferire regolarmente al Parlamento europeo o alle commissioni competenti.

(21)

Alla luce delle rispettive competenze in tema di cibersicurezza, il Centro comune di ricerca della Commissione e l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) dovrebbero svolgere un ruolo attivo nella comunità delle competenze in materia di cibersicurezza e nel consiglio consultivo industriale e scientifico.

(21)

Alla luce delle rispettive competenze in tema di cibersicurezza e per garantire le maggiori sinergie possibili , il Centro comune di ricerca della Commissione e l'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) dovrebbero svolgere un ruolo attivo nella comunità delle competenze in materia di cibersicurezza e nel consiglio consultivo industriale e scientifico. L'ENISA dovrebbe continuare a conseguire i propri obiettivi strategici, in particolare nel settore della certificazione della cibersicurezza quale definita nel regolamento (UE) 2019/XXX [regolamento sulla cibersicurezza]  (1 bis) , mentre il Centro di competenza dovrebbe fungere da organo operativo in materia di cibersicurezza.

(24)

Il consiglio di direzione del Centro di competenza, composto dagli Stati membri e dalla Commissione, dovrebbe definire l'orientamento generale delle operazioni del Centro di competenza e garantire che quest'ultimo svolga i propri compiti conformemente al presente regolamento. Il consiglio di direzione dovrebbe godere dei poteri necessari per formare il bilancio, verificarne l'esecuzione, adottare l'opportuna regolamentazione finanziaria, stabilire procedure operative trasparenti per l'iter decisionale del Centro di competenza, adottare il piano di lavoro e il piano strategico pluriennale del Centro di competenza nel rispetto delle priorità di conseguimento dei suoi obiettivi e delle sue funzioni, adottare il suo regolamento interno, nominare il direttore esecutivo e decidere in merito all'estensione del suo mandato e in merito alla sua conclusione.

(24)

Il consiglio di direzione del Centro di competenza, composto dagli Stati membri e dalla Commissione, dovrebbe definire l'orientamento generale delle operazioni del Centro di competenza e garantire che quest'ultimo svolga i propri compiti conformemente al presente regolamento. Il consiglio di direzione dovrebbe godere dei poteri necessari per formare il bilancio, verificarne l'esecuzione, adottare l'opportuna regolamentazione finanziaria, stabilire procedure operative trasparenti per l'iter decisionale del Centro di competenza, adottare il piano di lavoro e il piano strategico pluriennale del Centro di competenza nel rispetto delle priorità di conseguimento dei suoi obiettivi e delle sue funzioni, adottare il suo regolamento interno, nominare il direttore esecutivo e decidere in merito all'estensione del suo mandato e in merito alla sua conclusione. Al fine di trarre beneficio dalle sinergie, l'ENISA dovrebbe rivestire il ruolo di osservatore permanente all'interno del consiglio di direzione e contribuire all'attività del Centro di competenza, anche offrendo consultazioni sul piano strategico pluriennale, sul piano di lavoro e sull'elenco di azioni selezionate per il finanziamento.

(24 bis)

Il consiglio di direzione dovrebbe mirare a promuove il Centro di competenza a livello globale, in modo da renderlo più attrattivo e da farne un organismo di eccellenza a livello mondiale nel settore della cibersicurezza.

(25)

Per garantire il funzionamento corretto ed efficace del Centro di competenza, la Commissione e gli Stati membri dovrebbero assicurare che le persone da nominare nel consiglio di direzione dispongano di competenze ed esperienze professionali adeguate nelle aree funzionali. La Commissione e gli Stati membri dovrebbero inoltre sforzarsi di limitare l'avvicendamento dei loro rispettivi rappresentanti nel consiglio di direzione, per assicurare la continuità dei lavori.

(25)

Per garantire il funzionamento corretto ed efficace del Centro di competenza, la Commissione e gli Stati membri dovrebbero assicurare che le persone da nominare nel consiglio di direzione dispongano di competenze ed esperienze professionali adeguate nelle aree funzionali. La Commissione e gli Stati membri dovrebbero inoltre sforzarsi di limitare l'avvicendamento dei loro rispettivi rappresentanti nel consiglio di direzione, per assicurare la continuità dei lavori e mirare a conseguire l'equilibrio di genere .

(25 bis)

La ponderazione del voto della Commissione nelle decisioni del consiglio di direzione dovrebbe essere conforme al contributo del bilancio dell'Unione al Centro di competenza, in base alla competenza della Commissione di garantire un'adeguata gestione del bilancio dell'Unione nell'interesse dell'Unione, come stabilito nei trattati.

(26)

Il corretto funzionamento del Centro di competenza esige che il direttore esecutivo sia nominato in base ai meriti e alla comprovata esperienza amministrativa e manageriale, nonché alla competenza e all'esperienza acquisita in materia di cibersicurezza, e che le sue funzioni siano svolte in completa indipendenza.

(26)

Il corretto funzionamento del Centro di competenza esige che il direttore esecutivo sia nominato in modo trasparente in base ai meriti e alla comprovata esperienza amministrativa e manageriale, nonché alla competenza e all'esperienza acquisita in materia di cibersicurezza, e che le sue funzioni siano svolte in completa indipendenza.

(27)

È opportuno che il Centro di competenza disponga di un consiglio consultivo industriale e scientifico come organo consultivo per garantire un dialogo periodico con il settore privato, le organizzazioni dei consumatori e gli altri soggetti interessati. Il consiglio consultivo industriale e scientifico dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all'attenzione del consiglio di direzione del Centro di competenza. La composizione del consiglio consultivo industriale e scientifico e i compiti ad esso assegnati, quali la consulenza in merito al piano di lavoro, dovrebbero garantire un'adeguata rappresentanza dei portatori di interessi nell'ambito del lavoro svolto dal Centro di competenza.

(27)

È opportuno che il Centro di competenza disponga di un consiglio consultivo industriale e scientifico come organo consultivo per garantire un dialogo periodico e adeguatamente trasparente con il settore privato, le organizzazioni dei consumatori e gli altri soggetti interessati . Dovrebbe inoltre fornire pareri indipendenti al direttore esecutivo e al consiglio di direzione in tema di implementazione e appalti . Il consiglio consultivo industriale e scientifico dovrebbe concentrarsi sulle questioni rilevanti per i portatori di interessi e sottoporle all'attenzione del consiglio di direzione del Centro di competenza. La composizione del consiglio consultivo industriale e scientifico e i compiti ad esso assegnati, quali la consulenza in merito al piano di lavoro, dovrebbero garantire un'adeguata rappresentanza dei portatori di interessi nell'ambito del lavoro svolto dal Centro di competenza. A ciascuna categoria dei portatori di interessi del settore industriale dovrebbe essere assegnato un numero minimo di seggi, con particolare attenzione alla rappresentanza delle PMI.

(28)

Il Centro di competenza dovrebbe beneficiare della particolare esperienza e dell'ampia e significativa rappresentanza dei portatori di interessi, acquisite attraverso il partenariato pubblico-privato contrattuale sulla cibersicurezza nel corso di Orizzonte 2020, tramite il suo consiglio consultivo industriale e scientifico.

(28)

Il Centro di competenza e le sue attività dovrebbero beneficiare della particolare esperienza e dell'ampia e significativa rappresentanza dei portatori di interessi, acquisite attraverso il partenariato pubblico-privato contrattuale sulla cibersicurezza nel corso di Orizzonte 2020 e dei progetti pilota previsti da Orizzonte 2020 sulla rete di competenza per la cibersicurezza , tramite il suo consiglio consultivo industriale e scientifico. Ove del caso, il Centro di competenza e il consiglio consultivo industriale e scientifico dovrebbero valutare l'opportunità di riprodurre le strutture esistenti, ad esempio come gruppi di lavoro.

(28 bis)

Il Centro di competenza e i suoi organi dovrebbero avvalersi dell'esperienza e dei contributi delle iniziative passate e presenti, quali il partenariato pubblico-privato contrattuale sulla cibersicurezza, l'Organizzazione europea per la cibersicurezza (ECSO), il progetto pilota e l'azione preparatoria sulle verifiche di software liberi e aperti (EU FOSSA).

(29)

Il Centro di competenza dovrebbe disporre di norme relative alla prevenzione e alla gestione dei conflitti di interessi. Dovrebbe inoltre applicare le disposizioni pertinenti dell'Unione in materia di accesso del pubblico ai documenti stabilite dal regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (24). Il trattamento dei dati personali da parte del Centro di competenza sarà soggetto al regolamento (UE) n. XXX/2018 del Parlamento europeo e del Consiglio. È opportuno che il Centro di competenza si conformi alle disposizioni applicabili alle istituzioni dell'Unione e alla legislazione nazionale in materia di gestione delle informazioni, in particolare delle informazioni sensibili non classificate e delle informazioni classificate dell'UE.

(29)

Il Centro di competenza dovrebbe disporre di norme relative alla prevenzione , all'identificazione e alla risoluzione dei conflitti di interessi per i membri, gli organismi e il personale che fanno parte del consiglio di direzione, del consiglio consultivo industriale e scientifico e della comunità. Gli Stati membri dovrebbero garantire la prevenzione, l'identificazione e la risoluzione dei conflitti di interessi per i centri nazionali di coordinamento . Dovrebbe inoltre applicare le disposizioni pertinenti dell'Unione in materia di accesso del pubblico ai documenti stabilite dal regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio (24). Il trattamento dei dati personali da parte del Centro di competenza sarà soggetto al regolamento (UE) n. XXX/2018 del Parlamento europeo e del Consiglio. È opportuno che il Centro di competenza si conformi alle disposizioni applicabili alle istituzioni dell'Unione e alla legislazione nazionale in materia di gestione delle informazioni, in particolare delle informazioni sensibili non classificate e delle informazioni classificate dell'UE.

(31)

Il Centro di competenza dovrebbe operare in modo aperto e trasparente fornendo tempestivamente tutte le informazioni pertinenti e promuovendo le proprie attività, incluse le attività di informazione e divulgazione destinate al pubblico. Il regolamento interno degli organi del Centro di competenza dovrebbe essere reso pubblico.

(31)

Il Centro di competenza dovrebbe operare in modo aperto e trasparente fornendo tempestivamente e in maniera esaustiva le informazioni e promuovendo le proprie attività, incluse le attività di informazione e divulgazione destinate al pubblico . Dovrebbe fornire al pubblico e a qualsiasi parte interessata un elenco dei membri della comunità delle competenze in materia di cibersicurezza e rendere pubbliche le dichiarazioni di interessi rese dagli stessi in conformità dell'articolo 42. Il regolamento interno degli organi del Centro di competenza dovrebbe essere reso pubblico.

(31 bis)

È opportuno che il Centro di competenza e i centri nazionali di coordinamento monitorino e osservino il più possibile le norme internazionali, per incoraggiare lo sviluppo delle buone pratiche a livello globale.

(33 bis)

Il potere di adottare atti delegati a norma dell'articolo 290 del trattato sul funzionamento dell'Unione europea dovrebbe essere delegato alla Commissione in relazione alla definizione degli elementi degli accordi contrattuali tra il Centro di competenza e i centri nazionali di coordinamento, e in relazione alla definizione di criteri per la valutazione e l'accreditamento degli enti in qualità di membri della comunità delle competenze in materia di cibersicurezza. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016  (1 bis) . In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione degli atti delegati.

(34)

Poiché gli obiettivi del presente regolamento, vale a dire mantenere e sviluppare le capacità tecnologiche e industriali dell'Unione in materia di cibersicurezza, aumentare la competitività del settore della sicurezza informatica dell'UE e trasformare la cibersicurezza in un vantaggio competitivo per altri settori dell'Unione, non possono essere conseguiti in misura sufficiente dagli Stati membri a causa della dispersione delle limitate risorse e delle dimensioni dell'investimento necessario, ma possono essere conseguiti meglio a livello di Unione a motivo della necessità di evitare inutili sovrapposizioni, contribuendo al raggiungimento di una massa critica e garantendo l'utilizzo ottimale dei finanziamenti pubblici, l'Unione può intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,

(34)

Gli obiettivi del presente regolamento, vale a dire rafforzare la competitività e le capacità dell'Unione in materia di cibersicurezza, ridurre la sua dipendenza digitale aumentando l'utilizzo di prodotti, processi e servizi di cibersicurezza sviluppati all'interno dell'Unione, mantenere e sviluppare le capacità tecnologiche e industriali dell'Unione in materia di cibersicurezza, aumentare la competitività del settore della sicurezza informatica dell'UE e trasformare la cibersicurezza in un vantaggio competitivo per altri settori dell'Unione, non possono essere conseguiti in misura sufficiente dagli Stati membri a causa della dispersione delle limitate risorse e delle dimensioni dell'investimento necessario, ma possono essere conseguiti meglio a livello di Unione a motivo della necessità di evitare inutili sovrapposizioni, contribuendo al raggiungimento di una massa critica e garantendo l'utilizzo ottimale dei finanziamenti pubblici . Inoltre, solamente azioni a livello di Unione possono assicurare il massimo livello di cibersicurezza in tutti gli Stati membri e pertanto colmare le lacune in materia di sicurezza esistenti in alcuni Stati membri che creano carenze di sicurezza per tutta l'Unione. L'Unione può pertanto intervenire in base al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo,

1)

«cibersicurezza»: protezione della rete e  dei sistemi informativi, dei loro utenti e  di altre persone dalle minacce informatiche;

1)

«cibersicurezza»: l'insieme delle attività necessarie per proteggere la rete e  i sistemi informativi, i loro utenti e  le persone interessate dalle minacce informatiche;

1 bis)

2)

«prodotti e  soluzioni per la cibersicurezza»: prodotti, servizi o processi TIC con la finalità specifica di proteggere la rete e i sistemi informativi, i loro utenti e  le persone interessate dalle minacce informatiche;

2)

«prodotti e  processi per la cibersicurezza»: prodotti, servizi o processi TIC commerciali e non commerciali con la finalità specifica di proteggere i dati, la rete e i sistemi informativi, i loro utenti e  altre persone dalle minacce informatiche;

2 bis)

3)

«autorità pubblica»: ogni governo o altra amministrazione pubblica, compresi gli organi consultivi pubblici a livello nazionale, regionale o locale, oppure ogni persona fisica o giuridica che svolge funzioni pubbliche ai sensi della legislazione nazionale, compresi incarichi specifici;

3)

«autorità pubblica»: ogni governo o altra amministrazione pubblica, compresi gli organi consultivi pubblici a livello nazionale, regionale o locale, oppure ogni persona fisica o giuridica che svolge funzioni pubbliche ai sensi della legislazione nazionale e dell'Unione , compresi incarichi specifici;

4)

«Stato membro partecipante» : Stato membro che contribuisce finanziariamente di propria volontà ai costi amministrativi e operativi del Centro di competenza.

4)

«Stato membro contribuente» : Stato membro che contribuisce finanziariamente di propria volontà ai costi amministrativi e operativi del Centro di competenza.

4 bis)

«poli europei dell'innovazione digitale»: soggetto giuridico quale definito a norma del regolamento (UE) 2019/XXX del Parlamento europeo e del Consiglio  (1 bis) .

a)

mantenere e sviluppare le capacità tecnologiche e industriali in materia di cibersicurezza necessarie a tutelare il proprio mercato unico digitale;

a)

sviluppare le capacità e le abilità tecnologiche, industriali , sociali, accademiche e  di ricerca in materia di cibersicurezza necessarie a tutelare il proprio mercato unico digitale e rafforzare la protezione dei dati dei cittadini, delle imprese e delle pubbliche amministrazioni dell'Unione ;

a bis)

accrescere la resilienza e l'affidabilità delle infrastrutture della rete e dei sistemi informativi, comprese le infrastrutture critiche, di Internet e degli hardware e software comunemente utilizzati nell'Unione;

b)

aumentare la competitività nel settore della sicurezza informatica dell'UE e trasformare la cibersicurezza in un vantaggio competitivo per altri settori dell'Unione.

b bis)

sensibilizzare in merito alle minacce alla cibersicurezza, alle relative ripercussioni e preoccupazioni sociali ed etiche e ridurre il divario di competenze in materia di cibersicurezza nell'Unione;

b ter)

sviluppare la leadership dell'Unione nella cibersicurezza e garantire i più elevati standard di cibersicurezza in tutta l'Unione;

b quater)

rafforzare la competitività e le capacità dell'Unione, riducendone la dipendenza digitale attraverso una maggiore diffusione di prodotti, processi e servizi di cibersicurezza sviluppati all'interno dell'Unione;

b quinquies)

rafforzare la fiducia dei cittadini, dei consumatori e delle imprese nel mondo digitale e pertanto contribuire agli obiettivi della strategia per il mercato unico digitale;

1.

agevolare e contribuire a coordinare l'attività della rete dei centri nazionali di coordinamento («la rete») di cui all'articolo 6 e  della comunità delle competenze in materia di cibersicurezza di cui all'articolo 8;

1.

creare, gestire e agevolare la rete di cui all'articolo 6 e  la comunità di cui all'articolo 8;

2.

contribuire all'attuazione della parte relativa alla cibersicurezza del programma Europa digitale, istituito dal regolamento n. XXX (26) e, in particolare, delle azioni di cui all'articolo 6 del regolamento (UE) n. XXX [programma Europa digitale] e  del programma Orizzonte Europa, istituito dal regolamento n. XXX (27), in particolare dal pilastro II, sezione 2.2.6, dell'allegato I della decisione n. XXX relativa all'istituzione del programma specifico di attuazione di Orizzonte Europa — il programma quadro di ricerca e innovazione [n. di riferimento del programma specifico] e di altri programmi dell'UE [ove previsto dagli atti giuridici dell'Unione];

2.

coordinare l'attuazione della parte relativa alla cibersicurezza del programma Europa digitale, istituito dal regolamento n. XXX (26) e, in particolare, le azioni di cui all'articolo 6 del regolamento (UE) n. XXX [programma Europa digitale] e  il programma Orizzonte Europa, istituito dal regolamento n. XXX (27), in particolare dal pilastro II, sezione 2.2.6, dell'allegato I della decisione n. XXX relativa all'istituzione del programma specifico di attuazione di Orizzonte Europa — il programma quadro di ricerca e innovazione [n. di riferimento del programma specifico] e di altri programmi dell'UE [ove previsto dagli atti giuridici dell'Unione] e contribuire all'attuazione delle azioni finanziate dal Fondo europeo per la difesa istituito dal regolamento (UE) 2019/XXX ;

3.

rafforzare le capacità, le conoscenze e le infrastrutture in materia di cibersicurezza al servizio delle imprese, del settore pubblico e delle comunità della ricerca, attraverso lo svolgimento delle seguenti funzioni:

3.

rafforzare la resilienza, le capacità, le conoscenze e le infrastrutture in materia di cibersicurezza al servizio della società, delle imprese, del settore pubblico e delle comunità della ricerca, attraverso lo svolgimento delle seguenti funzioni , tenendo conto delle infrastrutture industriali e di ricerca d'avanguardia e dei relativi servizi :

a)

tenendo conto delle infrastrutture industriali e  di ricerca d'avanguardia e dei relativi servizi nell'ambito della cibersicurezza, acquisire e potenziare tali infrastrutture e servizi e renderli funzionanti e disponibili per un'ampia gamma di utilizzatori del settore in tutta l'Unione, comprese le PMI, il settore pubblico, la comunità scientifica e quella della ricerca;

a)

acquisire, potenziare e  rendere funzionanti e disponibili le strutture del Centro di competenza e  i servizi connessi in modo equo, aperto e  trasparente per un'ampia gamma di utilizzatori del settore in tutta l'Unione, in particolare le PMI, il settore pubblico, la comunità scientifica e quella della ricerca;

b)

tenendo conto delle infrastrutture industriali e di ricerca d'avanguardia e dei relativi servizi nell'ambito della cibersicurezza, fornire assistenza ad altri enti, anche a livello finanziario, per acquisire e potenziare tali infrastrutture e servizi e renderli funzionanti e disponibili per un'ampia gamma di utilizzatori del settore in tutta l'Unione, comprese le PMI, il settore pubblico, la comunità scientifica e quella della ricerca;

b)

fornire assistenza ad altri enti, anche a livello finanziario, per acquisire e potenziare tali strutture e servizi e renderli funzionanti e disponibili per un'ampia gamma di utilizzatori del settore in tutta l'Unione, in particolare le PMI, il settore pubblico, la comunità scientifica e quella della ricerca;

b bis)

fornire sostegno finanziario e assistenza tecnica nel settore della cibersicurezza alle start-up, alle PMI, alle microimprese, alle associazioni, ai singoli esperti e ai progetti civic tech;

b ter)

finanziare verifiche e i relativi miglioramenti dei codici di sicurezza del software per i progetti di software gratuiti e open source, comunemente utilizzati per le infrastrutture, i prodotti e i processi;

c)

divulgare conoscenze e fornire assistenza tecnica in tema di cibersicurezza all'industria e alle autorità pubbliche, in particolare promuovendo azioni volte ad agevolare l'accesso alle competenze disponibili presso la rete e la comunità delle competenze in materia di cibersicurezza;

c)

facilitare la condivisione delle conoscenze e fornire assistenza tecnica in tema di cibersicurezza , tra gli altri, alla società civile, all'industria, alle autorità pubbliche, alla comunità accademica e della ricerca, in particolare promuovendo azioni volte ad agevolare l'accesso alle competenze disponibili presso la rete e la comunità delle competenze in materia di cibersicurezza con l'obiettivo di migliorare la resilienza informatica all'interno dell'Unione ;

c bis)

promuovere il principio della «sicurezza fin dalla progettazione» nel processo di sviluppo, mantenimento, gestione e aggiornamento di infrastrutture, prodotti e servizi, sostenendo in particolare metodi di sviluppo sicuro all'avanguardia e opportuni test e controlli della sicurezza, compreso l'impegno del produttore o del fornitore di rendere disponibili aggiornamenti che pongano rimedio alle nuove vulnerabilità o minacce senza ritardi, anche oltre la durata prevista della vita di un prodotto, o di consentire a terzi di creare e fornire tali aggiornamenti;

c ter)

fornire assistenza nell'ambito delle politiche a favore dei contributi del codice sorgente e il loro sviluppo, in particolare per le autorità pubbliche in cui sono utilizzati progetti di software gratuiti e open source;

c quater)

riunire i portatori di interessi di industria, sindacati, mondo accademico, organizzazioni di ricerca ed enti pubblici al fine di garantire una cooperazione di lungo termine nello sviluppo e nell'attuazione di prodotti e processi per la cibersicurezza, comprese la messa in comune e la condivisione di risorse e informazioni relative a tali prodotti e processi, ove del caso;

4.

contribuire a un'ampia implementazione dei prodotti e  delle soluzioni all'avanguardia per la sicurezza informatica in tutti i settori economici , svolgendo le seguenti funzioni:

4.

contribuire a un'ampia implementazione dei prodotti e  processi sostenibili e all'avanguardia per la sicurezza informatica in tutta l'Unione , svolgendo le seguenti funzioni:

a)

stimolare la ricerca e lo sviluppo nell'ambito della cibersicurezza e la diffusione di prodotti e  soluzioni per la sicurezza informatica dell'Unione presso le autorità pubbliche e  i settori utilizzatori ;

a)

stimolare la ricerca e lo sviluppo nell'ambito della cibersicurezza e la diffusione di prodotti e  processi olistici per la sicurezza informatica lungo l'intero ciclo dell'innovazione presso , tra l'altro, le autorità pubbliche , l'industria e  il mercato ;

b)

assistere le autorità pubbliche, le industrie sul versante della domanda e altri utilizzatori nell'adozione e  nell'integrazione delle soluzioni più recenti nel campo della sicurezza informatica;

b)

assistere le autorità pubbliche, le industrie sul versante della domanda e altri utilizzatori nell'incrementare la resilienza attraverso l'adozione e  l'integrazione di prodotti e processi all'avanguardia per la sicurezza informatica;

c)

sostenere in particolare le autorità pubbliche nell'organizzazione dei loro appalti pubblici o condurre appalti per l'acquisizione di prodotti e  soluzioni all'avanguardia per la sicurezza informatica a nome di autorità pubbliche;

c)

sostenere in particolare le autorità pubbliche nell'organizzazione dei loro appalti pubblici o condurre appalti per l'acquisizione di prodotti e  processi all'avanguardia per la sicurezza informatica a nome di autorità pubbliche , anche fornendo sostegno agli appalti pubblici, per aumentare la sicurezza e i benefici degli investimenti pubblici ;

d)

fornire assistenza tecnica e finanziaria alle start-up e alle PMI nel settore della cibersicurezza affinché accedano a mercati potenziali e  attraggano investimenti;

d)

fornire assistenza tecnica e finanziaria alle start-up e alle PMI nel settore della cibersicurezza , alle microimprese, agli esperti individuali, ai progetti di software libero e open source di uso comune e ai progetti di civic tech, per migliorare le competenze in materia di sicurezza informatica, accedere a mercati potenziali e  opportunità di sviluppo e attrarre investimenti;

5.

migliorare la comprensione della sicurezza informatica e contribuire a ridurre i divari di competenze presenti nell'Unione in merito a tale settore operando come segue:

5.

migliorare la comprensione della sicurezza informatica, contribuire a ridurre i divari di competenze e innalzare il livello delle competenze presenti nell'Unione in merito a tale settore operando come segue:

-a)

a)

promuovendo l'ulteriore sviluppo delle competenze in materia di cibersicurezza, se del caso insieme ad agenzie e organi competenti dell'UE, tra cui l'ENISA;

a)

promuovendo l'ulteriore sviluppo , la messa in comune e la condivisione delle competenze e delle capacità in materia di cibersicurezza a tutti i livelli di istruzione pertinenti, sostenendo l'obiettivo di raggiungere l'equilibrio di genere, facilitando un livello elevato comune di conoscenze in materia di cibersicurezza e contribuendo alla resilienza degli utenti e delle infrastrutture in tutta l'Unione in cooperazione con la rete e , se del caso , allineandosi alle agenzie e  agli organi competenti dell'UE, tra cui l'ENISA;

a)

la fornitura di assistenza finanziaria a favore delle attività di ricerca nel settore della cibersicurezza seguendo un'agenda strategica pluriennale comune, industriale, tecnologica e di ricerca che sia costantemente sottoposta a valutazioni e a miglioramenti;

a)

la fornitura di assistenza finanziaria a favore delle attività di ricerca nel settore della cibersicurezza seguendo un piano strategico pluriennale comune, industriale, tecnologico e di ricerca , di cui all'articolo 13, che sia costantemente sottoposto a valutazioni e a miglioramenti;

b)

il sostegno alla ricerca su vasta scala e  a progetti dimostrativi riguardanti le capacità tecnologiche di prossima generazione in materia di cibersicurezza, in collaborazione con l'industria e  con la rete;

b)

il sostegno alla ricerca su vasta scala e a progetti dimostrativi riguardanti le capacità tecnologiche di prossima generazione in materia di cibersicurezza, in collaborazione con l'industria , la comunità accademica e della ricerca, il settore pubblico e le autorità, comprese la rete e la comunità ;

b bis)

la garanzia del rispetto dei diritti fondamentali e della condotta etica nei progetti di ricerca in materia di cibersicurezza sostenuti dal Centro di competenza;

b ter)

il monitoraggio delle relazioni sulle vulnerabilità individuate dalla comunità e una divulgazione delle vulnerabilità nonché uno sviluppo di patch, correzioni e soluzioni e relativa distribuzione più agevoli;

b quater)

il monitoraggio dei risultati della ricerca in materia di algoritmi di autoapprendimento utilizzati per le attività informatiche dolose, in collaborazione con l'ENISA e a sostegno dell'attuazione della direttiva (UE) 2016/1148;

b quinquies)

il sostegno alla ricerca nel settore della criminalità informatica;

b sexies)

il sostegno alla ricerca e allo sviluppo di prodotti e processi che possono essere liberamente studiati, condivisi e sviluppati ulteriormente, in particolare nel settore di hardware e software verificati e verificabili, in stretta cooperazione con l'industria, la rete e la comunità;

c)

il sostegno alla ricerca e all'innovazione per la standardizzazione della tecnologia della cibersicurezza;

c)

il sostegno alla ricerca e all'innovazione per la standardizzazione formale e non formale e la certificazione della tecnologia della cibersicurezza , facendo riferimento ai lavori esistenti e, ove opportuno, in stretta cooperazione con le organizzazioni europee di normazione, gli enti di certificazione e l'ENISA ;

c bis)

un sostegno particolare alle PMI facilitando il loro accesso a conoscenze e formazione tramite un accesso su misura ai risultati della ricerca e dello sviluppo, rafforzato dal Centro di competenza e dalla rete al fine di aumentare la competitività;

7.

potenziare la cooperazione tra la sfera civile e quella relativa alla difesa per quanto concerne tecnologie e applicazioni a duplice uso nel campo della cibersicurezza, operando come segue :

7.

potenziare la cooperazione tra la sfera civile e quella relativa alla difesa per quanto concerne tecnologie e applicazioni a duplice uso nel campo della cibersicurezza , effettuando le seguenti operazioni, che devono consistere nella tecnologia, nelle applicazioni e nei servizi di difesa informatica reattiva e difensiva:

8.

potenziare le sinergie tra le dimensioni civile e di difesa della cibersicurezza in relazione al Fondo europeo per la difesa, operando come segue:

8.

potenziare le sinergie tra le dimensioni civile e di difesa della cibersicurezza in relazione al Fondo europeo per la difesa , effettuando le seguenti operazioni, che devono consistere nella tecnologia, nelle applicazioni e nei servizi di difesa informatica reattiva e difensiva:

b bis)

assistendo la Commissione e fornendole consulenza per quanto concerne l'attuazione del regolamento (UE) 2019/XXX [rifusione del regolamento (CE) n. 428/2009 proposta dal COM(2016)0616].

8 bis.

a)

norme per disciplinare la gestione di un'infrastruttura o una capacità, tra cui, ove opportuno, l'affidamento di tale gestione a un soggetto ospitante sulla base di criteri definiti dal Centro di competenza;

a)

norme specifiche per disciplinare la gestione di un'infrastruttura o una capacità, tra cui, ove opportuno, l'affidamento di tale gestione a un soggetto ospitante sulla base di criteri definiti dal Centro di competenza;

b bis)

norme specifiche per disciplinare le diverse fasi dell'attuazione;

b ter)

che, per effetto del contributo dell'Unione, l'accesso sia il più aperto possibile e limitato nella misura del necessario e che sia possibile il riutilizzo;

a)

sostenere il Centro di competenza nel conseguimento dei suoi obiettivi e, in particolare, nel coordinamento della comunità delle competenze in materia di cibersicurezza;

a)

sostenere il Centro di competenza nel conseguimento dei suoi obiettivi e, in particolare, nell'istituzione e nel coordinamento della comunità delle competenze in materia di cibersicurezza;

b)

agevolare la partecipazione ai progetti transfrontalieri dell'industria e di altri attori a livello di Stati membri;

b)

promuovere, incoraggiare e agevolare la partecipazione ai progetti transfrontalieri della società civile, dell'industria , in particolare delle start-up e delle PMI, della comunità accademica e della ricerca, e di altri attori a livello di Stati membri;

b bis)

in cooperazione con altri organismi con compiti analoghi, fungere da sportello unico per i prodotti e i processi di cibersicurezza finanziati da altri programmi dell'Unione, quali InvestEU o il programma per il mercato unico, in particolare per le PMI;

c)

contribuire, assieme al Centro di competenza, all'individuazione e al superamento di problemi industriali specifici per settore in materia di cibersicurezza;

c)

contribuire, assieme al Centro di competenza, all'individuazione e al superamento di problemi specifici per settore in materia di cibersicurezza;

c bis)

cooperare strettamente con le organizzazioni nazionali di normazione per promuovere l'adozione delle norme esistenti e coinvolgere tutti i pertinenti portatori di interessi, in particolare le PMI, nell'elaborazione di nuove norme;

e)

cercare di creare sinergie con attività pertinenti a livello nazionale e regionale;

e)

cercare di creare sinergie con attività pertinenti a livello nazionale, regionale e  locale ;

f bis)

promuovere e diffondere piani formativi minimi comuni in materia di cibersicurezza, in cooperazione con gli organismi competenti negli Stati membri;

g)

promuovere e divulgare i risultati dell'attività della rete, della comunità delle competenze in materia di cibersicurezza e del Centro di competenza a livello nazionale o regionale;

g)

promuovere e divulgare i risultati dell'attività della rete, della comunità delle competenze in materia di cibersicurezza e del Centro di competenza a livello nazionale, regionale o  locale ;

h)

valutare le richieste di adesione alla comunità delle competenze in materia di cibersicurezza da parte di enti situati nello stesso Stato membro del Centro di coordinamento.

h)

valutare le richieste di adesione alla comunità delle competenze in materia di cibersicurezza da parte di enti e individui situati nello stesso Stato membro del Centro di coordinamento.

a)

ricerca;

a)

attività accademica o ricerca;

c bis)

etica;

c ter)

normazione e specifiche formali e tecniche.

5 bis)

a)

adotta un piano strategico pluriennale, in cui sono indicate le principali priorità e iniziative previste dal Centro di competenza, compresa una stima del fabbisogno finanziario e delle fonti di finanziamento;

a)

adotta un piano strategico pluriennale, in cui sono indicate le principali priorità e iniziative previste dal Centro di competenza, compresa una stima del fabbisogno finanziario e delle fonti di finanziamento , tenendo conto della consulenza fornita dall'ENISA ;

b)

adotta il piano di lavoro, i conti e il bilancio annuali, nonché la relazione di attività annuale del Centro di competenza, sulla base di una proposta del direttore esecutivo.

b)

adotta il piano di lavoro, i conti e il bilancio annuali, nonché la relazione di attività annuale del Centro di competenza, sulla base di una proposta del direttore esecutivo , tenendo conto della consulenza fornita dall'ENISA ;

e)

adotta i criteri e le procedure di valutazione e accreditamento degli enti in qualità di membri della comunità delle competenze in materia di cibersicurezza ;

e)

adotta le procedure di valutazione e accreditamento degli enti in qualità di membri della comunità;

e bis)

adotta gli accordi di lavoro di cui all'articolo 10, paragrafo 2;

g bis)

adotta norme di trasparenza per il Centro di competenza;

i)

istituisce gruppi di lavoro comprendenti membri della comunità delle competenze in materia di cibersicurezza ;

i)

istituisce gruppi di lavoro comprendenti membri della comunità , tenendo conto dei pareri espressi dagli osservatori permanenti ;

l)

promuove il Centro di competenza su scala mondiale, in modo da renderlo più attrattivo e da farne un organismo di eccellenza a livello mondiale nel settore della cibersicurezza ;

l)

promuove la cooperazione del Centro di competenza con attori globali ;

r)

adotta una strategia antifrode, proporzionata ai rischi di frode, tenendo conto dei costi e dei benefici delle misure da attuare;

r)

adotta una strategia antifrode e anticorruzione , proporzionata ai rischi di frode e corruzione , tenendo conto dei costi e dei benefici delle misure da attuare, e adotta misure globali per la protezione delle persone che segnalano violazioni del diritto dell'Unione conformemente alla legislazione dell'Unione applicabile ;

s)

adotta la metodologia per il calcolo del contributo finanziario degli Stati membri;

s)

adotta un'ampia definizione dei contributi finanziari degli Stati membri e una metodologia per il calcolo dell'importo dei contributi volontari degli Stati membri che possono essere ritenuti contributi finanziari in base a tale definizione. Tale calcolo è eseguito alla fine di ogni esercizio finanziario ;

a)

governance e organizzazione del Centro di competenza e della rete;

b)

assegnazione del bilancio al Centro di competenza e alla rete;

c)

azioni congiunte di più Stati membri, eventualmente integrate dal bilancio dell'Unione a seguito della decisione in conformità della lettera b).

c)

dopo essersi consultato con il consiglio di direzione e con la Commissione, prepara il progetto di piano strategico pluriennale e il progetto di piano di lavoro annuale del Centro di competenza e li presenta per l'adozione al consiglio di direzione, specificando l'oggetto degli inviti a presentare proposte, degli inviti a manifestare interesse e dei bandi di gara necessari per attuare il piano di lavoro e le corrispondenti previsioni di spesa proposte dagli Stati membri e dalla Commissione;

c)

dopo essersi consultato con il consiglio di direzione , con il consiglio consultivo industriale e scientifico, con l'ENISA e con la Commissione, prepara il progetto di piano strategico pluriennale e il progetto di piano di lavoro annuale del Centro di competenza e li presenta per l'adozione al consiglio di direzione, specificando l'oggetto degli inviti a presentare proposte, degli inviti a manifestare interesse e dei bandi di gara necessari per attuare il piano di lavoro e le corrispondenti previsioni di spesa proposte dagli Stati membri e dalla Commissione;

h)

predispone un piano d'azione per dare seguito alle conclusioni delle valutazioni retrospettive e per riferire ogni due anni alla Commissione sui progressi compiuti;

h)

predispone un piano d'azione per dare seguito alle conclusioni delle valutazioni retrospettive e per riferire ogni due anni alla Commissione e al Parlamento europeo sui progressi compiuti;

l)

approva l'elenco delle azioni selezionate per il finanziamento sulla base della graduatoria stilata da un gruppo di esperti indipendenti;

l)

approva , previa consultazione del consiglio consultivo industriale e scientifico e dell'ENISA, l'elenco delle azioni selezionate per il finanziamento sulla base della graduatoria stilata da un gruppo di esperti indipendenti;

s)

predispone un piano d'azione a seguito delle conclusioni delle relazioni di revisione contabile interne ed esterne e delle indagini dell'Ufficio europeo per la lotta antifrode (OLAF) e riferisce due volte l'anno sui progressi compiuti alla Commissione e periodicamente al consiglio di direzione;

s)

predispone un piano d'azione a seguito delle conclusioni delle relazioni di revisione contabile interne ed esterne e delle indagini dell'Ufficio europeo per la lotta antifrode (OLAF) e riferisce due volte l'anno sui progressi compiuti alla Commissione e  al Parlamento europeo e periodicamente al consiglio di direzione;

v)

garantisce un'efficace comunicazione con le istituzioni dell'Unione;

v)

garantisce un'efficace comunicazione con le istituzioni dell'Unione e riferisce su invito del Parlamento europeo e del Consiglio ;

(1)

fornisce al direttore esecutivo e al consiglio di direzione consulenza strategica e il proprio contributo per la redazione del piano di lavoro e del piano strategico pluriennale entro i termini fissati dal consiglio di direzione;

(1)

fornisce al direttore esecutivo e al consiglio di direzione consulenza strategica e il proprio contributo per l'attuazione da parte del centro di competenza nonché per l'orientamento e il funzionamento dello stesso in ambito industriale e scientifico e per la redazione del piano di lavoro e del piano strategico pluriennale entro i termini fissati dal consiglio di direzione;

1 bis)

(3)

promuove e raccoglie informazioni sul piano di lavoro e sul piano strategico pluriennale del Centro di competenza.

(3)

promuove e raccoglie informazioni sul piano di lavoro e sul piano strategico pluriennale del Centro di competenza e offre consulenza al consiglio di direzione su come migliorare l'orientamento e il funzionamento strategici del Centro di competenza .

a)

1 981 668 000 EUR dal programma Europa digitale, di cui fino a 23 746 000 EUR per le spese amministrative;

a)

1 780 954 875  EUR a prezzi 2018 (1 981 668 000  EUR a prezzi correnti) dal programma Europa digitale, di cui fino a  21 385 465 EUR a prezzi 2018 ( 23 746 000 EUR a prezzi correnti per le spese amministrative;

b bis)

un importo proveniente dal Fondo europeo per la difesa per gli interventi del Centro di competenza legati al settore della difesa, anche per i relativi costi amministrativi, quali i costi che potrebbe sostenere il Centro di competenza nello svolgimento della sua funzione di responsabile di progetto nel quadro del Fondo europeo per la difesa.

a)

contributi finanziari degli Stati membri partecipanti a copertura delle spese amministrative;

a)

contributi finanziari dell'Unione e degli Stati membri partecipanti a copertura delle spese amministrative;

b)

contributi finanziari degli Stati membri partecipanti a copertura dei costi operativi;

b)

contributi finanziari dell'Unione e degli Stati membri partecipanti a copertura dei costi operativi;

c bis)

Gli articoli 22 [proprietà dei risultati], 23 [proprietà dei risultati] e 30 [applicazione delle norme relative alle informazioni classificate] del regolamento (UE) 2019/XXX [Fondo europeo per la difesa] si applicano alla partecipazione del Centro di competenza a tutti gli interventi legati al settore della difesa, qualora il piano di lavoro lo preveda, ed è possibile limitare la concessione di licenze non esclusive a terzi stabiliti o considerati stabiliti negli Stati membri e controllati da Stati membri e/o cittadini di Stati membri.