RELAZIONE

Lo scopo della direttiva proposta è assicurare un elevato livello comune di sicurezza delle reti e dell’informazione (SRI) nell’Unione. Questo presuppone il miglioramento della sicurezza di internet e delle reti e dei sistemi informativi privati su cui si fonda il funzionamento delle nostre società e delle nostre economie. A questo scopo si chiede agli Stati membri di aumentare il loro grado di preparazione e di migliorare la collaborazione reciproca, agli operatori di infrastrutture critiche, come l’energia, i trasporti e i principali fornitori di servizi della società dell’informazione (piattaforme di commercio elettronico, reti sociali ecc.) e alle pubbliche amministrazioni, di adottare misure adeguate per gestire i rischi di sicurezza e segnalare alle autorità competenti gli incidenti gravi.

La presente proposta è presentata insieme alla comunicazione congiunta della Commissione e dell’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza in merito ad una strategia europea per la cibersicurezza. L’obiettivo della strategia è dare vita a un ambiente digitale sicuro e affidabile, promuovendo e proteggendo i diritti fondamentali e altri valori costitutivi dell’UE. La presente proposta costituisce la misura principale della strategia. Le altre misure previste dalla strategia in questo settore riguardano la sensibilizzazione, lo sviluppo di un mercato interno di prodotti e servizi attinenti alla cibersicurezza e la promozione di investimenti in R&S. Questi interventi saranno completati da altre misure destinate a rafforzare la lotta contro la criminalità informatica e a elaborare una politica internazionale dell’UE in materia di cibersicurezza.

1.1.        Motivazione e obiettivi della proposta

La sicurezza delle reti e dell’informazione va assumendo un’importanza crescente nella nostra economia e nella nostra società. La SRI è una precondizione importante per creare un ambiente affidabile per lo scambio di servizi su scala mondiale. Tuttavia, i sistemi informativi possono essere vittima di incidenti di sicurezza, causati ad esempio da errori umani, eventi naturali, guasti tecnici o attacchi dolosi. Questi incidenti si stanno facendo sempre più numerosi, frequenti e complessi. Dalla consultazione pubblica online sul tema “Migliorare la sicurezza delle reti e dell’informazione nell’UE”[1] è emerso che il 57% dei rispondenti negli anni scorsi ha avuto esperienza di incidenti a carico della SRI, con gravi ripercussioni sulle loro attività. La mancanza di sicurezza delle reti e dell’informazione può compromettere servizi essenziali che dipendono dall’integrità della rete e dei sistemi informativi. Questo a sua volta può bloccare il funzionamento di imprese, provocare ingenti perdite finanziarie per l’economia dell’UE e avere ripercussioni negative sul benessere della società.

Inoltre i sistemi informativi digitali, che costituiscono uno strumento di comunicazione senza confini, come in particolare internet, sono interconnessi in tutti gli Stati membri e svolgono un ruolo essenziale nel facilitare i movimenti transfrontalieri di beni, servizi e persone. Gravi perturbazioni a carico di questi sistemi in uno Stato membro possono avere ripercussioni negli altri Stati membri e in tutta l’UE. La resilienza e la stabilità delle reti e dei sistemi informativi sono quindi essenziali per il completamento del mercato unico digitale e per l’armonioso funzionamento del mercato interno. La probabilità e la frequenza degli incidenti e l’incapacità di garantire una protezione sufficiente compromettono inoltre la fiducia del pubblico nelle reti e nei servizi di informazione. Ad esempio, l’indagine di Eurobarometro del 2012 sulla cibersicurezza evidenzia che per il 38% degli internauti dell’UE la sicurezza dei pagamenti online è fonte di preoccupazione tale da spingerli a cambiare condotta: il 18% è meno propenso ad acquistare merci online e il 15% è meno propenso a usare i servizi bancari online[2].

La situazione attuale nell’UE, frutto dell’approccio puramente facoltativo seguito finora, non offre una protezione sufficiente contro i rischi e gli incidenti a carico della sicurezza delle reti e dell’informazione nell’UE. I dispositivi e le capacità esistenti in questo campo sono semplicemente insufficienti per far fronte alla rapida evoluzione delle possibili minacce alla sicurezza e per assicurare un livello elevato comune di protezione in tutti gli Stati membri.

Nonostante le iniziative avviate, il livello di capacità e di preparazione degli Stati membri è molto variabile: ne consegue una forte frammentazione degli approcci a livello dell’UE. Data l’interconnessione tra le reti e i sistemi, la SRI generale dell’UE è indebolita dagli Stati membri con un livello insufficiente di protezione. Questa situazione ostacola anche la creazione di quel clima di fiducia tra pari indispensabile per la collaborazione e lo scambio di informazioni. Ne consegue che la cooperazione funziona solo tra una minoranza di Stati membri che hanno un livello elevato di capacità.

Attualmente non esiste pertanto un dispositivo effettivo, a livello UE, che permetta un’effettiva cooperazione e lo scambio sicuro di informazioni tra gli Stati membri sugli incidenti e i rischi a carico della SRI. Le possibili conseguenze sono interventi regolamentari non coordinati tra loro, strategie incoerenti e norme divergenti, da cui una protezione insufficiente della sicurezza delle reti e dell’informazione nell’UE. Possono sorgere anche ostacoli per il mercato interno che causano costi di messa in conformità alle imprese che operano in più Stati membri.

Infine, gli operatori che gestiscono infrastrutture critiche o forniscono servizi essenziali per il funzionamento della nostra società non sono soggetti ad obblighi appropriati quanto all’adozione di misure di gestione del rischio e allo scambio di informazioni con le autorità competenti. Pertanto, se da un lato le imprese non godono di incentivi efficaci alla conduzione di una gestione seria del rischio, che implica la valutazione del rischio e l’adozione di misure adeguate per garantire la sicurezza delle reti e dell’informazione, dall’altro una larga parte di incidenti non è segnalata alle autorità competenti e passa inosservata. Le informazioni sugli incidenti sono invece essenziali per permettere alle autorità pubbliche di reagire, adottare provvedimenti di mitigazione adeguati e fissare le opportune priorità strategiche per la SRI.

L’attuale quadro regolamentare fa obbligo soltanto alle compagnie di telecomunicazione di adottare misure di gestione del rischio di incidenti di sicurezza delle reti e dell’informazione e di segnalare questo tipo di incidenti. Ma esistono anche molti altri settori che dipendono dal supporto delle TIC, che dovrebbero quindi essere coinvolti in materia di SRI. Tutta una serie di specifiche infrastrutture e fornitori di servizi sono particolarmente vulnerabili perché dipendono fortemente dal corretto funzionamento delle reti e dei sistemi informativi. Questi settori svolgono un ruolo essenziale nel fornire servizi fondamentali di supporto per la nostra economia e la nostra società e la sicurezza dei loro sistemi riveste un’importanza particolare per il funzionamento del mercato interno: si pensi in particolare alle banche, alle borse, alla generazione, trasmissione e distribuzione di energia, ai trasporti (aerei, ferroviari e marittimi), alla sanità, ai servizi internet e alle amministrazioni pubbliche.

È quindi necessario accelerare il cambiamento nel modo di rapportarsi ai problemi di sicurezza delle reti e dell’informazione nell’Unione europea. Occorre instaurare obblighi regolamentari per creare parità di condizioni e ovviare alle lacune legislative esistenti. Per far fronte a questi problemi e rafforzare il livello di sicurezza nell’Unione la direttiva proposta persegue gli obiettivi sotto descritti.

Primo, la proposta chiede agli Stati membri di garantire la disponibilità di capacità minime a livello nazionale, attraverso la nomina di autorità competenti della sicurezza delle reti e dell’informazione (SRI), la creazione di squadre di pronto intervento informatico (CERT) e l’adozione di strategie e piani nazionali di collaborazione in materia di SRI.

Secondo, le competenti autorità nazionali sono chiamate collaborare in rete per garantire un coordinamento sicuro ed effettivo, che comprende lo scambio coordinato di informazioni e attività di individuazione e risposta a livello dell’UE. Gli Stati membri sono chiamati a scambiarsi informazioni attraverso tale rete e a collaborare per contrastare le minacce e gli incidenti a carico della sicurezza delle reti e dell’informazione in base ad un piano europeo di collaborazione in materia di SRI.

Terzo, rifacendosi al modello della direttiva quadro sulle comunicazioni elettroniche, la proposta mira a garantire lo sviluppo di una cultura della gestione dei rischi e dello scambio di informazioni tra i settori pubblico e privato. Alle imprese attive nei settori critici specifici sopra richiamati e alle pubbliche amministrazioni sarà chiesto di valutare i rischi che corrono e di adottare misure adeguate e proporzionate per garantire la sicurezza delle reti e dell’informazione. Questi soggetti dovranno segnalare alle autorità competenti gli incidenti suscettibili di compromettere gravemente le loro reti e sistemi informativi e aventi un impatto significativo sulla continuità di servizi critici e sulla fornitura di beni.

1.2.        Contesto generale

Già nel 2001, nella sua comunicazione sulla sicurezza delle reti e dell’informazione (Proposta di un approccio strategico europeo), la Commissione sottolineava la crescente importanza della sicurezza delle reti e dell’informazione[3]. Tale comunicazione fu seguita nel 2006 dall’adozione di una strategia per una società dell’informazione sicura[4], destinata a sviluppare una cultura della sicurezza delle reti e dell’informazione in Europa, i cui elementi principali sono stati approvati da una risoluzione del Consiglio[5].

Il 30 marzo di 2009 la Commissione ha poi adottato una comunicazione relativa alla protezione delle infrastrutture critiche informatizzate[6] incentrata sulla protezione dell’Europa contro le ciberperturbazioni attraverso il rafforzamento della sicurezza. La comunicazione ha avviato un piano di azione destinato a rafforzare i provvedimenti degli Stati membri in materia di prevenzione e risposta. Tale piano di azione è stato approvato dalle conclusioni della Presidenza della conferenza ministeriale sulla protezione delle infrastrutture critiche informatizzate svoltasi a Tallinn nel 2009. Il 18 dicembre 2009 il Consiglio ha adottato una risoluzione su “Un approccio europeo cooperativo in materia di sicurezza delle reti e dell’informazione”[7].

L’Agenda digitale europea[8], adottata nel maggio 2010, e le relative conclusioni del Consiglio[9] sottolineavano il pensiero comune secondo cui la fiducia e la sicurezza costituiscono prerequisiti fondamentali per un’ampia diffusione delle TIC e quindi per il conseguimento degli obiettivi di una “crescita intelligente” fissati dalla strategia Europa 2020[10]. Nel capitolo “Fiducia e sicurezza”, l’Agenda digitale rilevava la necessità, per tutte le parti interessate, di unire le forze per garantire la sicurezza e la resilienza delle infrastrutture TIC, concentrandosi su prevenzione, preparazione e sensibilizzazione, e di elaborare inoltre meccanismi di sicurezza effettivi e coordinati. In particolare, l’azione fondamentale 6 dell’Agenda digitale europea sollecita misure per una politica rafforzata e di alto livello in materia di sicurezza delle reti e dell’informazione.

Nella comunicazione del marzo 2011 relativa alla protezione delle infrastrutture critiche informatizzate “Realizzazioni e prossime tappe: verso una sicurezza informatica mondiale”[11], la Commissione, dopo aver analizzato i risultati conseguiti in seguito all’adozione del piano di azione sulla protezione delle infrastrutture critiche informatizzate del 2009, ha concluso che l’attuazione del piano ha dimostrato l’insufficienza di un approccio esclusivamente nazionale per far fronte alle sfide della sicurezza e della resilienza e ha sottolineato l’opportunità di portare avanti, in Europa, gli sforzi destinati a costruire un approccio coerente e cooperativo nell’UE. Nella comunicazione sulla protezione delle infrastrutture critiche informatizzate del 2011 la Commissione ha annunciato una serie di interventi e ha invitato gli Stati membri a costituire capacità in materia di SRI e di cooperazione transfrontaliera. La maggior parte di questi interventi, che dovevano essere finalizzati entro la fine del 2012, non è però ancora stata attuata.

Nelle conclusioni del 27 maggio 2011 sulla protezione delle infrastrutture critiche informatizzate, il Consiglio dell’Unione europea ha sottolineato l’urgente necessità di rendere i sistemi TIC e le reti resilienti e sicuri nei confronti di qualsiasi turbativa possibile, accidentale o intenzionale, per elevare il livello di preparazione, sicurezza e capacità di resilienza nell’UE, rafforzare le competenze tecniche per permettere all’Europa di raccogliere la sfida della protezione delle reti e delle infrastrutture informatiche e intensificare la cooperazione tra Stati membri sviluppando meccanismi di cooperazione reciproca in caso di incidenti.

1.3.        Disposizioni dell’Unione europea e internazionali vigenti in questo settore

Con il regolamento (CE) n. 460/2004 la Comunità europea ha istituito nel 2004 l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA)[12], allo scopo di contribuire a garantire un elevato livello di protezione e allo sviluppo di una cultura della sicurezza delle reti e dell’informazione nell’UE. Il 30 settembre 2010[13] è stata adottata una proposta di aggiornamento del mandato dell’ENISA, che è all’esame del Consiglio e del Parlamento europeo. Il quadro normativo riveduto per le comunicazioni elettroniche[14], in vigore dal novembre 2009, impone obblighi di sicurezza ai fornitori di comunicazioni elettroniche[15]. Questi obblighi dovevano essere recepiti nel diritto nazionale entro il maggio 2011.

Il quadro regolamentare in materia di protezione dei dati[16] fa obbligo a tutti gli attori con funzione di responsabili del trattamento dei dati (ad es. banche o ospedali) di attivare misure di sicurezza per la protezione dei dati personali. Inoltre, nell’ambito della proposta della Commissione del 2012 relativa ad un regolamento generale sulla protezione dei dati[17], i responsabili del trattamento dei dati dovrebbero segnalare alle autorità di controllo le violazioni dei dati personali. Ciò significa ad esempio che non c’è l’obbligo di segnalare una violazione di sicurezza delle reti e dell’informazione a carico di un determinato servizio che non comprometta dati personali (ad es. in caso di interruzione dei sistemi TIC di una centrale che dia luogo a un blackout).

In virtù della direttiva 2008/114 relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione, il programma europeo per la protezione delle infrastrutture critiche (EPCIP)[18] stabilisce l’approccio generale per la protezione delle infrastrutture critiche nell’UE. Gli obiettivi del programma europeo per la protezione delle infrastrutture critiche sono pienamente coerenti con la presente proposta e la direttiva dovrebbe applicarsi fatta salva la direttiva 2008/114. Il programma europeo non obbliga gli operatori a segnalare importanti violazioni di sicurezza e non istituisce alcun meccanismo attraverso il quale gli Stati membri possono collaborare o reagire agli incidenti.

I colegislatori stanno attualmente discutendo la proposta di direttiva della Commissione relativa agli attacchi contro i sistemi di informazione[19], che intende armonizzare la punibilità di specifici comportamenti. La direttiva copre solo la punibilità di comportamenti specifici, ma non riguarda la prevenzione di rischi e incidenti di sicurezza delle reti e dell’informazione e l’attenuazione delle loro conseguenze. La presente direttiva dovrebbe applicarsi fatta salva la direttiva relativa agli attacchi contro i sistemi informativi.

Il 28 marzo 2012 la Commissione ha adottato una comunicazione relativa all’istituzione di un Centro europeo per la lotta alla criminalità informatica (EC3)[20]. Il centro, istituito l’11 gennaio 2013, farà parte dell’Ufficio europeo di polizia (Europol) e sarà il punto focale della lotta contro la cibercriminalità nell’UE. EC3 è destinato a raggruppare le competenze europee in materia di cibercriminalità per aiutare gli Stati membri a rafforzare le loro capacità, per fornire loro assistenza nelle indagini contro il cibercrimine, in stretta collaborazione con Eurojust, diventando il portavoce degli investigatori europei sulla criminalità informatica a livello di autorità di contrasto e giudiziarie.

Le istituzioni, le agenzie e gli organi europei hanno costituito proprie squadre di pronto intervento informatico (CERT-UE).

Sul piano internazionale, l’attività dell’UE sulla cibersicurezza si svolge a livello sia bilaterale che multilaterale. Il vertice UE-USA del 2010[21] ha visto la creazione del gruppo di lavoro UE-USA sulla cibersicurezza e il cibercrimine. L’UE è attiva anche in alcune sedi multilaterali come l’Organizzazione per la cooperazione e lo sviluppo economico (OCSE), l’Assemblea generale delle Nazioni Unite, l’Unione internazionale delle telecomunicazioni (UIT), l’Organizzazione per la sicurezza e la cooperazione in Europa (OCSE), il Vertice mondiale sulla società dell’informazione (WSIS) e il Forum sulla governance di internet (IGF).

2.           ESITO DELLA CONSULTAZIONE DELLE PARTI INTERESSATE E DELLA VALUTAZIONE D’IMPATTO

2.1.        Consultazione delle parti interessate e ricorso al parere di esperti

Dal 23 luglio al 15 ottobre 2012 si è svolta una consultazione pubblica online sul tema “Migliorare la sicurezza delle reti dell’informazione nell’UE”. La Commissione ha ricevuto in totale 160 risposte al questionario in linea.

Il risultato principale è che le parti interessate si sono espresse generalmente a favore della necessità di migliorare la sicurezza delle reti e dell’informazione in tutta l’Unione. In particolare: l’82,8% dei partecipanti è del parere che le amministrazioni nell’UE dovrebbero adoperarsi maggiormente per garantire un elevato livello di sicurezza delle reti e dell’informazione; l’82,8% ritiene che gli utenti delle informazioni e dei sistemi non sono consapevoli dell’esistenza di minacce e incidenti di sicurezza; il 66,3% sarebbe in linea di massima a favore dell’introduzione di obblighi regolamentari in materia di gestione dei rischi per la sicurezza delle reti e dell’informazione e secondo l’84,8% gli obblighi dovrebbero essere fissati al livello dell’UE. Un numero elevato di rispondenti ritiene che sarebbe importante adottare obblighi in materia di SRI in particolare nei seguenti settori: banche e finanza (91,1%), energia (89,4%), trasporti (81,7%), sanità (89,4%), servizi internet (89,1%) e amministrazioni pubbliche (87,5%). I rispondenti ritengono anche che se dovesse essere introdotto un obbligo di segnalazione delle violazioni di sicurezza delle reti e dell’informazione alle autorità nazionali competenti, tale obbligo dovrebbe essere stabilito a livello dell’UE (65,1%) e vi dovrebbero essere assoggettate anche le amministrazioni pubbliche (93,5%). Infine i rispondenti ritengono che l’eventuale obbligo di attuare la gestione dei rischi in materia di SRI secondo le migliori prassi del momento non comporterebbe, per loro, costi supplementari significativi (63,4%) e che l’eventuale obbligo di segnalare violazioni di sicurezza non causerebbe costi supplementari significativi (72,3%).

Gli Stati membri sono stati consultati in una serie di configurazioni del Consiglio, nel contesto del Forum europeo degli Stati membri (EFMS), in occasione della conferenza dell’UE sulla cibersicurezza organizzata il 6 luglio 2012 dalla Commissione e dal Servizio europeo per l’azione esterna, nonché in occasione di riunioni bilaterali convocate su richiesta di singoli Stati membri.

Si sono tenute anche discussioni con il settore privato nell’ambito del partenariato europeo pubblico-privato per la resilienza[22] e nel corso di riunioni bilaterali. Per quanto riguarda il settore pubblico, la Commissione ha organizzato dibattiti con l’ENISA e le squadre CERT per le istituzioni europee.

2.2.        Valutazione d’impatto

La Commissione ha realizzato una valutazione dell’impatto di tre opzioni strategiche:

opzione 1: mantenere lo status quo (scenario di riferimento);

opzione 2: approccio regolamentare consistente in una proposta legislativa che stabilisce un quadro giuridico unionale comune in materia di SRI, relativo alle capacità degli Stati membri, ai meccanismi di cooperazione a livello UE e alle condizioni imposte ai principali operatori privati e alle amministrazioni pubbliche;

opzione 3: approccio misto, ossia iniziative facoltative relative alle capacità nazionali in materia di SRI e ai meccanismi di cooperazione a livello UE, combinate con l’imposizione di obblighi regolamentari ai principali operatori privati e alle amministrazioni pubbliche.

La Commissione è giunta alla conclusione che l’opzione 2 presenta gli impatti positivi più rilevanti perché è suscettibile di migliorare considerevolmente la protezione dei consumatori, delle imprese e delle amministrazioni dell’UE contro gli incidenti di sicurezza delle reti e dell’informazione. In particolare, gli obblighi imposti agli Stati membri garantirebbero un adeguato livello di preparazione a livello nazionale e contribuirebbero a creare quel clima di fiducia reciproca che costituisce un prerequisito per l’effettiva collaborazione a livello dell’UE. La creazione di un meccanismo di cooperazione in rete a livello dell’UE permetterebbe di prevenire e reagire in maniera coerente e coordinata agli incidenti e ai rischi transfrontalieri a carico della sicurezza delle reti e dell’informazione. L’imposizione alle amministrazioni pubbliche e ai principali operatori privati di obblighi in materia di gestione dei rischi a carico della SRI costituirebbe un forte incentivo alla gestione efficace dei rischi di sicurezza. L’obbligo di segnalare gli incidenti SRI aventi un impatto significativo rafforzerebbe le capacità di risposta agli incidenti stessi e la trasparenza. Inoltre, mettendo ordine al suo interno, l’Unione potrebbe imporsi a livello internazionale e diventare una partner ancora più credibile per la collaborazione a livello bilaterale e multilaterale. Inoltre, essa potrebbe promuovere con più forza i diritti e i valori fondamentali dell’UE al suo esterno.

La valutazione quantitativa ha dimostrato che l’opzione 2 non creerebbe costi sproporzionati per gli Stati membri. Il costo per il settore privato sarebbe anch’esso limitato poiché molti dei soggetti interessati sono già tenuti, in linea teorica, a conformarsi ai requisiti di sicurezza in vigore (in particolare l’obbligo per il responsabile della protezione dei dati di adottare misure tecniche e organizzative per la sicurezza dei dati personali, comprese misure per la sicurezza delle reti e dell’informazione). Si è tenuto conto anche della spesa per la sicurezza oggi esistente nel settore privato.

La presente proposta rispetta i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea, in particolare il diritto al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto al contraddittorio. La presente direttiva deve essere applicata nel rispetto di tali diritti e principi.

3.           ELEMENTI GIURIDICI DELLA PROPOSTA

3.1.        Basi giuridiche

L’Unione europea ha il potere di adottare misure destinate all’instaurazione o al funzionamento del mercato interno, conformemente alle disposizioni pertinenti dei trattati (articolo 26 del trattato sul funzionamento dell’Unione europea - TFUE). A norma dell’articolo 114 del TFUE, l’UE può adottare “le misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l’instaurazione o il funzionamento del mercato interno”.

Come già indicato, i sistemi informativi e le reti svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Spesso questi sistemi e queste reti sono interconnessi e internet ha una diffusione planetaria. Tenendo conto di questa dimensione transnazionale intrinseca, un’eventuale perturbazione in uno Stato membro può ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l’UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l’armonioso funzionamento del mercato interno.

Il legislatore unionale ha già riconosciuto la necessità di armonizzare le norme in materia di sicurezza delle reti e dell’informazione per garantire lo sviluppo del mercato interno, in particolare con l’adozione del regolamento (CE) n. 460/2004[23] che istituisce l’ENISA, la cui base giuridica è l’articolo 114 del TFUE.

Le disparità derivanti da capacità nazionali disuguali in materia di sicurezza delle reti e dell’informazione e in termini di politiche e di livello di protezione crea barriere nel mercato interno e giustifica un’azione a livello dell’UE.

3.2.        Sussidiarietà

L’intervento europeo nel settore della sicurezza delle reti e dell’informazione è giustificato dal principio di sussidiarietà

Innanzitutto, data la natura transnazionale della sicurezza delle reti e dell’informazione, il mancato intervento a livello di Unione creerebbe una situazione in cui ogni Stato membro agirebbe da solo senza tener conto delle interdipendenze tra le reti e sistemi informativi in tutta l’UE. Un coordinamento adeguato tra gli Stati membri garantirebbe la corretta gestione dei rischi a livello della sicurezza delle reti e dell’informazione nel loro contesto transfrontaliero. Le differenze nelle regolamentazioni in materia di SRI rappresentano una barriera per le imprese che desiderano operare in vari paesi e per il conseguimento di economie di scala globali.

In secondo luogo, per creare parità di condizioni e ovviare alle lacune legislative esistenti sono necessari obblighi regolamentari a livello dell’UE. Un approccio esclusivamente facoltativo ha fatto sì che la cooperazione funzioni attualmente solo tra una minoranza di Stati membri che hanno un livello elevato di capacità. Per coinvolgere tutti gli Stati membri è necessario che tutti loro dispongano del livello minimo di capacità occorrente. Le misure in materia di sicurezza delle reti e dell’informazione adottate dalle amministrazioni nazionali devono essere coerenti tra loro per poter contenere e minimizzare le ripercussioni negative di incidenti di sicurezza. Nella rete, attraverso lo scambio di buone pratiche e il coinvolgimento permanente dell’ENISA, le autorità competenti e la Commissione collaboreranno per facilitare un’attuazione convergente della direttiva in tutta l’UE. Inoltre, interventi concertati in materia di sicurezza delle reti e dell’informazione possono avere un impatto molto benefico sulla tutela effettiva dei diritti fondamentali, in particolare il diritto alla protezione dei dati personali e della vita privata. L’intervento a livello dell’UE migliorerebbe quindi l’efficacia delle politiche nazionali esistenti e ne faciliterebbe lo sviluppo.

Le misure proposte sono anche giustificate in termini di proporzionalità. Le condizioni imposte agli Stati membri corrispondono quanto è strettamente necessario per raggiungere un livello adeguato di preparazione e permettere una collaborazione basata sulla fiducia. Questo consente agli Stati membri di tenere nella debita considerazione le peculiarità nazionali e garantisce che i principi comuni dell’UE siano applicati in maniera proporzionata. Il vasto campo di applicazione consentirà agli Stati membri di attuare la direttiva tenendo conto dei reali rischi che affrontano a livello nazionale, come individuati nella strategia nazionale in materia di SRI. Gli obblighi di attuazione della gestione del rischio riguardano solo entità critiche e impongono misure proporzionate ai rischi. La consultazione pubblica ha sottolineato l’importanza di garantire la sicurezza di questi entità critiche. Gli obblighi di segnalazione riguarderebbero solo incidenti aventi un impatto significativo. Come sopra indicato, le misure non imporrebbero costi sproporzionati perché la normativa vigente in materia di protezione dei dati già impone a molte delle suddette entità, in veste di responsabili del trattamento dei dati, l’obbligo di garantire la tutela dei dati personali.

Per evitare di imporre oneri sproporzionati ai piccoli operatori, in particolare alle PMI, gli obblighi sono proporzionati al rischio corso dalla rete o dal sistema informativo di cui si tratta e non si applicano alle microimprese. I rischi dovranno essere individuati in primo luogo dalle entità assoggettate a tali obblighi, le quali dovranno decidere le misure di mitigazione del rischio da adottare.

Gli obiettivi perseguiti possono essere raggiunti a livello dell’UE meglio che a livello di singoli Stati membri, data la natura transnazionale degli incidenti e dei rischi a carico della sicurezza delle reti e dell’informazione. L’Unione può dunque intervenire in conformità al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Nel rispetto del principio di proporzionalità, la direttiva proposta non va al di là di quanto necessario per conseguire questi obiettivi.

Per conseguire gli obiettivi, è opportuno conferire alla Commissione il potere di adottare atti delegati a norma dell’articolo 290 del trattato sul funzionamento dell’Unione europea, allo scopo di integrare o di modificare determinati elementi non essenziali dell’atto di base. La proposta della Commissione intende anche sostenere la proporzionalità nell’attuazione degli obblighi imposti agli operatori dei settori pubblico e privato.

Per garantire condizioni uniformi di attuazione dell’atto di base, è opportuno conferire alla Commissione il potere adottare atti di esecuzione in conformità all’articolo 291 del trattato sul funzionamento dell’Unione europea.

Data la vasta portata della direttiva proposta, tenendo conto del fatto che affronta campi soggetti ad una forte regolamentazione e in considerazione degli obblighi legali derivanti dal suo capo IV, è necessario che la notifica delle misure di attuazione sia accompagnata dalla trasmissione di documenti esplicativi. Conformemente alla dichiarazione politica congiunta degli Stati membri e della Commissione sui documenti esplicativi del 28 settembre 2011, gli Stati membri si sono impegnati ad accompagnare, ove ciò sia giustificato, la notifica delle loro misure di attuazione con uno o più documenti intesi a chiarire il rapporto tra gli elementi di una direttiva e le parti corrispondenti degli strumenti nazionali di attuazione. In relazione alla presente direttiva il legislatore ritiene che la trasmissione di tali documenti sia giustificata.

4.           INCIDENZE SUL BILANCIO

È opportuno che la cooperazione e lo scambio di informazioni tra Stati membri siano supportati da una infrastruttura sicura. La proposta avrà implicazioni finanziarie sul bilancio dell’UE soltanto se gli Stati membri scelgono di adattare un’infrastruttura esistente (ad es. sTESTA) e chiedono alla Commissione di farlo nell’ambito del QFP 2014-2020. Il costo una tantum si stima a 1 250 000 EUR, che sarebbe posto a carico del bilancio dell’UE, linea di bilancio 09.03.02 (promuovere interconnessione e interoperabilità dei servizi pubblici nazionali online nonché accesso a tali reti — capitolo 09.03, meccanismo per collegare l’Europa — reti di telecomunicazioni) a condizione che vi siano sufficienti fondi disponibili nell’ambito del CEF. In alternativa, gli Stati membri possono ripartirsi il costo una tantum di adattamento di un’infrastruttura esistente oppure decidere di creare un’infrastruttura nuova accollandosene i costi, che si stimano a circa 10 milioni di EUR all’anno.

2013/0027 (COD)

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo[24],

sentito il garante europeo della protezione dei dati,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)       Le reti e i sistemi e servizi di informazione svolgono un ruolo vitale nella società. È essenziale che essi siano affidabili e sicuri per l’attività economica e il benessere sociale e in particolare ai fini del funzionamento del mercato interno.

(2)       La portata e la frequenza degli incidenti dolosi o accidentali a carico della sicurezza stanno aumentando e rappresentano una grave minaccia per il funzionamento delle reti e dei sistemi informativi. Tali incidenti possono impedire il proseguimento di attività economiche, provocare notevoli perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia dell’Unione.

(3)       In quanto strumenti di comunicazione non vincolati a frontiere, i sistemi informativi digitali - e in prima linea internet - svolgono un ruolo essenziale per agevolare i movimenti transnazionali di beni, servizi e persone. Tenendo conto di questa dimensione transnazionale, gravi perturbazioni di tali sistemi in uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l’UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l’armonioso funzionamento del mercato interno.

(4)       È opportuno istituire un meccanismo di cooperazione a livello dell’Unione che permetta lo scambio di informazioni e il coordinamento delle attività di individuazione e di risposta attinenti alla sicurezza delle reti e dell’informazione (SRI). Perché tale meccanismo sia effettivo e inclusivo è importante che tutti gli Stati membri dispongano di un livello minimo di capacità e si dotino di una strategia per garantire un livello elevato di sicurezza delle reti e dell’informazione sul loro territorio. È opportuno che anche alle pubbliche amministrazioni e agli operatori di infrastrutture informatiche critiche si applichino obblighi minimi di sicurezza, per promuovere una cultura della gestione dei rischi e garantire la segnalazione degli incidenti più gravi.

(5)       È necessario che la presente direttiva si applichi a tutte le reti e a tutti i sistemi informativi in modo da coprire tutti i relativi rischi e incidenti. È opportuno tuttavia che gli obblighi fatti alle pubbliche amministrazioni e agli operatori del mercato non si applichino alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, ai sensi della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (direttiva quadro)[25], perché tali imprese sono soggette a specifici obblighi di sicurezza e integrità previsti dall’articolo 13 bis di detta direttiva; i suddetti obblighi non devono inoltre applicarsi ai prestatori di servizi fiduciari.

(6)       Le capacità esistenti non bastano a garantire un livello elevato di sicurezza delle reti e dell’informazione nell’Unione. I livelli di preparazione negli Stati membri sono molto diversi tra loro il che comporta una frammentazione degli approcci nell’Unione. Ne deriva un livello disomogeneo di protezione dei consumatori e delle imprese che compromette il livello globale di sicurezza delle reti e dell’informazione nell’Unione. La mancanza di obblighi minimi comuni imposti alle pubbliche amministrazioni e agli operatori del mercato rende inoltre impossibile la creazione di un meccanismo globale ed efficace di cooperazione a livello dell’Unione.

(7)       Per una risposta efficace alle sfide in materia di sicurezza delle reti e dei sistemi informativi è pertanto necessario un approccio globale a livello di Unione, che contempli la creazione di una capacità minima comune e disposizioni minime in materia di pianificazione, scambio di informazioni e coordinamento delle azioni, nonché obblighi minimi comuni di sicurezza per tutti gli operatori del mercato interessati e le pubbliche amministrazioni.

(8)       Le disposizioni della presente direttiva lasciano impregiudicata la possibilità per ciascuno Stato membro di adottare le misure necessarie per assicurare la tutela dei suoi interessi essenziali in materia di sicurezza, salvaguardare l’ordine pubblico e la pubblica sicurezza e consentire la ricerca, l’individuazione e il perseguimento dei reati. Conformemente all’articolo 346 del TFUE, nessuno Stato membro è tenuto a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza.

(9)       Per conseguire e mantenere un livello comune elevato di sicurezza delle reti e dei sistemi informativi è opportuno che ogni Stato membro disponga di una strategia nazionale in materia di SRI che definisca gli obiettivi strategici e gli interventi strategici concreti da attuare. Per poter raggiungere una capacità di risposta tale da permettere un’efficiente collaborazione a livello nazionale e unionale in caso di incidenti è necessario che siano elaborati, a livello nazionale, piani di collaborazione in materia di sicurezza delle reti e dell’informazione, rispondenti a condizioni essenziali.

(10)     Per permettere l’efficace attuazione delle disposizioni adottate a norma della presente direttiva è necessario che sia istituito o individuato in ogni Stato membro un organismo responsabile del coordinamento degli aspetti della SRI, che funga da perno della cooperazione transnazionale a livello unionale. Questi organismi devono essere dotati di risorse adeguate sul piano tecnico, finanziario e umano per permettere loro di eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva.

(11)     È necessario che tutti gli Stati membri siano dotati delle capacità tecniche e organizzative necessarie a prevenire, individuare, rispondere e attenuare i rischi e gli incidenti a carico delle reti e dei sistemi informativi. Per questo è necessario che, in tutti gli Stati membri, siano costituite squadre di pronto intervento informatico rispondenti a determinati requisiti essenziali, in modo da garantire l’esistenza di capacità effettive e compatibili per far fronte ai rischi e agli incidenti e garantire un’efficiente collaborazione a livello di Unione.

(12)     Basandosi sui notevoli progressi compiuti all’interno del Forum europeo degli Stati membri (EFMS) nel promuovere le discussioni e gli scambi di buone pratiche, come l’elaborazione dei principi della collaborazione europea in caso di crisi cibernetica, è opportuno che la Commissione e gli Stati membri creino una rete che assicuri una comunicazione permanente tra loro e ne sostenga la collaborazione. Tale meccanismo di collaborazione sicuro ed effettivo è destinato a permettere di strutturare e coordinare lo scambio di informazioni e le attività di individuazione e risposta a livello dell’Unione.

(13)     L’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) dovrebbe assistere gli Stati membri e la Commissione mettendo loro a disposizione le proprie competenze e consulenze e agevolando lo scambio di buone pratiche. In particolare è opportuno che la Commissione consulti l’ENISA nell’applicazione della presente direttiva. Per garantire un’informazione effettiva e tempestiva degli Stati membri e della Commissione è necessario che gli incidenti e i rischi siano segnalati precocemente attraverso la rete di collaborazione. Per creare capacità e conoscenze tra gli Stati membri, la rete di collaborazione dovrebbe anche servire da strumento di scambio di buone pratiche, assistendo i propri membri a creare capacità e conducendo l’organizzazione di valutazioni tra pari e di esercitazioni in materia di SRI.

(14)     Nella rete di collaborazione è opportuno creare un’infrastruttura di scambio sicuro di informazioni che consenta lo scambio di informazioni sensibili e riservate tra autorità competenti. Fatto salvo il loro obbligo di segnalare gli incidenti e i rischi di dimensione unionale alla rete di collaborazione, è opportuno che l’accesso a informazioni riservate di altri Stati membri sia concesso soltanto agli Stati membri che dimostrano di possedere processi e risorse finanziarie, tecniche ed umane e un’infrastruttura di comunicazione tali da garantirne la partecipazione effettiva, efficiente e sicura alla rete.

(15)     La collaborazione tra il settore pubblico e il settore privato è essenziale visto che la maggioranza delle reti e dei sistemi informativi funziona per opera di operatori privati. Gli operatori del mercato devono essere incoraggiati a portare avanti propri meccanismi informali di collaborazione per garantire la sicurezza delle reti e dell’informazione. È necessario che essi collaborino anche con il settore pubblico e scambino informazioni e buone pratiche in cambio di supporto operativo in caso di incidenti.

(16)     Per garantire la trasparenza e una corretta informazione dei cittadini e degli operatori del mercato dell’UE è necessario che le competenti autorità allestiscano un sito comune su cui pubblicare informazioni non riservate sui rischi e sugli incidenti.

(17)     Qualora le informazioni siano considerate riservate in virtù di norme unionali e nazionali sulla riservatezza degli affari, è necessario che tale riservatezza sia garantita nello svolgimento delle attività e nella realizzazione degli obiettivi stabiliti dalla presente direttiva.

(18)     In base in particolare alle esperienze nazionali in materia di gestione delle crisi e in collaborazione con l’ENISA è opportuno che la Commissione e gli Stati membri elaborino un piano unionale di collaborazione in materia di SRI che definisce meccanismi di collaborazione nella lotta contro i rischi e gli incidenti. Occorre tenere debitamente conto di tale piano ai fini della segnalazione di preallarmi all’interno della rete di collaborazione.

(19)     È necessario notificare un preallarme nella rete solo se la portata e la gravità dell’incidente o del rischio di cui si tratta sono o potrebbero essere così significative da richiedere l’informazione o il coordinamento della risposta a livello dell’Unione. È quindi necessario che i preallarmi si limitino agli incidenti o ai rischi, effettivi o potenziali, che presentano una crescita rapida, che superano le capacità nazionali di risposta o che colpiscono più di uno Stato membro. Per garantirne la corretta valutazione è necessario che siano comunicate alla rete di collaborazione tutte le informazioni pertinenti alla valutazione del rischio o dell’incidente.

(20)     Dopo aver ricevuto e valutato un preallarme, è opportuno che le autorità competenti adottino una risposta coordinata nell’ambito del piano unionale di collaborazione materia di SRI. È necessario che le autorità competenti e la Commissione siano informate delle misure adottate a livello nazionale in esito alla risposta coordinata.

(21)     Data la natura planetaria dei problemi che interessano la sicurezza delle reti e dell’informazione è necessaria una cooperazione internazionale più stretta per migliorare le norme di sicurezza e gli scambi di informazioni e promuovere un approccio globale comune agli aspetti della SRI.

(22)     La responsabilità di garantire la sicurezza delle reti e dell’informazione incombe in larga misura alle pubbliche amministrazioni e agli operatori del mercato. È opportuno promuovere e sviluppare attraverso adeguati obblighi regolamentari e pratiche industriali volontarie una cultura della gestione del rischio, che comprende la valutazione del rischio e l’attuazione di misure di sicurezza commisurate al rischio corso. È altresì fondamentale creare pari condizioni per l’efficace funzionamento della rete di collaborazione in modo da garantire la collaborazione effettiva di tutti gli Stati membri.

(23)     La direttiva 2002/21/CE fa obbligo alle imprese che forniscono reti pubbliche di comunicazioni elettroniche o servizi di comunicazione elettronica accessibili al pubblico di adottare misure adeguate per salvaguardarne l’integrità e la sicurezza e introduce obblighi di comunicazione delle violazioni di sicurezza o perdita dell’integrità. La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche)[26] obbliga i fornitori di servizi di comunicazione elettronica accessibili al pubblico ad adottare misure e procedure tecniche e organizzative adeguate a salvaguardare la sicurezza dei loro servizi.

(24)     È opportuno che tali obblighi imposti al settore delle comunicazioni elettroniche siano estesi ai principali fornitori di servizi della società dell’informazione, quali definiti dalla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione[27], che supportano i servizi della società dell’informazione a valle o attività online come le piattaforme del commercio elettronico, i portali di pagamento su internet, le reti sociali, i motori di ricerca, i servizi nella nuvola e i negozi online di applicazioni. Le eventuali perturbazioni che colpiscono questi servizi essenziali della società dell’informazione impediscono la fornitura di altri servizi della società dell’informazione che si basano sui primi. Gli sviluppatori di programmi informatici e i costruttori di hardware non sono fornitori di servizi della società dell’informazione e sono pertanto esclusi. È necessario che i suddetti obblighi siano estesi anche alle pubbliche amministrazioni e agli operatori di infrastrutture critiche che dipendono pesantemente dalla tecnologia dell’informazione e delle comunicazioni e che sono essenziali per il mantenimento di funzioni vitali, in termini economici o societali, come l’elettricità e il gas, i trasporti, gli enti creditizi, le borse e la sanità. Le eventuali perturbazioni a carico di tali reti e sistemi informativi avrebbero ripercussioni sul mercato interno.

(25)     Le misure tecniche e organizzative imposte alle amministrazioni pubbliche e agli operatori del mercato non devono richiedere che una particolare informazione commerciale o un particolare prodotto della tecnologia delle comunicazioni siano concepiti, sviluppati e fabbricati in una maniera particolare.

(26)     È necessario che le amministrazioni pubbliche e gli operatori di mercato garantiscano la sicurezza delle reti e dei sistemi di cui hanno il controllo. Si tratta in particolare di reti e sistemi privati gestiti dal loro personale IT interno, oppure la cui sicurezza sia stata esternalizzata. Gli obblighi di notifica e di sicurezza devono applicarsi agli operatori del mercato e alle amministrazioni pubbliche indipendentemente dal fatto che la manutenzione delle loro reti e dei loro sistemi informativi sia eseguita al loro interno o sia esternalizzata.

(27)     Per evitare di imporre un onere finanziario e amministrativo sproporzionato a piccoli operatori e piccoli utenti, è necessario che gli obblighi siano proporzionati al rischio corso dalla rete o dal sistema informativo di cui si tratta, tenendo conto dello stato dell’arte di tali misure. Questi obblighi non devono applicarsi alle microimprese.

(28)     È opportuno che le autorità competenti procurino in particolare di salvaguardare l’esistenza di canali informali e affidabili di scambio di informazioni tra gli operatori del mercato e tra settore pubblico e privato. La pubblicità degli incidenti segnalati alle autorità competenti deve contemperare l’opportunità che il pubblico sia informato delle minacce esistenti con i possibili danni di immagine e commerciali per le pubbliche amministrazioni e gli operatori di mercato che segnalano gli incidenti. Nell’attuare gli obblighi di notifica è necessario che le autorità competenti tengano adeguatamente conto della necessità di mantenere strettamente riservate le informazioni sulle vulnerabilità del prodotto prima di diffondere i rimedi di sicurezza appropriati.

(29)     È necessario che le autorità competenti possiedano i mezzi necessari all’assolvimento dei loro compiti, come la facoltà di ottenere informazioni sufficienti dagli operatori del mercato e dalle amministrazioni pubbliche per valutare il livello di sicurezza delle reti e dei sistemi informativi, nonché dati attendibili e completi su incidenti reali che hanno avuto un impatto sul funzionamento delle reti e dei sistemi informativi.

(30)     In molti casi alla base di un incidente vi sono attività criminali. Si può sospettare la natura dolosa di incidenti anche se non vi sono prove sufficientemente chiare fin dall’inizio. Al riguardo, una risposta effettiva e esauriente alla minaccia di incidenti di sicurezza presuppone un’adeguata collaborazione tra autorità competenti e autorità di contrasto. In particolare, la promozione di un ambiente sicuro, affidabile e più resiliente richiede la segnalazione sistematica, alle autorità di contrasto, degli incidenti di cui si sospetta la natura dolosa grave. La natura dolosa grave degli incidenti va valutata alla luce delle norme dell’UE sulla cibercriminalità.

(31)     I molti casi gli incidenti compromettono dati personali. Al riguardo è opportuno che le autorità competenti e le autorità responsabili della protezione dei dati collaborino e si scambino informazioni su tutti gli aspetti pertinenti per affrontare le violazioni ai dati personali determinate dagli incidenti. Gli Stati membri devono adempiere l’obbligo di segnalazione degli incidenti di sicurezza in modo da minimizzare gli oneri amministrativi nel caso in cui l’incidente di sicurezza costituisca anche una violazione di dati personali, in conformità al regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati[28]. Coordinandosi con le autorità competenti e le autorità responsabili della protezione dei dati, l’ENISA può contribuire alla messa a punto di meccanismi e modelli per lo scambio di informazioni, evitando in questo modo che siano necessari due modelli di notifica. Un modello di notifica unico può facilitare la segnalazione di incidenti che compromettono dati personali, alleviando in questo modo gli oneri amministrativi per le imprese e le pubbliche amministrazioni.

(32)     La standardizzazione degli obblighi di sicurezza è un’esigenza che nasce dal mercato. Per garantire un’applicazione convergente delle norme di sicurezza è opportuno che gli Stati membri incoraggino il rispetto o la conformità a norme specifiche volte a garantire un livello elevato di sicurezza in tutta l’Unione. A tal fine potrebbe essere necessario elaborare norme armonizzate in conformità al regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio[29].

(33)     È opportuno che la Commissione riesamini le disposizioni della presente direttiva a scadenze regolari, in particolare per valutare la necessità di modificarle in funzione dell’evoluzione delle tecnologie o delle condizioni del mercato.

(34)     Per garantire il corretto funzionamento della rete di collaborazione deve essere conferito alla Commissione il potere di adottare atti a norma dell’articolo 290 del trattato sul funzionamento dell’Unione europea per quanto riguarda la definizione dei criteri che devono essere rispettati perché uno Stato membro sia autorizzato a partecipare al sistema sicuro di scambio di informazioni, la specificazione più precisa degli eventi che richiedono l’invio di un preallarme e la definizione delle circostanze alle quali gli operatori del mercato e le amministrazioni pubbliche sono tenuti a notificare gli incidenti.

(35)     È particolarmente importante che la Commissione, nel corso del suo lavoro preparatorio, svolga consultazioni adeguate, anche a livello di esperti. Quando elabora e redige atti delegati la Commissione è tenuta a procedere alla trasmissione contestuale, tempestiva ed appropriata dei relativi documenti al Parlamento europeo e al Consiglio.

(36)     Al fine di garantire condizioni uniformi di esecuzione della presente direttiva è opportuno attribuire alla Commissione competenze di esecuzione per quanto riguarda la collaborazione tra le autorità competenti e la Commissione nel quadro della rete di collaborazione, l’accesso all’infrastruttura sicura di scambio di informazioni, il piano unionale di collaborazione in materia di SRI, il formato e le procedure applicabili all’informazione del pubblico in merito agli incidenti e le pertinenti norme e/o le specifiche tecniche in materia di SRI. Tali competenze di esecuzione devono essere esercitate in conformità al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione[30].

(37)     Nell’applicazione della presente direttiva la Commissione deve coordinarsi adeguatamente con i comitati settoriali competenti e gli altri organi costituiti a livello dell’Unione in particolare nei settori dell’energia, dei trasporti, delle banche e della sanità.

(38)     Le informazioni considerate riservate da un’autorità competente, in conformità con la normativa unionale e nazionale sulla riservatezza degli affari, possono essere scambiate con la Commissione e con altre autorità competenti solo nella misura in cui tale scambio sia strettamente necessario ai fini dell’applicazione della presente direttiva. Lo scambio deve limitarsi alle sole informazioni pertinenti ed essere commisurato allo scopo.

(39)     Lo scambio di informazioni sui rischi e sugli incidenti all’interno della rete di collaborazione e il rispetto degli obblighi di notifica degli incidenti alle autorità nazionali competenti possono richiedere il trattamento di dati personali. Tale trattamento di dati personali è necessario per conseguire gli obiettivi di interesse pubblico perseguiti dalla presente direttiva ed è quindi legittimo in virtù dell’articolo 7 della direttiva 95/46/CE. In relazione a tali obiettivi legittimi esso non costituisce un intervento sproporzionato ed inammissibile che pregiudicherebbe la sostanza stessa del diritto di protezione dei dati personali sancito dall’articolo 8 della Carta dei diritti fondamentali. Nell’applicazione della presente direttiva si applica, per quanto di ragione, il regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione[31]. In caso di trattamento di dati da parte di istituzioni ed organismi dell’Unione, tale trattamento ai fini dell’attuazione della presente direttiva deve rispettare le disposizioni del regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati.

(40)     Poiché gli obiettivi della presente direttiva, ossia garantire un elevato livello di sicurezza delle reti e dell’informazione nell’Unione, non possono essere realizzati in misura sufficiente dai soli Stati membri e possono dunque, a causa della portata e degli effetti dell’azione, essere realizzati meglio a livello di Unione, quest’ultima può adottare provvedimenti in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(41)     La presente direttiva rispetta i diritti fondamentali e osserva i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea, in particolare il diritto al rispetto della vita privata e delle comunicazioni, la protezione dei dati personali, la libertà di impresa, il diritto di proprietà, il diritto a un ricorso effettivo dinanzi a un giudice e il diritto al contraddittorio. La presente direttiva deve essere applicata nel rispetto di tali diritti e principi,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

CAPO I

DISPOSIZIONI GENERALI

Articolo 1

Oggetto e campo di applicazione

1.           La presente direttiva stabilisce misure volte a garantire un livello comune elevato di Sicurezza delle reti e dell’informazione (in seguito SRI) nell’Unione.

2.           A tal fine la presente direttiva:

(a) stabilisce obblighi per tutti gli Stati membri in materia di prevenzione, trattamento e risposta nei confronti dei rischi e degli incidenti a carico delle reti e dei sistemi informativi;

(b) crea un meccanismo di collaborazione tra gli Stati membri per garantire un’applicazione uniforme della presente direttiva nell’Unione e, se necessario, una risposta e un trattamento coordinati ed efficienti dei rischi di incidenti a carico delle reti e dei sistemi informativi;

(c) stabilisce obblighi di sicurezza per gli operatori del mercato e le amministrazioni pubbliche.

3.           Gli obblighi di sicurezza di cui all’articolo 14 non si applicano né alle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, ai sensi della direttiva 2002/21/CE, le quali sono tenute a rispettare gli obblighi specifici di sicurezza e integrità stabiliti dagli articoli 13 bis e 13 ter della medesima direttiva, né ai prestatori di servizi fiduciari.

4.           La presente direttiva lascia impregiudicate le disposizioni legislative dell’Unione in materia di cibercriminalità e la direttiva 2008/114/CE del Consiglio, dell’8 dicembre 2008, relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione[32].

5.           La presente direttiva lascia impregiudicate anche le disposizioni della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati[33], della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati[34].

6.           Lo scambio di informazioni all’interno della rete di collaborazione in virtù delle disposizioni del capo III e le notifiche di incidenti a carico della SRI in virtù dell’articolo 14 possono comportare il trattamento di dati personali. Tale trattamento, necessario per conseguire gli obiettivi di pubblico interesse perseguiti dalla presente direttiva, è soggetto all’autorizzazione degli Stati membri a norma dell’articolo 7 della direttiva 95/46/CE e in virtù della direttiva 2002/58/CE quali recepite negli ordinamenti nazionali.

Articolo 2

Armonizzazione minima

Nulla osta a che gli Stati membri adottino o mantengano in vigore disposizioni atte a garantire un livello di sicurezza più elevato, fermi restando gli obblighi loro imposti dal diritto dell’Unione.

Articolo 3

Definizioni

Ai fini della presente direttiva si intende per:

(1) “rete e sistema informativo”,

(a) una rete di comunicazioni elettroniche ai sensi della direttiva 2002/21/CE e

(b) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati elettronici e

(c) i dati elettronici conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui alle lettere a) e b), per il loro funzionamento, uso, protezione e manutenzione;

(2) “sicurezza”, la capacità di una rete o di un sistema informativo di resistere, a un determinato livello di riservatezza, a eventi imprevisti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi offerti o accessibili tramite tale rete o sistema informativo;

(3) “rischio”, ogni circostanza o evento con potenziali effetti pregiudizievoli per la sicurezza;

(4) “incidente”, ogni circostanza o evento con un reale effetto pregiudizievole per la sicurezza;

(5) “servizi della società dell’informazione”, i servizi ai sensi dell’articolo 1, punto 2, della direttiva 98/34/CE;

(6) “piano di collaborazione in materia di SRI”, un piano che definisce il quadro dei ruoli organizzativi, delle responsabilità e delle procedure per il mantenimento o il ripristino dell’operatività delle reti e dei sistemi informativi qualora si verifichi un rischio o un incidente a loro carico;

(7) “trattamento dell’incidente”, tutte le procedure necessarie per l’analisi, il contenimento e la risposta a un incidente;

(8) “operatore del mercato”,

(a) fornitore di servizi della società dell’informazione che consentono la fornitura di altri servizi della società dell’informazione; un elenco non esaustivo di tali operatori figura nell’allegato II;

(b) operatore di infrastrutture critiche che sono essenziali per il mantenimento di attività vitali per l’economia e la società nei campi dell’energia, dei trasporti, delle banche, delle borse e della sanità; un elenco non esaustivo di tali operatori figura nell’allegato II;

(9) “norma”, una norma ai sensi del regolamento (UE) n. 1025/2012;

(10) “specifica”, una specifica ai sensi del regolamento (UE) n. 1025/2012;

(11) “prestatore di servizio fiduciario”, una persona fisica o giuridica che presta un servizio elettronico consistente nella creazione, verifica, convalida, nel trattamento e nella conservazione di firme elettroniche, sigilli elettronici, validazioni temporali elettroniche, documenti elettronici, servizi elettronici di recapito, autenticazione di siti web e certificati elettronici, compresi i certificati di firma elettronica e di sigillo elettronico.

CAPO II

QUADRI NAZIONALI PER LA SICUREZZA DELLE RETI E DELL’INFORMAZIONE

Articolo 4

Principio

Gli Stati membri assicurano un livello elevato di sicurezza delle reti e dei sistemi informativi nel loro territorio in conformità alla presente direttiva.

Articolo 5

Strategia nazionale e piano nazionale di collaborazione in materia di SRI

1.           Ogni Stato membro adotta una strategia nazionale in materia di SRI nella quale definisce gli obiettivi strategici e misure strategiche e regolamentari concrete per conseguire e conservare un livello elevato di sicurezza delle reti e dell’informazione. La strategia nazionale in materia di SRI affronta in particolare i seguenti aspetti:

(a) la definizione degli obiettivi e delle priorità della strategia in base ad un’analisi aggiornata dei rischi e degli incidenti;

(b) un quadro di governance per raggiungere obiettivi e priorità della strategia, con una definizione chiara dei ruoli e delle responsabilità degli organismi pubblici e degli altri attori implicati;

(c) l’individuazione delle misure generali di preparazione, risposta e recupero, con meccanismi di collaborazione tra settore pubblico e settore privato;

(d) l’indicazione di programmi di formazione, sensibilizzazione e istruzione;

(e) i piani di ricerca e sviluppo e la descrizione di come essi rispecchino le priorità individuate.

2.           La strategia nazionale comprende un piano nazionale di collaborazione in materia di SRI rispondente almeno alle seguenti prescrizioni:

(a) un piano di valutazione dei rischi per individuare i rischi e valutare le conseguenze di potenziali incidenti;

(b) la definizione dei ruoli e delle responsabilità dei vari attori implicati nell’attuazione del piano;

(c) la definizione dei processi di collaborazione e comunicazione che garantiscono la prevenzione, l’individuazione, la risposta, la riparazione e il recupero, con la relativa modulazione in funzione del livello di allerta;

(d) una tabella di marcia per esercitazioni relative alla SRI e formazioni per rafforzare, convalidare e testare il piano; una documentazione degli insegnamenti tratti e il loro inserimento negli aggiornamenti del piano.

3.           La strategia nazionale e il piano nazionale di collaborazione in materia di SRI sono comunicati alla Commissione entro un mese dalla loro adozione.

Articolo 6

Autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi

1.           Ogni Stato membro designa un’autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi (la “autorità competente”).

2.           Le autorità competenti controllano l’applicazione della presente direttiva a livello nazionale e contribuiscono alla coerenza di applicazione della medesima in tutta l’Unione.

3.           Gli Stati membri garantiscono che le autorità competenti siano dotate di risorse adeguate sul piano tecnico, finanziario e umano per eseguire in modo efficiente ed efficace i compiti loro assegnati e conseguire in questo modo gli obiettivi della presente direttiva. Gli Stati membri provvedono a garantire la collaborazione effettiva, efficiente e sicura delle autorità competenti attraverso la rete di cui all’articolo 8.

4.           Gli Stati membri procurano che le autorità competenti ricevano le notifiche degli incidenti da parte delle amministrazioni pubbliche e degli operatori del mercato come specificato all’articolo 14, paragrafo 2 e che siano loro attribuiti i poteri di attuazione e di controllo di cui all’articolo 15.

5.           Le autorità competenti consultano le competenti autorità nazionali di contrasto e le autorità nazionali competenti per la protezione dei dati e collaborano con le stesse come necessario.

6.           Ogni Stato membro comunica senza indugio alla Commissione l’autorità competente designata, i suoi compiti e qualsiasi ulteriore modifica dei medesimi. Ogni Stato membro rende pubblica l’autorità competente designata.

Articolo 7

Squadre di pronto intervento informatico

1.           Ogni Stato membro costituisce una squadra di pronto intervento informatico (in seguito “CERT”) col compito di trattare gli incidenti e i rischi secondo una procedura ben definita e conforme ai requisiti di cui all’allegato I, punto 1. È possibile creare una squadra CERT all’interno dell’autorità competente.

2.           Gli Stati membri procurano che le squadre CERT siano dotate di risorse umane, tecniche e finanziarie adeguate per l’adempimento dei loro compiti, precisati nell’allegato I, punto 2.

3.           Gli Stati membri procurano che le squadre CERT possano contare su un’infrastruttura di informazione e comunicazione sicura e resiliente a livello nazionale, che sia compatibile e interoperabile con il sistema sicuro di scambio di informazioni di cui all’articolo 9.

4.           Gli Stati membri comunicano alla Commissione le risorse e il mandato delle squadre CERT e la procedura di trattamento degli incidenti loro affidata.

5.           La squadra CERT opera sotto la supervisione dell’autorità competente la quale rivede periodicamente l’adeguatezza delle sue risorse, il mandato e l’efficacia della procedura di trattamento degli incidenti.

CAPO III

COOPERAZIONE FRA AUTORITÀ COMPETENTI

Articolo 8

Rete di collaborazione

1.           Le autorità competenti e la Commissione costituiscono una rete (rete di collaborazione) per collaborare in caso di rischi e incidenti a carico delle reti e dei sistemi informativi.

2.           La rete di collaborazione assicura la comunicazione permanente tra la Commissione e le autorità competenti. Se richiesta, l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) assiste la rete di collaborazione mettendole a disposizione le proprie competenze e consulenze.

3.           All’interno della rete di collaborazione le autorità competenti:

(a) diffondono preallarmi in merito a rischi e a incidenti in conformità all’articolo 10;

(b) garantiscono una risposta coordinata in conformità all’articolo 11;

(c) pubblicano periodicamente informazioni non riservate sui preallarmi in corso e sulla risposta coordinata su un sito comune;

(d) discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, una o più strategie nazionali e uno o più piani nazionali di collaborazione in materia di SRI ai sensi dell’articolo 5, nell’ambito della presente direttiva;

(e) discutono e valutano insieme, su richiesta di uno Stato membro o della Commissione, l’efficacia delle squadre CERT, in particolare in occasione di esercitazioni in materia di SRI eseguite a livello di Unione;

(f) collaborano e scambiano informazioni su tutti gli aspetti pertinenti col Centro europeo per la lotta alla criminalità informatica di Europol e con altri organismi europei competenti in particolare nei campi della protezione dei dati, dell’energia, dei trasporti, delle banche, delle borse e della sanità;

(g) si scambiano reciprocamente e comunicano alla Commissione informazioni e buone pratiche e si assistono reciprocamente ai fini della creazione di capacità in materia di SRI;

(h) organizzano periodicamente revisioni tra pari in materia di capacità e preparazione;

(i) organizzano esercitazioni in materia di SRI al livello di Unione e partecipano, secondo il caso, a esercitazioni internazionali in materia di SRI.

4.           La Commissione stabilisce, mediante atti di esecuzione, le modalità necessarie per agevolare la collaborazione di cui ai paragrafi 2 e 3 tra le autorità competenti e con la Commissione. Tali atti di esecuzione sono adottati secondo la procedura di consultazione di cui all’articolo 19, paragrafo 2.

Articolo 9

Sistema sicuro di scambio di informazioni

1.           Lo scambio di informazioni sensibili e riservate all’interno della rete di collaborazione avviene attraverso un’infrastruttura sicura.

2.           Alla Commissione è conferito il potere di adottare atti delegati, conformemente all’articolo 18, relativi alla definizione dei criteri che devono essere rispettati perché uno Stato membro sia autorizzato a partecipare al sistema sicuro di scambio di informazioni, riguardanti:

(a) la disponibilità di un’infrastruttura di informazione e comunicazione sicura e resiliente a livello nazionale, che sia compatibile e interoperabile con l’infrastruttura sicura della rete di collaborazione a norma dell’articolo 7, paragrafo 3, e

(b) l’esistenza di processi e risorse umane, tecniche e finanziarie adeguate per le proprie autorità competenti e squadre CERT, che ne permettano la partecipazione effettiva, efficiente e sicura al sistema sicuro di scambio di informazioni a norma dell’articolo 6, paragrafo 3, articolo 7, paragrafo 2 e articolo 7, paragrafo 3.

3.           La Commissione adotta, mediante atti di esecuzione, decisioni sull’accesso degli Stati membri a tale infrastruttura sicura, in base ai criteri di cui ai paragrafi 2 e 3. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 19, paragrafo 3.

Articolo 10 Preallarmi

1.           Le autorità competenti o la Commissione trasmettono preallarmi all’interno della rete di collaborazione in merito ai rischi e agli incidenti che rispondono ad una o più delle seguenti condizioni:

(a) la cui portata aumenta o è suscettibile di aumentare rapidamente;

(b) che superano o sono suscettibili di superare la capacità nazionale di risposta;

(c) che colpiscono o sono suscettibili di colpire più di uno Stato membro.

2.           Nei preallarmi le autorità competenti e la Commissione comunicano tutte le informazioni pertinenti in loro possesso che possono essere utili a valutare il rischio o l’incidente.

3.           Su richiesta di uno Stato membro o di propria iniziativa la Commissione può chiedere a uno Stato membro di fornire qualunque informazione pertinente su uno specifico rischio o incidente.

4.           Qualora il preallarme riguardi un rischio o un incidente di sospetta natura dolosa, le autorità competenti o la Commissione ne informano il Centro europeo per la lotta alla criminalità informatica di Europol.

5.           Alla Commissione è conferito il potere di adottare atti delegati, conformemente all’articolo 18, per precisare ulteriormente i rischi e gli incidenti per i quali è necessaria la trasmissione dei preallarmi di cui al paragrafo 1.

Articolo 11 Risposta coordinata

1.           In seguito ad un preallarme a norma dell’articolo 10 le autorità competenti adottano, dopo aver valutato le informazioni pertinenti, una risposta coordinata in conformità al piano unionale di collaborazione in materia di SRI di cui all’articolo 12.

2.           Le varie misure adottate a livello nazionale in esito alla risposta coordinata sono comunicate alla rete di collaborazione.

Articolo 12

Piano unionale di collaborazione in materia di SRI

1.           Alla Commissione è conferito il potere di adottare, mediante atti di esecuzione, un piano unionale di collaborazione in materia di SRI. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 19, paragrafo 3.

2.           Il piano unionale di collaborazione in materia di SRI comporta:

(a) ai fini dell’applicazione dell’articolo 10,

– una definizione del formato e delle procedure di raccolta e scambio di informazioni compatibili e comparabili sui rischi e sugli incidenti da parte delle autorità competenti,

– una definizione delle procedure e dei criteri di valutazione dei rischi e degli incidenti da parte della rete di collaborazione;

(b) la procedura da seguire per le risposte coordinate di cui all’articolo 11, con l’individuazione dei ruoli e delle responsabilità e delle procedure di collaborazione;

(c) una tabella di marcia di esercitazioni relative alla SRI e formazioni per rafforzare, convalidare e testare il piano;

(d) un programma relativo al trasferimento di conoscenze tra gli Stati membri in materia di creazione di capacità e apprendimento tra pari;

(e) un programma di sensibilizzazione e formazione tra gli Stati membri.

3.           Il piano unionale di collaborazione in materia di SRI è adottato non oltre l’anno successivo all’entrata in vigore della presente direttiva ed è riveduto periodicamente.

Articolo 13

Cooperazione internazionale

Ferma restando la possibilità, per la rete di collaborazione, di intrattenere una cooperazione informale a livello internazionale, l’Unione può concludere accordi internazionali con paesi terzi o organizzazioni internazionali che permettono o organizzano la loro partecipazione ad alcune delle attività della rete di collaborazione. Tali accordi tengono conto della necessità di garantire la protezione adeguata dei dati personali che circolano nella rete di collaborazione.

CAPO IV

SICUREZZA DELLE RETI E DEI SISTEMI INFORMATIVI DELLE PUBBLICHE AMMINISTRAZIONI E DEGLI OPERATORI DEL MERCATO

Articolo 14

Obblighi in materia di sicurezza e notifica degli incidenti

1.           Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato adottino misure tecniche e organizzative adeguate alla gestione dei rischi che corre la sicurezza delle reti e dei sistemi informativi di cui hanno il controllo e che usano nelle loro operazioni. Tenuto conto delle conoscenze più aggiornate in materia, dette misure assicurano un livello di sicurezza adeguato al rischio in essere. In particolare sono adottate misure per prevenire e minimizzare l’impatto di incidenti a carico delle reti e dei sistemi informativi relativi ai servizi principali prestati, assicurando in questo modo la continuità dei servizi supportati da tali reti e sistemi informativi.

2.           Gli Stati membri procurano che le amministrazioni pubbliche e gli operatori del mercato notifichino all’autorità competente gli incidenti aventi un impatto significativo sulla sicurezza dei servizi principali prestati.

3.           Gli obblighi di cui ai paragrafi 1 e 2 si applicano a tutti gli operatori del mercato che prestano servizi all’interno dell’Unione europea.

4.           L’autorità competente può informare il pubblico, oppure richiedere alle amministrazioni pubbliche e agli operatori del mercato di informarlo, se ritiene che la divulgazione dell’incidente sia di pubblico interesse. Una volta l’anno l’autorità competente trasmette alla rete di collaborazione una relazione sintetica delle notifiche ricevute e delle misure adottate conformemente al presente paragrafo.

5.           Alla Commissione è conferito il potere di adottare atti delegati conformemente all’articolo 18 riguardanti la definizione delle circostanze alle quali le amministrazioni pubbliche e gli operatori del mercato sono tenuti a notificare gli incidenti.

6.           Fatti salvi gli atti delegati adottati a norma del paragrafo 5, le autorità competenti possono adottare orientamenti e, se necessario, emanare istruzioni sulle circostanze alle quali le amministrazioni pubbliche e gli operatori del mercato sono tenuti a notificare gli incidenti.

7.           Alla Commissione è conferito il potere di definire, mediante atti di esecuzione, i formati e le procedure applicabili ai fini del paragrafo 2. Tali atti di esecuzione sono adottati secondo la procedura di esame di cui all’articolo 19, paragrafo 3.

8.           Il disposto dei paragrafi 1 e 2 non si applica alle microimprese quali definite nella raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, relativa alla definizione delle microimprese, piccole e medie imprese[35].

Articolo 15

Attuazione e controllo

1.           Gli Stati membri procurano che le autorità competenti siano dotate di tutti i poteri necessari per indagare i casi di mancato rispetto, da parte delle amministrazioni pubbliche o degli operatori del mercato, degli obblighi loro imposti dall’articolo 14 e gli effetti di tale mancato rispetto sulla sicurezza delle reti e dei sistemi informativi.

2.           Gli Stati membri procurano che le autorità competenti abbiano il potere di richiedere agli operatori del mercato e alle amministrazioni pubbliche di:

(a) fornire le informazioni necessarie per valutare la sicurezza delle loro reti e dei loro sistemi informativi, compresi i documenti relativi alle politiche di sicurezza;

(b) sottoporsi ad audit condotto da un organismo qualificato indipendente o da un’autorità nazionale e metterne i risultati a disposizione dell’autorità competente.

3.           Gli Stati membri procurano che le autorità competenti abbiano il potere di emanare istruzioni vincolanti per gli operatori del mercato e le amministrazioni pubbliche.

4.           Le autorità competenti notificano alle autorità di contrasto gli incidenti di cui sospettano la natura dolosa grave.

5.           Le autorità competenti operano in stretta cooperazione con le autorità competenti della protezione dei dati personali nei casi di incidenti che comportano violazioni di dati personali.

6.           Gli Stati membri garantiscono che gli obblighi imposti dal presente capo alle pubbliche amministrazioni e agli operatori del mercato possano essere soggetti a controllo giurisdizionale.

Articolo 16

Normazione

1.           Per garantire l’attuazione convergente del disposto dell’articolo 14, paragrafo 1, gli Stati membri incoraggiano l’uso di norme e/o specifiche relative alla sicurezza delle reti e dell’informazione.

2.           Mediante atti di esecuzione la Commissione redige un elenco delle norme di cui al paragrafo 1. L’elenco è pubblicato nella Gazzetta ufficiale dell’Unione europea.

CAPO V

DISPOSIZIONI FINALI

Articolo 17

Sanzioni

1.           Gli Stati membri stabiliscono le norme relative alle sanzioni da irrogare in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva e prendono tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri notificano tali disposizioni alla Commissione entro la data di attuazione della presente direttiva e provvedono a dare immediata notifica di ogni successiva modifica.

2.           Gli Stati membri procurano che, se un incidente di sicurezza coinvolge dati personali, le sanzioni previste siano coerenti con le sanzioni contemplate dal regolamento del Parlamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati[36].

Articolo 18

Esercizio della delega

1.           Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.           È conferito alla Commissione il potere di adottare gli atti delegati di cui all’articolo 9, paragrafo 2, all’articolo 10, paragrafo 5, e all’articolo 14, paragrafo 5. La Commissione elabora una relazione sulla delega di potere al più tardi nove mesi prima della scadenza del periodo di cinque anni. La delega di potere è tacitamente prorogata per periodi di identica durata, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga al più tardi tre mesi prima della scadenza di ciascun periodo.

3.           La delega di potere di cui all’articolo 9, paragrafo 2, all’articolo 10, paragrafo 5 e all’articolo 14, paragrafo 5, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.           Non appena adotta un atto delegato, la Commissione lo notifica simultaneamente al Parlamento europeo e al Consiglio.

5.           L’atto delegato adottato ai sensi dell’articolo 9, paragrafo 2, dell’articolo 10, paragrafo 5 e dell’articolo 14, paragrafo 5, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni. Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 19

Procedura di comitato

1.           La Commissione è assistita da un comitato (in prosieguo “il comitato per la sicurezza delle reti e dell’informazione”). Tale comitato è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.           Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 4 del regolamento (UE) n. 182/2011.

3.           Nei casi in cui è fatto riferimento al presente paragrafo, si applica l’articolo 5 del regolamento (UE) n. 182/2011.

Articolo 20

Revisione

La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La prima relazione è presentata entro tre anni dalla data di attuazione di cui all’articolo 21. A tal fine la Commissione può chiedere agli Stati membri di fornire informazioni senza ritardi.

Articolo 21

Attuazione

1.           Gli Stati membri adottano e pubblicano, entro [un anno dalla data di adozione], le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

Essi applicano tali disposizioni a partire da [un anno e mezzo dalla data di adozione].

Quando gli Stati membri adottano tali disposizioni, queste contengono un riferimento alla presente direttiva o sono corredate di un siffatto riferimento all’atto della loro pubblicazione ufficiale. Le modalità del riferimento sono decise dagli Stati membri.

2.           Gli Stati membri comunicano alla Commissione il testo delle disposizioni essenziali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.

Articolo 22

Entrata in vigore

La presente direttiva entra in vigore il [ventesimo] giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Articolo 23

Destinatari

Gli Stati membri sono destinatari della presente direttiva.

Fatto a Bruxelles,

Per il Parlamento europeo                            Per il Consiglio

Il presidente                                                   Il presidente

ALLEGATO I

Requisiti e compiti delle squadre di pronto intervento informatico (CERT)

I requisiti e i compiti delle squadre CERT devono essere adeguatamente e chiaramente definiti nel quadro di una strategia e/o di una regolamentazione nazionale. Essi includono quanto segue:

(1) Requisiti per le squadre CERT

(a) La squadra CERT garantisce un’elevata disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che le permettono di essere contattata e di contattare altri. Inoltre, i canali di comunicazione sono chiaramente specificati e ben noti alla sua base di utenti e ai partner con cui collabora.

(b) La squadra CERT attua e gestisce misure di sicurezza che garantiscono la riservatezza, l’integrità, la disponibilità e l’autenticità delle informazioni che riceve e tratta.

(c) Gli uffici della squadra CERT e i sistemi informativi di supporto sono ubicati in siti sicuri.

(d) È istituito un sistema di gestione della qualità del servizio per seguire le prestazioni della squadra CERT e garantire un costante processo di miglioramento. Tale sistema si basa su metriche chiaramente definite che includono livelli formali di servizio e indicatori principali di prestazione.

(e) Continuità operativa:

– la squadra CERT è dotata di un sistema adeguato di gestione e inoltro delle richieste in modo da facilitare i passaggi,

– la squadra CERT dispone di personale sufficiente per garantirne l’operatività 24 ore su 24,

– la squadra CERT opera in base a un’infrastruttura di cui è garantita la continuità. A tal fine è necessario costituire sistemi ridondanti e spazi di lavoro di backup perché la squadra CERT possa garantire l’accesso permanente ai mezzi di comunicazione.

(2) Compiti delle squadre CERT

(a) I compiti delle squadre CERT comprendono almeno:

– monitoraggio degli incidenti a livello nazionale,

– emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti,

– risposta agli incidenti,

– informazioni sul rischio dinamico e analisi degli incidenti, nonché sensibilizzazione situazionale,

– massiccia sensibilizzazione del pubblico sui rischi connessi all’attività online,

– organizzazione di campagne sulla sicurezza delle reti e dell’informazione (SRI).

(b) Le squadre CERT stabiliscono relazioni di cooperazione con il settore privato.

(c) Per facilitare la cooperazione, le squadre CERT promuovono l’adozione e l’uso di prassi comuni o standardizzate nei seguenti settori:

– procedure di trattamento degli incidenti e dei rischi,

– programmi di classificazione degli incidenti, dei rischi e delle informazioni,

– tassonomie delle metriche,

– modelli di scambi di informazione su rischi, incidenti e convenzioni di denominazione dei sistemi.

ALLEGATO II

Elenco degli operatori del mercato

Operatori di cui all’articolo 3, paragrafo 8, lettera a):

1. Piattaforme di commercio elettronico

2. Portali di pagamento su internet

3. Reti sociali

4. Motori di ricerca

5. Servizi nella nuvola (cloud computing)

6. Negozi online di applicazioni

Operatori di cui all’articolo 3, paragrafo 8, lettera b):

1. Energia

– Fornitori di elettricità e di gas

– Operatori dei sistemi di distribuzione dell’elettricità e/o del gas e distributori al dettaglio ai consumatori finali

– Gestori dei sistemi di trasporto, di impianti di stoccaggio o di impianti di GNL nel settore del gas naturale

– Operatori dei sistemi di trasmissione nel settore dell’energia elettrica

– Oleodotti e depositi di petrolio

– Operatori del mercato dell’energia elettrica e del gas

– Operatori di impianti di produzione, raffinazione e trattamento di petrolio e gas naturale

2. Trasporti

– Vettori aerei (trasporto aereo di merci e passeggeri)

– Vettori marittimi (compagnie di navigazione per il trasporto marittimo e costiero di passeggeri e per il trasporto marittimo e costiero di merci)

– Trasporto ferroviario (gestori dell’infrastruttura, imprese integrate e operatori di trasporto ferroviario)

– Aeroporti

– Porti

– Operatori attivi nel controllo della gestione del traffico

– Servizi logistici ausiliari a) deposito e stoccaggio, b) movimentazione merci e c) altre attività di supporto ai trasporti)

3. Settore bancario: enti creditizi ai sensi dell’articolo 4, punto 1, della direttiva 2006/48/CE.

4. Infrastrutture dei mercati finanziari: Borse e stanze di compensazione di tipo controparte centrale

5. Settore sanitario: istituti sanitari (compresi ospedali e cliniche private) e altri soggetti che forniscono assistenza sanitaria

SCHEDA FINANZIARIA LEGISLATIVA

1.           CONTESTO DELLA PROPOSTA/INIZIATIVA

              1.1.    Titolo della proposta/iniziativa

              1.2.    Settore/settori interessati nella struttura ABM/ABB

              1.3.    Natura della proposta/iniziativa

              1.4.    Obiettivi

              1.5.    Motivazione della proposta/iniziativa

              1.6.    Durata e incidenza finanziaria

              1.7.    Modalità di gestione prevista

2.           MISURE DI GESTIONE

              2.1.    Disposizioni in materia di monitoraggio e di relazioni

              2.2.    Sistema di gestione e di controllo

              2.3.    Misure di prevenzione delle frodi e delle irregolarità

3.           INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA

              3.1.    Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

              3.2.    Incidenza prevista sulle spese

              3.2.1. Sintesi dell’incidenza prevista sulle spese

              3.2.2. Incidenza prevista sugli stanziamenti operativi

              3.2.3. Incidenza prevista sugli stanziamenti di natura amministrativa

              3.2.4. Compatibilità con il quadro finanziario pluriennale attuale

              3.2.5. Partecipazione di terzi al finanziamento

              3.3.    Incidenza prevista sulle entrate

SCHEDA FINANZIARIA LEGISLATIVA

1.           CONTESTO DELLA PROPOSTA/INIZIATIVA

1.1.        Titolo della proposta/iniziativa

Proposta di direttiva del Parlamento europeo e del Consiglio recante misure volte ad garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione.

1.2.        Settore/settori interessati nella struttura ABM/ABB[37]

- 09 – Reti di comunicazione, contenuti e tecnologie

1.3.        Natura della proposta/iniziativa

ý La proposta/iniziativa riguarda una nuova azione

¨ La proposta/iniziativa riguarda una nuova azione a seguito di un progetto pilota/un’azione preparatoria[38]

¨ La proposta/iniziativa riguarda la proroga di un’azione esistente

¨ La proposta/iniziativa riguarda un’azione riorientata verso una nuova azione

1.4.        Obiettivi

1.4.1.     Obiettivo/obiettivi strategici pluriennali della Commissione oggetto della proposta/iniziativa

Lo scopo della direttiva proposta è assicurare un livello comune elevato di sicurezza delle reti e dell’informazione (SRI) nell’Unione.

1.4.2.     Obiettivi specifici e attività ABM/ABB interessate

La proposta stabilisce misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione.

Gli obiettivi specifici sono:

1.       istituire un livello minimo di sicurezza delle reti e dell’informazione negli Stati membri aumentando il livello generale di preparazione e risposta;

2.       migliorare la collaborazione a livello dell’Unione in materia di sicurezza delle reti e dell’informazione per lottare efficacemente contro le minacce e gli incidenti transfrontalieri. Sarà creata un’infrastruttura di scambio sicuro di informazioni per consentire lo scambio di informazioni sensibili e riservate tra autorità competenti;

3.       creare una cultura di gestione del rischio e migliorare lo scambio di informazioni tra i settori pubblico e privato.

Attività ABM/ABB interessate

La direttiva copre entità (imprese e organizzazioni, comprese le PMI) in una serie di settori (energia, trasporti, enti creditizi e borse, sanità e facilitatori di servizi internet fondamentali), oltre che le amministrazioni pubbliche; essa riguarda anche i legami con le autorità di contrasto e la protezione dei dati e gli aspetti di sicurezza delle reti e dell’informazione nelle relazioni esterne.

- 09 – Reti di comunicazione, contenuti e tecnologie

- 02 – Imprese

- 32 - Energia

- 06 - Mobilità e trasporti

- 17 - Salute e tutela dei consumatori

- 18 – Affari interni

- 19 - Relazioni esterne

- 33 - Giustizia

- 12 - Mercato interno

1.4.3.     Risultati e incidenza previsti

Precisare gli effetti che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.

Notevole miglioramento della protezione dei consumatori, delle imprese e delle amministrazioni dell’UE contro incidenti, minacce e rischi per la sicurezza delle reti e dell’informazione.

Per ulteriori dettagli si rinvia alla sezione 8.2 (Impatto dell’opzione 2 – Approccio regolamentare) del documento di lavoro dei servizi della Commissione sulla valutazione d’impatto che accompagna la presente proposta legislativa.

1.4.4.     Indicatori di risultato e di impatto

Precisare gli indicatori che permettono di seguire l’attuazione della proposta/iniziativa.

Gli indicatori relativi al monitoraggio e alla valutazione figurano nella sezione 10 della valutazione d’impatto.

1.5.        Motivazione della proposta/iniziativa

1.5.1.     Necessità da coprire nel breve e lungo termine

Ogni Stato membro dovrà dotarsi di:

- una strategia nazionale in materia di sicurezza delle reti e dell’informazione (SRI);

- un piano di collaborazione in materia di sicurezza delle reti e dell’informazione (SRI);

- un’autorità nazionale competente in materia di sicurezza delle reti e dell’informazione (SRI), nonché di

- una squadra di pronto intervento informatico (CERT).

A livello dell’UE gli Stati membri dovranno collaborare attraverso una rete.

Le amministrazioni pubbliche e i principali operatori privati dovranno effettuare la gestione del rischio in materia di SRI e notificare alle autorità competenti gli incidenti a carico della sicurezza delle reti e dell’informazione aventi un impatto significativo.

1.5.2.     Valore aggiunto dell’intervento dell’Unione europea

Data la natura transfrontaliera della sicurezza delle reti e dell’informazione le divergenze nelle pertinenti politiche e legislazioni rappresentano un ostacolo per le imprese che intendono operare in vari paesi e per il raggiungimento di economie globali di scala. La mancanza di un intervento livello dell’UE creerebbe una situazione in cui ogni Stato membro agirebbe da solo senza tener conto delle interdipendenze tra le reti e sistemi informativi.

Gli obiettivi prefissati possono quindi essere raggiunti attraverso un’azione a livello dell’UE meglio che attraverso l’azione dei singoli Stati membri.

1.5.3.     Insegnamenti tratti da esperienze analoghe

La proposta è motivata dalla constatazione che sono necessari obblighi regolamentari per creare parità di condizioni e porre rimedio a determinate lacune legislative. In questo campo, un approccio esclusivamente facoltativo ha fatto sì che la cooperazione funzioni solo tra una minoranza di Stati membri che hanno un livello elevato di capacità.

1.5.4.     Compatibilità ed eventuale sinergia con altri strumenti pertinenti

La proposta è del tutto coerente con l’Agenda digitale europea e quindi con la strategia Europa 2020. È anche coerente e complementare con il quadro normativo per le comunicazioni elettroniche dell’UE, con la direttiva sulle infrastrutture critiche europee e con la direttiva sulla protezione dei dati.

La presente proposta accompagna la comunicazione congiunta della Commissione e dell’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza relativa ad una strategia europea per la cibersicurezza e ne costituisce parte integrante.

1.6.        Durata e incidenza finanziaria

– ¨ Proposta/iniziativa di durata limitata

– ¨  Proposta/iniziativa in vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA

– ¨  Incidenza finanziaria dal AAAA al AAAA

– ý Proposta/iniziativa di durata illimitata

– Il periodo di attuazione inizierà immediatamente dopo l’adozione (prevista nel 2015) durerà 18 mesi. L’applicazione della direttiva inizierà tuttavia dopo l’adozione e comporterà la creazione dell’infrastruttura sicura a supporto della collaborazione tra gli Stati membri;

– vi farà seguito un funzionamento a pieno ritmo.

1.7.        Modalità di gestione prevista[39]

– ý Gestione centralizzata diretta da parte della Commissione

– ý Gestione centralizzata indiretta con delega delle funzioni di esecuzione a:

– ¨Agenzie esecutive

– x Organismi creati dalle Comunità[40]

– ¨  Organismi pubblici nazionali/organismi investiti di attribuzioni di servizio pubblico

– ¨  Persone incaricate di attuare azioni specifiche di cui al titolo V del trattato sull’Unione europea, che devono essere indicate nel pertinente atto di base ai sensi dell’articolo 49 del regolamento finanziario

– ¨ Gestione concorrente con gli Stati membri

– ¨ Gestione decentrata con paesi terzi

– ¨ Gestione congiunta con organizzazioni internazionali, compresa l’Agenzia spaziale europea

Se è indicata più di una modalità, fornire ulteriori informazioni alla voce “Osservazioni”.

Osservazioni

L’ENISA, a un’agenzia decentralizzata creata dalle Comunità, può assistere gli Stati membri e la Commissione nell’attuazione della direttiva in base al suo mandato e mediante riassegnazione delle risorse previste per tale agenzia dal quadro finanziario pluriennale 2014-2020.

2.           MISURE DI GESTIONE

2.1.        Disposizioni in materia di monitoraggio e di relazioni

Precisare frequenza e condizioni.

La Commissione riesaminerà periodicamente il funzionamento della direttiva e presenterà una relazione in proposito al Parlamento europeo e al Consiglio.

La Commissione valuterà anche il corretto recepimento della direttiva da parte degli Stati membri.

La proposta riguardante il CEF prevede anche la possibilità di procedere a una valutazione delle modalità di realizzazione dei progetti e dell’impatto della loro attuazione, al fine di stabilire se gli obiettivi previsti, compresi quelli in materia di tutela dell’ambiente, siano stati raggiunti.

2.2.        Sistema di gestione e di controllo

2.2.1.     Rischi individuati

- ritardi nell’attuazione del progetto di creazione dell’infrastruttura sicura

2.2.2.     Modalità di controllo previste

Le convenzioni e le decisioni di attuazione delle azioni in virtù del CEF prevedranno la supervisione e il controllo finanziario da parte della Commissione o di un rappresentante da essa ha autorizzato, nonché verifiche della Corte dei conti e controlli in loco svolti dall’Ufficio europeo per la lotta antifrode (OLAF).

2.2.3.     Costi e benefici dei controlli e probabile tasso di non conformità

Controlli ex ante e ex post basati sul rischio e la possibilità di controlli in loco permetteranno di mantenere i costi dei controlli a un livello ragionevole.

2.3.        Misure di prevenzione delle frodi e delle irregolarità

Precisare le misure di prevenzione e tutela in vigore o previste.

La Commissione adotta provvedimenti opportuni volti a garantire che, nella realizzazione delle azioni finanziate ai sensi della presente direttiva, gli interessi finanziari dell’Unione siano tutelati mediante l’applicazione di misure preventive contro la frode, la corruzione e ogni altra attività illecita, mediante controlli efficaci e, ove fossero rilevate irregolarità, mediante il recupero delle somme indebitamente versate e, se del caso, sanzioni efficaci, proporzionate e dissuasive.

La Commissione o i suoi rappresentanti e la Corte dei conti hanno potere di revisione contabile, esercitabile sulla base di documenti e sul posto, su tutti i beneficiari di sovvenzioni, contraenti e subcontraenti che hanno ottenuto finanziamenti dell’Unione nell’ambito del programma.

L’Ufficio europeo per la lotta antifrode (OLAF) può effettuare controlli e verifiche sul posto presso gli operatori economici che siano direttamente o indirettamente interessati da tali finanziamenti, secondo le procedure stabilite dal regolamento (Euratom, CE) n. 2185/96, per accertare eventuali frodi, casi di corruzione o altre attività illecite lesive degli interessi finanziari dell’Unione in relazione a convenzioni o decisioni di sovvenzione o a contratti relativi ai finanziamenti stessi.

Fatti salvi i commi precedenti, gli accordi di cooperazione con paesi terzi e organizzazioni internazionali, le convenzioni e decisioni di sovvenzione e i contratti conclusi in applicazione del presente regolamento devono abilitare espressamente la Commissione, la Corte dei conti e l’OLAF a svolgere tali revisioni, controlli e verifiche sul posto.

Il CEF prevede che i contratti di sovvenzione e gli appalti seguano i contratti tipo che precisano le misure antifrode generalmente applicabili.

3.           INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA

3.1.        Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

· Linee di bilancio esistenti

Secondo l’ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.

Rubrica del quadro finanziario pluriennale || Linea di bilancio || Natura della spesa || Partecipazione

Numero [Denominazione…...….] || Diss./Non diss. ([41]) || di paesi EFTA[42] || di paesi candidati[43] || di paesi terzi || ai sensi dell’articolo 18, paragrafo 1, lettera a bis), del regolamento finanziario

|| 09 03 02          promuovere l’interconnessione e l’interoperabilità dei servizi pubblici nazionali online nonché l’accesso a tali reti || Diss. || NO || NO || NO || NO

· Nuove linee di bilancio di cui è chiesta la creazione:

Secondo l’ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.

Rubrica del quadro finanziario pluriennale || Linea di bilancio || Natura della spesa || Partecipazione

Numero [Denominazione…...….] || Diss./Non diss. || di paesi EFTA || di paesi candidati || di paesi terzi || ai sensi dell’articolo 18, paragrafo 1, lettera a bis), del regolamento finanziario

|| [XX.YY.YY.YY] || || SÌ/NO || SÌ/NO || SÌ/NO || SÌ/NO

3.2.        Incidenza prevista sulle spese

3.2.1.     Sintesi dell’incidenza prevista sulle spese

Mio EUR (al terzo decimale)

Rubrica del quadro finanziario pluriennale: || 1 || Crescita intelligente e inclusiva

DG: <…….> || || || 2015*[44] || Anno 2016 || Anno 2017 || Anno 2018 || Anni successivi (2019-2021) e oltre || TOTALE

Ÿ Stanziamenti operativi || || || || || || || ||

09 03 02 || Impegni || (1) || 1,250** || 0,000 || || || || || || 1,250

Pagamenti || (2) || 0,750 || 0,250 || 0,250 || || || || || 1,250

Stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici[45] || 0,000 || || || || || || || 0,000

Numero della linea di bilancio || || (3) || 0,000 || || || || || || || 0,000

TOTALE degli stanziamenti per la DG <….> || Impegni || =1+1a +3 || 1,250 || 0,000 || || || || || || 1,250

Pagamenti || =2+2a +3 || 0,750 || 0,250 || 0,250 || || || || || 1,250

Ÿ TOTALE degli stanziamenti operativi || Impegni || (4) || 1,250 || 0,000 || || || || || || 1,250

Pagamenti || (5) || 0,750 || 0,250 || 0,250 || || || || || 1,250

Ÿ TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici || (6) || 0,000 || || || || || || ||

TOTALE degli stanziamenti per la RUBRICA 1 del quadro finanziario pluriennale || Impegni || =4+ 6 || 1,250 || 0,000 || || || || || || 1,250

Pagamenti || =5+ 6 || 0,750 || 0,250 || 0,250 || || || || || 1,250

* Il calendario preciso dipenderà dalla data di adozione della proposta da parte del legislatore (ossia se la direttiva sarà approvata nel corso del 2014 l’adattamento di un’infrastruttura esistente inizierà nel 2015, altrimenti un anno più tardi).

** Se gli Stati membri scelgono di usare un’infrastruttura esistente e di coprire il costo di adattamento una tantum avvalendosi del bilancio dell’UE, come spiegato nei punti 1.4.3 e 1.7, il costo di personalizzazione di una rete a sostegno della cooperazione tra gli Stati membri, conformemente al capo III della direttiva (preallarme, risposta coordinata ecc.) si stima a 1 250 000 EUR. Quest’importo è leggermente più alto di quello indicato nella valutazione d’impatto (“circa 1 milione di EUR”) perché si basa su una stima più precisa degli elementi costitutivi necessari per la costruzione di tale infrastruttura. Gli elementi costitutivi necessari e i relativi costi si basano su una stima del CCR che si fonda sull’esperienza di elaborazione di sistemi simili in altri settori come la sanità pubblica; essi comprenderebbero: un sistema di allerta rapida e di notifica per la sicurezza delle reti e dell’informazione (SRI) (275 000 EUR); una piattaforma di scambio di informazioni (400 000 EUR); un sistema di preallarme e di reazione (275 000 EUR); una “sala situazione” (300 000 EUR), per un totale di 1 250 000 EUR. Un piano di attuazione più dettagliato sarà presentato nel quadro dello studio di fattibilità atteso nell’ambito del contratto specifico SMART 2012/0010: ‘Studio di fattibilità e attività preparatorie della realizzazione di un sistema di preallarme e di reazione contro ciberattacchi e ciberperturbazioni’.

Se la proposta/iniziativa incide su più rubriche:

Ÿ TOTALE degli stanziamenti operativi || Impegni || (4) || 0,000 || 0,000 || || || || || ||

Pagamenti || (5) || 0,000 || 0,000 || || || || || ||

Ÿ TOTALE degli stanziamenti di natura amministrativa finanziati dalla dotazione di programmi specifici || (6) || 0,000 || 0,000 || || || || || ||

TOTALE degli stanziamenti per le RUBRICHE da 1 a 4 del quadro finanziario pluriennale (Importo di riferimento) || Impegni || =4+ 6 || 1,250 || 0,000 || || || || || || 1,250

Pagamenti || =5+ 6 || 0,750 || 0,250 || 0,250 || || || || || 1,250

Rubrica del quadro finanziario pluriennale || 5 || “Spese amministrative”

Mio EUR (al terzo decimale)

|| || || Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anni successivi (2019-2021) e oltre || TOTALE

DG:CNECT ||

Ÿ Risorse umane || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 4,004

Ÿ Altre spese amministrative || 0,318 || 0,118 || 0,318 || 0,118 || 0,318 || 0,118 || 0,118 || 1,426

TOTALE DG CNECT || Stanziamenti || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

TOTALE degli stanziamenti per la RUBRICA 5 del quadro finanziario pluriennale || (Totale impegni = Totale pagamenti) || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

Mio EUR (al terzo decimale)

|| || || Anno 2015[46] || Anno 2016 || Anno 2017 || Anno 2018 || Anni successivi (2019-2021) e oltre || TOTALE

TOTALE degli stanziamenti per le RUBRICHE da 1 a 5 del quadro finanziario pluriennale || Impegni || 2,140 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 6,680

Pagamenti || 1,640 || 0,940 || 1,140 || 0,690 || 0,890 || 0,690 || 0,690 || 6,680

3.2.2.     Incidenza prevista sugli stanziamenti operativi

– ¨ La proposta/iniziativa non comporta l’utilizzo di stanziamenti operativi

– þ La proposta/iniziativa comporta l’utilizzo di stanziamenti operativi, come spiegato di seguito:

– Stanziamenti di impegno in Mio EUR (al terzo decimale)

Specificare gli obiettivi e i risultati ò || || || Anno 2015* || Anno 2016 || Anno 2017 || Anno 2018 || Anni successivi (2019-2021) e oltre || TOTALE

RISULTATI

Tipo di risultato [47] || Costo medio || Numero || Costo || Numero || Costo || Numero || Costo || Numero || Costo || Numero || Costo || Numero || Costo || Numero || Costo || Numero totale || Costo totale

OBIETTIVO SPECIFICO 2[48] Infrastruttura sicura di scambio di informazioni || || || || || || || || || || || || || || || ||

- Risultato || Adatta-mento dell’infrastruttura || || || || || || || || || || || || || || || || ||

Totale parziale Obiettivo specifico 2 || 1 || 1,250** || || || || || || || || || || || || || 1 || 1,250

COSTO TOTALE || || 1,250 || || || || || || || || || || || || || || 1,250

* Il calendario preciso dipenderà dalla data di adozione della proposta da parte del legislatore (ossia se la direttiva sarà approvata nel corso del 2014 l’adattamento di un’infrastruttura esistente inizierà nel 2015, altrimenti un anno più tardi).

** Vedere sezione 3.2.1.

3.2.3.     Incidenza prevista sugli stanziamenti di natura amministrativa

3.2.3.1.  Sintesi

– ¨  La proposta/iniziativa non comporta l’utilizzo di stanziamenti amministrativi

– þ  La proposta/iniziativa comporta l’utilizzo di stanziamenti amministrativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

|| Anno 2015[49] || Anno 2016 || Anno 2017 || Anno 2018 || Anni successivi (2019-2021) e oltre || TOTALE

RUBRICA 5 del quadro finanziario pluriennale || || || || || || || ||

Risorse umane || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 0,572 || 4,004

Altre spese amministrative || 0,318 || 0,118 || 0,318 || 0,118 || 0,318 || 0,118 || 0,118 || 1,426

Totale parziale RUBRICA 5 del quadro finanziario pluriennale || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

Esclusa la RUBRICA 5 [50] del quadro finanziario pluriennale || || || || || || || ||

Risorse umane || 0,000 || 0,000 || || || || || || 0,000

Altre spese di natura amministrativa || || || || || || || ||

Totale parziale esclusa la RUBRICA 5 del quadro finanziario pluriennale || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

TOTALE || 0,890 || 0,690 || 0,890 || 0,690 || 0,890 || 0,690 || 0,690 || 5,430

Gli stanziamenti amministrativi richiesti saranno coperti dagli stanziamenti della DG CNECT già assegnati alla gestione dell’azione e/o riassegnati all’interno della DG, integrati dall’eventuale dotazione supplementare concessa alla DG responsabile nell’ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

L’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) può assistere gli Stati membri e la Commissione nell’attuazione della direttiva in base al suo mandato e mediante riassegnazione delle risorse previste per tale agenzia dal quadro finanziario pluriennale 2014-2020, ossia senza assegnazione di risorse finanziarie o umane aggiuntive.

3.2.3.2.  Fabbisogno previsto di risorse umane

– ¨  La proposta/iniziativa non comporta l’utilizzo di risorse umane

– þ  La proposta/iniziativa comporta l’utilizzazione di risorse umane della Commissione, come spiegato di seguito:

In linea di massima non saranno necessarie risorse umane supplementari. Le risorse umane necessarie saranno molto limitate e vi farà fronte il personale della DG che è già assegnato alla gestione dell’azione.

Stima da esprimere in numeri interi (o, al massimo, con un decimale)

|| Anno 2015 || Anno 2016 || Anno 2017 || Anno 2018 || Anni successivi (2019-2021) e oltre

Ÿ Posti della tabella dell’organico (funzionari e agenti temporanei)

09 01 01 01 (in sede e negli uffici di rappresentanza della Commissione) || 4 || 4 || 4 || 4 || 4 || 4 || 4

XX 01 01 02 (nelle delegazioni) || || || || || || ||

XX 01 05 01 (ricerca indiretta) || || || || || || ||

10 01 05 01 (ricerca diretta) || || || || || || ||

Ÿ Personale esterno (in equivalenti a tempo pieno: ETP)[51]

09 01 02 01 (AC, END e INT della “dotazione globale”) || 1 || 1 || 1 || 1 || 1 || 1 || 1

XX 01 02 02 (AC, AL, END, INT e JED nelle delegazioni) || || || || || || ||

XX 01 04 yy[52] || - in sede[53] || || || || || || ||

- nelle delegazioni || || || || || || ||

XX 01 05 02 (AC, END e INT – Ricerca indiretta) || || || || || || ||

10 01 05 02 (AC, END e INT – Ricerca diretta) || || || || || || ||

Altre linee di bilancio (specificare) || || || || || || ||

TOTALE || 5 || 5 || 5 || 5 || 5 || 5 || 5

XX è il settore o il titolo di bilancio interessato.

Il fabbisogno di risorse umane è coperto dal personale della DG CNECT già assegnato alla gestione dell’azione e/o riassegnato all’interno della stessa DG, integrato dall’eventuale dotazione supplementare concessa alla DG responsabile nell’ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

L’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) può assistere gli Stati membri e la Commissione nell’attuazione della direttiva in base al suo mandato attuale e mediante riassegnazione delle risorse previste per tale agenzia dal quadro finanziario pluriennale 2014-2020, ossia senza assegnazione di risorse finanziarie o umane aggiuntive.

Descrizione dei compiti da svolgere:

Funzionari e agenti temporanei || - Elaborazione di atti delegati a norma dell’articolo 14, paragrafo 3                                        - Elaborazione di atti di esecuzione a norma dell’articolo 8, dell’articolo 9, paragrafo 2, dell’articolo 12, dell’articolo 14, paragrafo 5 e dell’articolo 16 - Contribuire alla collaborazione in rete a livello sia strategico che operativo - Avvio di dibattiti internazionali ed eventuale conclusione di accordi internazionali

Personale esterno || Supporto a tutti i compiti sopra illustrati in funzione delle necessità.

3.2.4.     Compatibilità con il quadro finanziario pluriennale attuale

– þ  La proposta/iniziativa è compatibile con il quadro finanziario pluriennale attuale.

– ¨  La proposta/iniziativa implica una riprogrammazione della pertinente rubrica del quadro finanziario pluriennale.

L’impatto finanziario stimato sulle spese operative della proposta si verificherà se gli Stati membri scelgono di adattare un’infrastruttura esistente e chiedono alla Commissione di realizzarne l’adattamento nell’ambito del QFP 2014-2020. Il relativo costo una tantum sarà coperto nell’ambito del CEF purché siano disponibili fondi sufficienti. In alternativa gli Stati membri possono spartirsi i costi dell’adattamento dell’infrastruttura o i costi di creazione di un’infrastruttura nuova.

– ¨  La proposta/iniziativa richiede l’applicazione dello strumento di flessibilità o la revisione del quadro finanziario pluriennale[54].

Non pertinente.

3.2.5.     Partecipazione di terzi al finanziamento

– La proposta/iniziativa non prevede il cofinanziamento da parte di terzi

3.3.        Incidenza prevista sulle entrate

– þ  La proposta/iniziativa non ha incidenza finanziaria sulle entrate.

[1]               La consultazione pubblica online sul tema “Migliorare la sicurezza delle reti dell’informazione nell’UE” si è svolta dal 23 luglio al 15 ottobre 2012.

[2]               Eurobarometro 390 (2012).

[3]               COM(2001) 298.

[4]               COM(2006) 251     http://www.cc.cec/sg_vista/cgi-bin/repository/getdoc/COMM_PDF_COM_2006_0251_F_IT_ACTE.pdf.

[5]               2007/068/01.

[6]               COM(2009) 149.

[7]               2009/C 321/01.

[8]               COM(2010) 245.

[9]               Conclusioni del Consiglio del 31 maggio 2010 sull’Agenda digitale europea (10130/10).

[10]             COM(2010) 2020 e conclusioni del Consiglio europeo del 25-26 marzo 2010 (EUCO 7/10).

[11]             COM(2011) 163.

[12]             http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32004R0460:IT:HTML.

[13]             COM(2010) 521.

[14]             V. http://ec.europa.eu/information_society/policy/ecomm/doc/library/regframeforec_dec2009.pdf.

[15]             Articoli 13 bis e 13 ter della direttiva quadro.

[16]             Direttiva 2002/58 del 12 luglio 2002.

[17]             COM(2012) 11.

[18]             COM(2006) 786     http://www.cc.cec/sg_vista/cgi-bin/repository/getdoc/COMM_PDF_COM_2006_0786_F_IT_ACTE.pdf.

[19]             COM(2010) 517,    http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0517:FIN:IT:PDF.

[20]             COM(2012) 140,    http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0140:FIN:IT:PDF.

[21]             http://europa.eu/rapid/press-release_MEMO-10-597_en.htm.

[22]             http://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/european-public-private-partnership-for-resilience-ep3r.

[23]             Regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione (GU L 77 del 13.3.2004, pag. 1).

[24]               GU C […] del […], pag. […].

[25]               GU L 108 del 24.4.2002, pag. 33.

[26]               GU L 201 del 31.7.2002, pag. 37.

[27]               GU L 204 del 21.7.1998, pag. 37.

[28]               SEC(2012) 72 definitivo.

[29]               GU L 316 del 14.11.2012, pag. 12.

[30]               GU L 55 del 28.2.2011, pag. 13.

[31]               GU L 145 del 31.5.2001, pag. 43.

[32]               GU L 345 del 23.12.2008, pag. 75.

[33]             GU L 281 del 23.11.1995, pag. 31.

[34]             SEC(2012) 72 definitivo.

[35]             GU L 124 del 20.5.2003, pag. 36.

[36]             SEC(2012) 72 definitivo.

[37]             ABM: Activity Based Management (gestione per attività) – ABB: Activity Based Budgeting (bilancio per attività).

[38]             A norma dell’articolo 49, paragrafo 6, lettera a) o b), del regolamento finanziario.

[39]             Le spiegazioni sulle modalità di gestione e i riferimenti al regolamento finanziario sono disponibili sul sito BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.htmlhttp://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

[40]             A norma dell’articolo 185 del regolamento finanziario.

[41]             SD = Stanziamenti dissociati / SND = Stanziamenti non dissociati.

[42]             EFTA: Associazione europea di libero scambio.

[43]             Paesi candidati e, se del caso, paesi potenziali candidati dei Balcani occidentali.

[44]             L’anno N è l’anno in cui inizia a essere attuata la proposta/iniziativa.

[45]             Assistenza tecnica e/o amministrativa e spese di sostegno all’attuazione di programmi e/o azioni dell’UE (ex linee “BA”), ricerca indiretta, ricerca diretta.

[46]             L’anno N è l’anno in cui inizia a essere attuata la proposta/iniziativa.

[47]             I risultati sono i prodotti e i servizi da fornire (ad esempio: numero di scambi di studenti finanziati, numero di chilometri di strade costruiti ecc.).

[48]             Quale descritto nella sezione 1.4.2. “Obiettivo/obiettivi specifici…”.

[49]             L’anno N è l’anno in cui inizia a essere attuata la proposta/iniziativa.

[50]             Assistenza tecnica e/o amministrativa e spese di sostegno all’attuazione di programmi e/o azioni dell’UE (ex linee “BA”), ricerca indiretta, ricerca diretta.

[51]             AC = agente contrattuale; INT = personale interinale (intérimaire); JED = giovane esperto in delegazione (jeune expert en délégation); AL = agente locale; END = esperto nazionale distaccato;

[52]             Sottomassimale per il personale esterno previsto dagli stanziamenti operativi (ex linee “BA”).

[53]             Principalmente per i fondi strutturali, il Fondo europeo agricolo per lo sviluppo rurale (FEASR) e il Fondo europeo per la pesca (FEP).

[54]             Cfr. punti 19 e 24 dell’Accordo interistituzionale.