COMMISSIONE EUROPEA

Bruxelles, 16.12.2020

COM(2020) 829 final

2020/0365(COD)

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

sulla resilienza dei soggetti critici

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

RELAZIONE

1.CONTESTO DELLA PROPOSTA

·Motivi e obiettivi della proposta

·Coerenza con le disposizioni vigenti nel settore normativo interessato

La presente proposta rispecchia le priorità della strategia dell'UE per l'Unione della sicurezza illustrate nella relativa comunicazione della Commissione 11 . Tale strategia invoca una revisione dell'approccio alla resilienza delle infrastrutture critiche, che rispecchi meglio il panorama di rischio attuale e previsto per il futuro, l'interdipendenza sempre più stretta fra i diversi settori e anche le relazioni sempre più interdipendenti tra infrastrutture fisiche e digitali.

La direttiva proposta sostituisce la direttiva ECI, tenendo conto di altri strumenti esistenti e previsti e basandosi su di essi. Rappresenta un cambiamento considerevole rispetto alla direttiva ECI, che si applica solo ai settori dell'energia e dei trasporti, si concentra solo su misure protettive e prevede una procedura per l'individuazione e la designazione delle ECI attraverso un dialogo transfrontaliero. In primo luogo, la direttiva proposta avrebbe un ambito di applicazione molto più ampio e riguarderebbe dieci settori vale a dire energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, amministrazione pubblica e spazio. In secondo luogo, essa prevede una procedura che consente agli Stati membri di individuare i soggetti critici usando criteri comuni sulla base di una valutazione nazionale dei rischi. In terzo luogo, la proposta stabilisce obblighi per gli Stati membri e per i soggetti critici da essi individuati, compresi quelli con particolare rilevanza a livello europeo, cioè i soggetti critici che forniscono servizi essenziali a, o in, più di un terzo degli Stati membri, e che sarebbero oggetto di una specifica sorveglianza.

Se del caso, la Commissione aiuterebbe le autorità competenti e i soggetti critici a onorare gli obblighi derivanti dalla direttiva. Inoltre, il gruppo per la resilienza dei soggetti critici, che è un gruppo di esperti della Commissione rientrante nel quadro orizzontale applicabile a tali gruppi, fornirebbe consulenza alla Commissione e promuoverebbe la cooperazione strategica e lo scambio di informazioni. Infine, poiché le interdipendenze non si fermano alle frontiere esterne dell'UE, è anche necessario un dialogo con i paesi partner. La direttiva proposta prevede la possibilità di una tale cooperazione, ad esempio nel campo della valutazione dei rischi.

Coerenza con le altre normative dell'Unione

La direttiva proposta presenta collegamenti evidenti ed è coerente con altre iniziative dell'UE settoriali e intersettoriali riguardanti, fra l'altro, la capacità di reagire ai cambiamenti climatici, la protezione civile, gli investimenti esteri diretti (IED), la cibersicurezza e l'acquis relativo ai servizi finanziari. In particolare, la proposta è strettamente allineata e crea strette sinergie con la proposta di direttiva NIS 2, che mira ad aumentare la resilienza multirischio delle tecnologie dell'informazione e della comunicazione (TIC) da parte dei "soggetti essenziali" e dei "soggetti importanti" che raggiungono specifiche soglie in una vasta gamma di settori. La presente proposta di direttiva sulla resilienza dei soggetti critici mira a garantire che le autorità competenti da essa designate e quelle designate ai sensi della proposta di direttiva NIS 2 adottino misure complementari e si scambino le informazioni necessarie sulla resilienza informatica e non informatica, e che i soggetti particolarmente critici nei settori considerati come "essenziali" ai sensi della proposta di direttiva NIS 2 siano anche sottoposti a obblighi più generali di aumento della resilienza per affrontare i rischi non informatici. La sicurezza fisica dei sistemi informatici e di rete dei soggetti che operano nel settore delle infrastrutture digitali è esaurientemente trattata nella proposta di direttiva NIS 2 come parte degli obblighi di tali soggetti in materia di gestione e segnalazione dei rischi per la cibersicurezza. La proposta si basa inoltre sull'acquis relativo ai servizi finanziari, che stabilisce, per i soggetti finanziari, ampi requisiti di gestione dei rischi operativi e di garanzia di continuità operativa. Pertanto, ai sensi della presente proposta di direttiva, i soggetti appartenenti al settore delle infrastrutture digitali e ai settori bancario e finanziario dovrebbero essere trattati come equivalenti ai soggetti critici ai fini degli obblighi e delle attività degli Stati membri; la presente proposta di direttiva non comporterebbe tuttavia obblighi supplementari per tali soggetti.

La proposta tiene conto anche di altre iniziative settoriali e intersettoriali riguardanti, ad esempio, la protezione civile, la riduzione del rischio di catastrofi e l'adattamento ai cambiamenti climatici. La proposta riconosce inoltre che, in certi casi, la legislazione esistente dell'UE impone ai soggetti degli obblighi allo scopo di affrontare determinati rischi attraverso misure di protezione. In tali casi, ad esempio per quanto riguarda la sicurezza aerea o marittima, i soggetti critici dovrebbero descrivere tali misure nei loro piani di resilienza. La direttiva proposta non pregiudica inoltre l'applicazione delle norme in materia di concorrenza stabilite dal trattato sul funzionamento dell'Unione europea (TFUE).

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

·Base giuridica

·Sussidiarietà

·Proporzionalità

·Scelta dell'atto giuridico

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

·Valutazioni ex post / Vaglio di adeguatezza della legislazione vigente

Nel 2019 la direttiva sulle infrastrutture critiche europee (ECI) è stata oggetto di una valutazione volta a vagliarne l'attuazione in termini di pertinenza, coerenza, efficacia, efficienza, valore aggiunto dell'UE e sostenibilità 12 .

Dalla valutazione è emerso che dall'entrata in vigore della direttiva il contesto è notevolmente cambiato. Alla luce di tali cambiamenti, la direttiva è risultata essere solo parzialmente pertinente. La valutazione ha rilevato che la direttiva è nel complesso coerente con la legislazione e le politiche settoriali europee in materia a livello internazionale. A causa del carattere generale di alcune delle sue disposizioni è risultata però efficace solo in parte. La valutazione ha concluso che la direttiva ha generato un valore aggiunto dell'UE nella misura in cui ha raggiunto dei risultati (vale a dire un quadro comune per la protezione delle ECI) che non sarebbe stato possibile conseguire né con iniziative nazionali né con altre iniziative europee senza dover avviare processi molto più lunghi, più costosi e non altrettanto ben definiti. Detto questo, il valore aggiunto di alcune disposizioni è risultato comunque limitato per molti Stati membri.

Per quanto riguarda la sostenibilità, alcuni effetti generati dalla direttiva (ad esempio i dialoghi fra i vari Stati e gli obblighi di comunicazione) erano previsti cessare qualora la direttiva fosse stata abrogata e non sostituita. Dalla valutazione è emerso che gli Stati membri continuano ad essere favorevoli alla partecipazione dell'UE agli sforzi volti a rafforzare la resilienza delle infrastrutture critiche, ed è emersa inoltre la preoccupazione che l'abrogazione completa della direttiva possa avere conseguenze negative sul settore, e nello specifico sulla protezione delle ECI designate come tali. Gli Stati membri sono risultati intenzionati ad assicurare che l'impegno dell'Unione in questo settore continui a rispettare il principio di sussidiarietà, sostenga le misure a livello nazionale e faciliti la cooperazione transfrontaliera, anche con paesi terzi.

·Consultazioni dei portatori di interessi

·Assunzione e uso di perizie

·Valutazione d'impatto

–Opzione 1: mantenimento dell'attuale direttiva ECI, accompagnato da misure volontarie nel contesto dell'attuale programma EPCIP.

–Opzione 2: revisione dell'attuale direttiva ECI per coprire gli stessi settori dell'attuale direttiva NIS e concentrarsi maggiormente sulla resilienza. La nuova direttiva ECI implicherebbe dei cambiamenti rispetto all'attuale processo transfrontaliero di designazione delle infrastrutture critiche europee, compresi nuovi criteri di designazione e nuovi obblighi per gli Stati membri e gli operatori.

–Opzione 3: sostituzione dell'attuale direttiva ECI con un nuovo strumento volto ad aumentare la resilienza dei soggetti critici nei settori considerati come essenziali dalla proposta di direttiva NIS 2. Questa opzione stabilirebbe prescrizioni minime per gli Stati membri e per i soggetti critici individuati nel nuovo quadro, e introdurrebbe una procedura per l'individuazione dei soggetti critici che offrono servizi a, o in, diversi, se non tutti, gli Stati membri. L'attuazione della legislazione sarebbe sostenuta da un apposito polo di conoscenze in seno alla Commissione.

–Opzione 4: sostituzione dell'attuale direttiva ECI con un nuovo strumento volto ad aumentare la resilienza dei soggetti critici nei settori considerati come essenziali dalla proposta di direttiva NIS 2, e che preveda un ruolo più sostanziale per la Commissione nell'individuazione dei soggetti critici e la creazione di un'apposita agenzia dell'UE responsabile della resilienza delle infrastrutture critiche (che assumerebbe i ruoli e le responsabilità assegnati al polo di conoscenze proposto nell'opzione precedente).

·Efficienza normativa e semplificazione

·Diritti fondamentali

4.INCIDENZA SUL BILANCIO

–attività di supporto da parte della Commissione tra cui personale, progetti, studi e attività di sostegno;

–missioni di consulenza organizzate dalla Commissione;

–riunioni periodiche del gruppo per la resilienza dei soggetti critici, del comitato di comitatologia, e altre riunioni.

5.ALTRI ELEMENTI

·Piani attuativi e modalità di monitoraggio, valutazione e informazione

L'attuazione della direttiva proposta sarà riesaminata entro quattro anni e mezzo dalla sua entrata in vigore, dopodiché la Commissione presenterà una relazione al Parlamento europeo e al Consiglio. Tale relazione valuterà in che misura gli Stati membri abbiano adottato le disposizioni necessarie per conformarsi alla direttiva. Una relazione di valutazione dell'impatto e del valore aggiunto della direttiva sarà sottoposta dalla Commissione al Parlamento europeo e al Consiglio entro sei anni dalla sua entrata in vigore.

·Illustrazione dettagliata delle singole disposizioni della proposta

Oggetto, ambito di applicazione e definizioni (articoli 1-2)

L'articolo 1 definisce l'oggetto e l'ambito di applicazione della direttiva, che impone agli Stati membri di adottare determinate misure volte a garantire la fornitura, nel mercato interno, di servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, in particolare di individuare i soggetti critici e di provvedere affinché adempiano a specifici obblighi volti ad aumentare la loro resilienza e a migliorare la loro capacità di fornire tali servizi nel mercato interno. La direttiva contiene inoltre disposizioni riguardanti la vigilanza sui soggetti critici e l'esecuzione delle norme da parte di questi, e la specifica sorveglianza dei soggetti critici considerati di particolare rilevanza a livello europeo. L'articolo 1 spiega inoltre il rapporto tra la direttiva e altri atti pertinenti del diritto dell'Unione, e le condizioni che disciplinano lo scambio, con la Commissione e con altre autorità competenti, di informazioni riservate ai sensi delle norme dell'Unione e delle norme nazionali. L'articolo 2 fornisce un elenco delle definizioni applicabili.

Quadri nazionali per la resilienza dei soggetti critici (articoli 3-9)

L'articolo 3 stabilisce che gli Stati membri devono adottare una strategia per rafforzare la resilienza dei soggetti critici. Descrive gli elementi che tale strategia dovrebbe comportare, indica che essa dovrebbe essere aggiornata periodicamente e quando necessario, e stabilisce che gli Stati membri devono comunicare le loro strategie e i relativi aggiornamenti alla Commissione. L'articolo 4 stabilisce che le autorità competenti devono stilare un elenco di servizi essenziali ed effettuare periodicamente una valutazione di tutti i rischi rilevanti che possono ripercuotersi sulla fornitura di tali servizi, allo scopo di individuare i soggetti critici. Tale disamina tiene conto delle valutazioni dei rischi effettuate conformemente ad altri atti pertinenti del diritto dell'Unione, dei rischi derivanti dalle dipendenze fra specifici settori e delle informazioni disponibili sugli incidenti. Gli Stati membri garantiscono che gli elementi rilevanti della valutazione dei rischi siano messi a disposizione dei soggetti critici e che i dati sui tipi di rischi individuati e i risultati delle loro valutazioni siano messi regolarmente a disposizione della Commissione.

L'articolo 5 stabilisce che gli Stati membri devono individuare i soggetti critici in specifici settori e sottosettori. Il processo di individuazione dovrebbe tenere conto dei risultati della valutazione dei rischi e applicare criteri specifici. Gli Stati membri stabiliranno un elenco di soggetti critici, che sarà aggiornato quando necessario e a scadenze periodiche. Ai soggetti critici verrà debitamente notificata la loro individuazione come tali e gli obblighi che ciò comporta. Le autorità competenti responsabili dell'attuazione della direttiva notificheranno alle autorità competenti responsabili dell'attuazione della direttiva NIS 2 l'individuazione dei soggetti critici. Qualora un soggetto sia stato individuato come critico da due o più Stati membri, gli Stati membri devono avviare consultazioni reciproche allo scopo di ridurre l'onere che grava su tale soggetto. Nel caso in cui i soggetti critici forniscano servizi a o in più di un terzo degli Stati membri, gli Stati membri interessati notificano alla Commissione l'identità di tali soggetti.

L'articolo 6 definisce l'espressione "effetti negativi rilevanti" di cui all'articolo 5, paragrafo 2, e stabilisce che gli Stati membri devono presentare alla Commissione alcuni tipi di informazioni riguardanti i soggetti critici individuati e le modalità in cui sono stati individuati. L'articolo 6 conferisce inoltre alla Commissione la facoltà di adottare orientamenti pertinenti previa consultazione del gruppo per la resilienza dei soggetti critici.

L'articolo 7 stabilisce che gli Stati membri devono individuare i soggetti del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali che devono essere trattati come equivalenti ai soggetti critici ai fini del solo capo II. Tali soggetti dovrebbero essere informati di tale individuazione.

L'articolo 8 stabilisce che ciascuno Stato membro deve designare, assicurandone anche le risorse adeguate, una o più autorità competenti responsabili della corretta applicazione della direttiva a livello nazionale e un punto di contatto unico incaricato di garantire la cooperazione transfrontaliera. Il punto di contatto unico trasmette periodicamente alla Commissione una relazione di sintesi sulle notifiche di incidenti. Ai sensi dell'articolo 8, le autorità competenti responsabili dell'applicazione della direttiva devono cooperare con le altre autorità nazionali rilevanti, comprese le autorità competenti designate ai sensi della direttiva NIS 2. Ai sensi dell'articolo 9, gli Stati membri aiutano i soggetti critici a garantire la propria resilienza, e agevolano la cooperazione e lo scambio volontario di informazioni e buone prassi fra le autorità competenti e i soggetti critici.

Resilienza dei soggetti critici (articoli 10-13)

L'articolo 10 stabilisce che i soggetti critici devono esaminare periodicamente tutti i rischi rilevanti sulla base di valutazioni nazionali e di altre fonti di informazione pertinenti. L'articolo 11 stabilisce che i soggetti critici devono adottare misure tecniche e organizzative adeguate e proporzionate per garantire la propria resilienza, e devono provvedere a che tali misure siano descritte in un piano di resilienza o in uno o più documenti equivalenti. Gli Stati membri possono chiedere che la Commissione organizzi missioni per fornire consulenza ai soggetti critici riguardo all'adempimento dei loro obblighi. L'articolo 11 conferisce alla Commissione anche il potere, ove necessario, di adottare atti delegati e di esecuzione.

Ai sensi dell'articolo 12 gli Stati membri devono garantire che i soggetti critici possano presentare richiesta di controllo dei precedenti personali dei dipendenti che rientrano o che potrebbero rientrare in specifiche categorie, e che tali richieste siano valutate rapidamente dalle autorità responsabili dell'effettuazione di tali controlli. L'articolo descrive lo scopo, l'ambito di applicazione e il contenuto dei controlli dei precedenti personali, che devono tutti rispettare il regolamento generale sulla protezione dei dati.

Ai sensi dell'articolo 13, gli Stati membri devono garantire che i soggetti critici notifichino all'autorità competente gli incidenti che perturbano in modo significativo o possono perturbare in modo significativo le loro operazioni. Le autorità competenti, a loro volta, forniranno ai soggetti critici notificanti le pertinenti informazioni di follow-up. Attraverso il punto di contatto unico le autorità competenti informeranno anche i punti di contatto unici negli altri Stati membri interessati qualora l'incidente abbia, o possa avere, un impatto transfrontaliero in uno o più altri Stati membri.

Specifica sorveglianza sui soggetti critici di particolare rilevanza europea (articoli 14-15)

Ai sensi della definizione dell'articolo 14, i soggetti critici di particolare rilevanza europea sono i soggetti individuati come critici e che forniscono servizi essenziali a o in più di un terzo degli Stati membri. Al ricevimento della notifica di cui all'articolo 5, paragrafo 6, la Commissione deve comunicare al soggetto interessato la sua individuazione come soggetto critico di particolare rilevanza europea, gli obblighi che ciò comporta e la data a decorrere dalla quale tali obblighi cominciano ad applicarsi. L'articolo 15 definisce le disposizioni in materia di specifica sorveglianza applicabili ai soggetti critici di particolare rilevanza europea, che comportano, su richiesta, che gli Stati membri ospitanti forniscano alla Commissione e al gruppo per la resilienza dei soggetti critici le informazioni sulla valutazione dei rischi svolta ai sensi dell'articolo 10, e comunichino loro le misure adottate conformemente all'articolo 11, così come qualsiasi azione di vigilanza o di esecuzione. L'articolo 15 stabilisce inoltre che la Commissione possa organizzare missioni di consulenza per valutare le misure predisposte da specifici soggetti critici di particolare rilevanza europea. Sulla base di un'analisi dei risultati della missione di consulenza da parte del gruppo per la resilienza dei soggetti critici, la Commissione comunica allo Stato membro in cui è situata l'infrastruttura del soggetto la sua opinione sull'adempimento o meno degli obblighi da parte di tale soggetto e, se del caso, quali misure potrebbero essere adottate per migliorare la sua resilienza. L'articolo descrive la composizione, l'organizzazione e il finanziamento delle missioni di consulenza. Dispone infine che la Commissione debba adottare un atto d'esecuzione che stabilisca le norme relative alle modalità procedurali per lo svolgimento delle missioni di consulenza e per le attinenti relazioni.

Cooperazione e comunicazione (articoli 16-17)

L'articolo 16 definisce il ruolo e i compiti del gruppo per la resilienza dei soggetti critici, che sarà composto da rappresentanti degli Stati membri e della Commissione. Il gruppo per la resilienza dei soggetti critici sostiene la Commissione e agevola la cooperazione strategica e lo scambio di informazioni. L'articolo specifica che la Commissione può adottare atti di esecuzione che stabiliscano le modalità procedurali necessarie per il funzionamento del gruppo. L'articolo 17 stabilisce che la Commissione, ove necessario, aiuta gli Stati membri e i soggetti critici ad adempiere agli obblighi ad essi incombenti ai sensi della direttiva, e integra le attività degli Stati membri di cui all'articolo 9.

Vigilanza ed esecuzione (articoli 18-19)

L'articolo 18 stabilisce che gli Stati membri dispongono di determinati poteri, mezzi e responsabilità nel garantire l'attuazione e l'esecuzione della direttiva. Gli Stati membri provvedono affinché, quando un'autorità competente valuta il rispetto degli obblighi da parte di un soggetto critico, essa informi le autorità competenti dello Stato membro interessato designate ai sensi della direttiva NIS 2 e possa chiedere a tali autorità di valutare la cibersicurezza di tale soggetto, e cooperi e scambi informazioni a tal fine. L'articolo 19 stabilisce che, conformemente a una pratica consolidata, gli Stati membri devono definire le norme relative alle sanzioni applicabili in caso di violazioni e devono adottare tutte le misure necessarie per assicurarne l'attuazione.

Disposizioni finali (articoli 20-26)

Ai sensi dell'articolo 20, la Commissione è assistita da un comitato ai sensi del regolamento (UE) n. 182/2011. Si tratta di un articolo standard. L'articolo 21 conferisce alla Commissione il potere di adottare atti delegati alle condizioni previste da tale articolo. Anche in questo caso si tratta di un articolo standard. Ai sensi dell'articolo 22, la Commissione deve presentare al Parlamento europeo e al Consiglio una relazione che valuta in quale misura gli Stati membri abbiano adottato le misure necessarie per conformarsi alla direttiva. Deve inoltre essere presentata regolarmente al Parlamento europeo e al Consiglio una relazione che valuti l'impatto e il valore aggiunto della direttiva, e che esamini se il suo ambito di applicazione debba essere esteso ad altri settori o sottosettori, incluso il settore della produzione, trasformazione e distribuzione alimentare.

L'articolo 23 sancisce l'abrogazione della direttiva 2008/114/CE a decorrere dalla data di entrata in applicazione della presente direttiva. Ai sensi dell'articolo 24 gli Stati membri adottano e pubblicano, entro i termini stabiliti, le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla direttiva, e ne informano la Commissione. Il testo delle disposizioni fondamentali di diritto interno che essi adottano nel settore disciplinato dalla direttiva sarà comunicato alla Commissione. L'articolo 25 dispone che la direttiva entri in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea. L'articolo 26 specifica che i destinatari della direttiva sono gli Stati membri.

2020/0365 (COD)

Proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

sulla resilienza dei soggetti critici

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 14 ,

visto il parere del Comitato delle regioni 15 ,

deliberando secondo la procedura legislativa ordinaria 16 ,

considerando quanto segue:

(1)La direttiva 2008/114/CE del Consiglio 17 stabilisce una procedura di designazione delle infrastrutture critiche europee nei settori dell'energia e dei trasporti, il cui danneggiamento o la cui distruzione avrebbe un significativo impatto transfrontaliero su almeno due Stati membri. Tale direttiva si incentra esclusivamente sulla protezione di tali infrastrutture. La valutazione di tale direttiva, svolta nel 2019 18 , ha riscontrato tuttavia che, dato il carattere sempre più interconnesso e transfrontaliero delle operazioni effettuate utilizzando infrastrutture critiche, le misure protettive riguardanti solo singole strutture non sono sufficienti per evitare il verificarsi di perturbazioni. È quindi necessario modificare l'approccio applicato per garantire la resilienza dei soggetti critici, vale a dire la loro capacità di mitigare e assorbire gli incidenti che possono perturbare le loro operazioni, di adattarvisi e di riprendersi.

(2)Nonostante le misure esistenti a livello dell'Unione 19 e a livello nazionale a sostegno della protezione delle infrastrutture critiche nell'Unione, i soggetti che gestiscono tali infrastrutture non sono adeguatamente attrezzati per affrontare i rischi attuali e previsti per il futuro per le loro operazioni, che possono portare a discontinuità nella fornitura di servizi essenziali per lo svolgimento di funzioni vitali della società o di attività economiche. Questo è dovuto a un panorama delle sfide dinamico, con minacce terroristiche in evoluzione e crescenti interdipendenze fra le infrastrutture e i settori, nonché a un aumento del rischio fisico dovuto alle catastrofi naturali e ai cambiamenti climatici, che aumenta la frequenza e la portata degli eventi meteorologici estremi e comporta cambiamenti a lungo termine nelle condizioni climatiche medie che possono ridurre la capacità e l'efficienza di determinati tipi di infrastrutture se non sono in atto misure di resilienza o di adattamento ai cambiamenti climatici. Inoltre, i settori e i tipi di soggetti rilevanti non sono riconosciuti come critici in modo coerente in tutti gli Stati membri.

(3)Queste crescenti interdipendenze sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e intercorrelata, che utilizza infrastrutture chiave in tutta l'Unione nei settori dell'energia, dei trasporti, nel settore bancario, delle infrastrutture dei mercati finanziari, delle infrastrutture digitali, delle acque potabili e reflue, della sanità, di determinati aspetti della pubblica amministrazione, nonché dello spazio, per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, ad esclusione, pertanto, delle infrastrutture possedute, gestite o utilizzate dall'Unione o per suo conto nell'ambito dei suoi programmi spaziali. Tali interdipendenze implicano che qualsiasi perturbazione, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e di lunga durata sulla fornitura di servizi in tutto il mercato interno. La pandemia di COVID-19 ha mostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte a rischi di bassa probabilità.

(4)I soggetti che intervengono nella fornitura di servizi essenziali devono sempre più spesso rispettare requisiti divergenti imposti dalle leggi degli Stati membri. Il fatto che alcuni Stati membri prevedano per tali soggetti requisiti di sicurezza più rigorosi rischia non solo di incidere negativamente sul mantenimento di funzioni vitali della società o di attività economiche nell'Unione, ma crea anche ostacoli al corretto funzionamento del mercato interno. Tipi di soggetti simili sono considerati critici da alcuni Stati membri ma non da altri, e quelli individuati come critici devono soddisfare requisiti divergenti nei vari Stati membri. Questo crea oneri supplementari e non necessari per le imprese che operano a livello transfrontaliero, in particolare per quelle attive negli Stati membri con requisiti più rigorosi.

(5)È quindi necessario stabilire norme minime armonizzate per garantire la fornitura di servizi essenziali nel mercato interno ed aumentare la resilienza dei soggetti critici.

(6)Per conseguire tale obiettivo, gli Stati membri dovrebbero individuare i soggetti critici che dovrebbero essere tenuti a soddisfare specifici requisiti e che dovrebbero essere oggetto di sorveglianza, ma che dovrebbero anche ricevere particolare sostegno e orientamenti per raggiungere un livello di resilienza elevato rispetto a tutti i rischi rilevanti.

(7)Determinati settori dell'economia, come l'energia e i trasporti, sono già regolamentati, o potrebbero esserlo in futuro, da atti settoriali del diritto dell'Unione contenenti norme riguardanti certi aspetti della resilienza dei soggetti che operano nel loro ambito. Per affrontare in modo globale la resilienza dei soggetti critici ai fini del corretto funzionamento del mercato interno, tali misure settoriali dovrebbero essere integrate da quelle previste dalla presente direttiva, che crea un quadro generale per trattare la resilienza dei soggetti critici rispetto a tutti i pericoli, naturali e di origine umana, accidentali e intenzionali.

(8)Data l'importanza della cibersicurezza per la resilienza dei soggetti critici e a fini di congruenza, è necessario, ove possibile, un approccio coerente fra la presente direttiva e la direttiva (UE) XX/YY del Parlamento europeo e del Consiglio 20 [proposta di direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (in appresso "direttiva NIS 2")]. Data la maggiore frequenza e le particolari caratteristiche dei rischi informatici, la direttiva NIS 2 impone a un'ampia gamma di soggetti requisiti dettagliati per garantire la propria cibersicurezza. Dato che l'aspetto della cibersicurezza è trattato in modo sufficiente dalla direttiva NIS 2, le tematiche da essa contemplate dovrebbero essere escluse dall'ambito di applicazione della presente direttiva, fermo restando il particolare regime per i soggetti del settore delle infrastrutture digitali.

(9)Qualora le disposizioni di altri atti del diritto dell'Unione richiedano ai soggetti critici di valutare i rischi rilevanti, di adottare misure per garantire la propria resilienza o di notificare gli incidenti, e qualora tali requisiti siano almeno equivalenti ai corrispondenti obblighi stabiliti dalla presente direttiva, le pertinenti disposizioni della presente direttiva non dovrebbero applicarsi, in modo da evitare doppioni e oneri non necessari. In questo caso dovrebbero applicarsi le pertinenti disposizioni di tali altri atti. Qualora non si applichino le pertinenti disposizioni della presente direttiva, non dovrebbero applicarsi nemmeno le sue disposizioni in materia di vigilanza ed esecuzione. Gli Stati membri dovrebbero comunque inserire, nella loro strategia per rafforzare la resilienza dei soggetti critici, tutti i settori elencati nell'allegato, la valutazione dei rischi e le misure di sostegno di cui al capo II, e dovrebbero essere in grado di individuare i soggetti critici nei settori in cui sono soddisfatte le condizioni applicabili, tenendo conto del particolare regime applicabile ai soggetti che operano nel settore bancario, nel settore delle infrastrutture dei mercati finanziari e nel settore delle infrastrutture digitali.

(10)Per garantire un approccio globale alla resilienza dei soggetti critici, ciascuno Stato membro dovrebbe dotarsi di una strategia che stabilisca gli obiettivi e le misure strategiche da attuare. A tal fine gli Stati membri dovrebbero provvedere affinché le loro strategie per la cibersicurezza prevedano un quadro strategico per il rafforzamento del coordinamento tra l'autorità competente a norma della presente direttiva e quella prevista dalla direttiva NIS 2 nel contesto della condivisione delle informazioni sugli incidenti e sulle minacce informatiche e dello svolgimento di compiti di vigilanza.

(11)Le azioni degli Stati membri per individuare i soggetti critici e contribuire a garantirne la resilienza dovrebbero seguire un approccio basato sui rischi, incentrato sui soggetti maggiormente rilevanti per lo svolgimento di funzioni vitali della società o di attività economiche. Per garantire un tale approccio mirato, ciascuno Stato membro dovrebbe procedere, in un quadro armonizzato, a una valutazione di tutti i rischi rilevanti, naturali e di origine umana, che possano ripercuotersi negativamente sulla fornitura di servizi essenziali, compresi i sinistri, le catastrofi naturali, le emergenze di sanità pubblica come le pandemie, e le minacce antagoniste, inclusi i reati di terrorismo. Nell'effettuare tali valutazioni dei rischi, gli Stati membri dovrebbero tenere conto di altre valutazioni dei rischi generali o settoriali svolte ai sensi di altri atti del diritto dell'Unione, e dovrebbero prendere in considerazione le dipendenze fra settori, anche di altri Stati membri e paesi terzi. I risultati della valutazione dei rischi dovrebbero essere utilizzati nel processo di individuazione dei soggetti critici, e per aiutare tali soggetti a conformarsi alle prescrizioni in materia di resilienza previsti dalla presente direttiva.

(12)Per garantire che tutti i soggetti rilevanti debbano rispettare tali prescrizioni e per ridurre le divergenze a tale riguardo, è importante stabilire norme armonizzate che consentano un'individuazione coerente dei soggetti critici in tutta l'Unione, consentendo al tempo stesso agli Stati membri di tenere conto delle specificità nazionali. Dovrebbero essere pertanto stabiliti dei criteri per individuare i soggetti critici. Ai fini di efficacia, efficienza, coerenza e certezza del diritto, dovrebbero anche essere stabilite norme adeguate in materia di notifica e cooperazione in relazione a tale individuazione nonché alle conseguenze giuridiche di tale individuazione. Affinché la Commissione possa valutare la corretta applicazione della presente direttiva, gli Stati membri dovrebbero trasmetterle in modo quanto più dettagliato e specifico le informazioni pertinenti e, in ogni caso, l'elenco dei servizi essenziali, il numero di soggetti critici individuati per ogni settore e sottosettore di cui all'allegato, e il servizio o i servizi essenziali che ogni soggetto fornisce così come ogni soglia applicata.

(13)Dovrebbero essere stabiliti anche criteri per determinare la rilevanza degli effetti negativi prodotti dagli incidenti. Tali criteri dovrebbero basarsi su quelli stabiliti dalla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio 21 per sfruttare al meglio gli sforzi compiuti dagli Stati membri per individuare gli operatori interessati e per trarre insegnamento dall'esperienza acquisita in materia.

(14)I soggetti appartenenti al settore delle infrastrutture digitali si basano sostanzialmente su sistemi informatici e di rete e rientrano nell'ambito d'applicazione della direttiva NIS 2, che affronta la sicurezza fisica di tali sistemi come parte dei loro obblighi di gestione e segnalazione dei rischi di cibersicurezza. Poiché tali materie sono disciplinate dalla direttiva NIS 2, gli obblighi previsti dalla presente direttiva non si applicano a tali soggetti. Tuttavia, considerata l'importanza dei servizi forniti dai soggetti del settore delle infrastrutture digitali per l'erogazione di altri servizi essenziali, gli Stati membri dovrebbero individuare, in base ai criteri previsti dalla presente direttiva e ricorrendo mutatis mutandis alla procedura ivi stabilita, i soggetti appartenenti al settore delle infrastrutture digitali che dovrebbero essere trattati come equivalenti ai soggetti critici ai fini del solo capo II, compresa la disposizione sul sostegno degli Stati membri al rafforzamento della resilienza di tali soggetti. Di conseguenza, tali soggetti non dovrebbero essere sottoposti agli obblighi di cui ai capi da III a VI. Poiché gli obblighi stabiliti per i soggetti critici al capo II di fornire determinate informazioni alle autorità competenti riguardano l'applicazione dei capi III e IV, detti soggetti non dovrebbero nemmeno dover rispettare tali prescrizioni.

(15)L'acquis dell'UE in materia di servizi finanziari stabilisce per i soggetti finanziari requisiti dettagliati di gestione di tutti i rischi cui sono esposti, compresi i rischi operativi, e di garanzia di continuità operativa. Si tratta del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio 22 , della direttiva 2014/65/UE del Parlamento europeo e del Consiglio 23 e del regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio 24 , così come del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio 25 e della direttiva 2013/36/UE del Parlamento europeo e del Consiglio 26 . La Commissione ha recentemente proposto di integrare tale quadro con il regolamento XX/YYYY del Parlamento europeo e del Consiglio [proposta di regolamento relativo alla resilienza operativa digitale per il settore finanziario (in appresso "regolamento DORA") 27 ], che stabilisce le condizioni che devono soddisfare le imprese finanziarie per la gestione dei rischi relativi alle TIC, compresa la protezione delle infrastrutture TIC fisiche. Dato che la resilienza dei soggetti elencati ai punti 3 e 4 dell'allegato è esaurientemente coperta dall'acquis dell'UE in materia di servizi finanziari, anche tali soggetti dovrebbero essere trattati come equivalenti ai soggetti critici ai fini del solo capo II della presente direttiva. Per garantire un'applicazione coerente delle norme relative ai rischi operativi e alla resilienza digitale nel settore finanziario, il sostegno degli Stati membri al rafforzamento della resilienza complessiva dei soggetti finanziari equivalenti ai soggetti critici dovrebbe essere assicurato dalle autorità designate ai sensi dell'articolo 41 del [regolamento DORA], e secondo le procedure stabilite in tale atto legislativo in modo pienamente armonizzato.

(16)Gli Stati membri dovrebbero designare le autorità competenti a vigilare sull'applicazione delle norme della presente direttiva e, ove necessario, a farle rispettare, e dovrebbero provvedere affinché tali autorità dispongano di poteri e risorse adeguate. In considerazione delle differenze esistenti tra le strutture di governance nazionali e al fine di salvaguardare gli accordi settoriali già esistenti o gli organismi di vigilanza e di regolamentazione dell'Unione ed evitare duplicazioni, è opportuno che gli Stati membri abbiano la facoltà di designare più di un'autorità nazionale competente. In tal caso dovrebbero comunque delineare chiaramente i rispettivi compiti delle autorità interessate e garantire fra di esse una cooperazione agevole ed efficace. Tutte le autorità competenti dovrebbero inoltre cooperare in modo più generale con le altre autorità rilevanti, sia a livello nazionale che a livello dell'Unione.

(17)Al fine di agevolare la cooperazione e la comunicazione transfrontaliere e per consentire l'efficace attuazione della presente direttiva, ogni Stato membro dovrebbe, ferme restando le prescrizioni giuridiche settoriali a livello di Unione, designare, in seno a una delle autorità da esso indicate come autorità competenti ai sensi della presente direttiva, un punto di contatto unico nazionale incaricato di coordinare le questioni relative alla resilienza dei soggetti critici e la cooperazione transfrontaliera a livello dell'Unione a tale riguardo.

(18)Dato che i soggetti individuati come soggetti critici ai sensi della direttiva NIS 2, così come i soggetti individuati nel settore delle infrastrutture digitali che devono essere trattati come equivalenti ai sensi della presente direttiva, sono sottoposti ai requisiti di cibersicurezza della direttiva NIS 2, le autorità competenti designate ai sensi delle due direttive dovrebbero cooperare, in particolare in relazione ai rischi e agli incidenti di cibersicurezza che hanno ripercussioni su tali soggetti.

(19)Gli Stati membri dovrebbero sostenere i soggetti critici nel rafforzamento della loro resilienza, nel rispetto degli obblighi stabiliti dalla presente direttiva, ferma restando la responsabilità giuridica dei soggetti stessi quanto al garantire tale ottemperanza. Gli Stati membri potrebbero in particolare sviluppare materiali e metodologie di orientamento, contribuire all'organizzazione di esercitazioni di verifica della resilienza e preparare corsi di formazione per il personale dei soggetti critici. Inoltre, date le interdipendenze tra i soggetti e i settori, gli Stati membri dovrebbero predisporre strumenti di scambio di informazioni a sostegno di una condivisione volontaria fra soggetti critici, ferma restando l'applicazione delle norme in materia di concorrenza stabilite nel trattato sul funzionamento dell'Unione europea. 

(20)Per essere in grado di garantire la propria resilienza, i soggetti critici dovrebbero avere una conoscenza esaustiva di tutti i rischi rilevanti a cui sono esposti e dovrebbero analizzarli. A tal fine dovrebbero effettuare analisi dei rischi ogniqualvolta necessario date le loro specifiche circostanze e l'evolversi di tali rischi, e in ogni caso ogni quattro anni. Le valutazioni dei rischi da parte dei soggetti critici dovrebbero basarsi sulla valutazione dei rischi svolta dagli Stati membri.

(21)I soggetti critici dovrebbero adottare misure organizzative e tecniche adeguate e proporzionate ai rischi cui sono esposti, allo scopo di prevenire gli incidenti, di resistervi, di mitigarli, assorbirli, di adattarvisi e di riprendersi. Benché debbano adottare misure su tutti i punti specificati nella presente direttiva, i dettagli e la portata di tali misure dovrebbero rispecchiare in modo adeguato e proporzionato i vari rischi che ciascun soggetto ha identificato nell'ambito della sua valutazione e le specificità del soggetto stesso.

(22)A fini di efficacia e di responsabilizzazione, i soggetti critici dovrebbero descrivere tali misure con un livello di dettaglio sufficiente per conseguire gli obiettivi stabiliti, tenuto conto dei rischi individuati, in un piano di resilienza o in uno o più documenti equivalenti a un piano di resilienza, e dovrebbero mettere in pratica tale piano. Il documento o i documenti equivalenti potrebbero essere redatti conformemente ai requisiti e alle norme sviluppati nel contesto degli accordi internazionali sulla protezione fisica di cui gli Stati membri sono Parti, inclusa, se del caso, la Convenzione sulla protezione fisica delle materie nucleari e degli impianti nucleari.

(23)Il regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio 28 , il regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio 29 e la direttiva 2005/65/CE del Parlamento europeo e del Consiglio 30 stabiliscono requisiti applicabili ai soggetti dei settori del trasporto aereo e marittimo per prevenire incidenti causati da atti illeciti, resistere alle conseguenze di tali incidenti e mitigarle. Se le misure stabilite dalla presente direttiva sono più ampie in termini di rischi affrontati e di tipi di misure da prendere, i soggetti critici di tali settori dovrebbero rispecchiare, nel loro piano di resilienza o nei documenti equivalenti, le misure adottate ai sensi di tali altri atti dell'Unione. Inoltre, nell'attuare le misure di resilienza ai sensi della presente direttiva, i soggetti critici potrebbero considerare la possibilità di richiamarsi a orientamenti non vincolati e a documenti su buone prassi sviluppati in aree di lavoro settoriali, come la piattaforma per la sicurezza dei passeggeri ferroviari nell'UE 31 .

(24)Il rischio che i dipendenti di soggetti critici facciano un uso improprio, ad esempio, dei loro diritti di accesso all'interno dell'organizzazione per nuocere e provocare danni desta sempre maggiori preoccupazioni. Il rischio è accentuato dal crescente fenomeno della radicalizzazione che porta all'estremismo violento e al terrorismo. È quindi necessario consentire ai soggetti critici di chiedere controlli dei precedenti personali per i dipendenti che rientrano in specifiche categorie e di garantire che tali richieste siano valutate rapidamente dalle autorità rilevanti, conformemente alle norme applicabili del diritto dell'Unione e del diritto nazionale, comprese quelle relative alla protezione dei dati personali.

(25)I soggetti critici dovrebbero notificare alle autorità competenti degli Stati membri, non appena ciò sia ragionevolmente possibile date le circostanze, gli incidenti che perturbano in modo significativo o possono perturbare in modo significativo le loro operazioni. La notifica dovrebbe consentire alle autorità competenti di reagire rapidamente e adeguatamente agli incidenti e di avere una visione globale dei rischi complessivi cui sono esposti i soggetti critici. A tal fine dovrebbe essere stabilita una procedura per la notifica di determinati incidenti e dovrebbero essere forniti dei parametri per determinare se la perturbazione effettiva o potenziale sia significativa e se l'incidente debba quindi essere notificato. Tenuto conto del potenziale impatto transfrontaliero di tali perturbazioni, dovrebbe essere istituita una procedura che consenta agli Stati membri di informare gli altri Stati membri toccati tramite punti di contatto unici.

(26)Se i soggetti critici, in generale, operano in una rete sempre più interconnessa di prestazioni di servizi e di infrastrutture e spesso erogano servizi essenziali in più di uno Stato membro, alcuni di essi sono di particolare rilevanza per l'Unione poiché forniscono servizi essenziali a un gran numero di Stati membri, e richiedono perciò una specifica sorveglianza a livello dell'Unione. Dovrebbero pertanto essere definite le norme riguardanti la specifica sorveglianza di tali soggetti critici di particolare rilevanza europea. Tali norme non pregiudicano le disposizioni sulla vigilanza e sull'esecuzione di cui alla presente direttiva.

(27)Qualora uno Stato membro ritenga necessario disporre di ulteriori informazioni per poter consigliare un soggetto critico quanto all'adempimento dei suoi obblighi di cui al capo III o per poter valutare il rispetto di tali obblighi da parte di un soggetto critico di particolare rilevanza europea, la Commissione, in accordo con lo Stato membro in cui è situata l'infrastruttura di tale soggetto, dovrebbe organizzare una missione di consulenza per valutare le misure predisposte da tale soggetto. Per garantire che tali missioni di consulenza siano effettuate correttamente dovrebbero essere stabilite disposizioni complementari, in particolare sulla loro organizzazione e sul loro svolgimento, sul follow-up da fornire e sugli obblighi dei soggetti critici di particolare rilevanza europea interessati. Fermo restando il dovere, per lo Stato membro in cui si svolge la missione di consulenza e per il soggetto interessato, di rispettare le disposizioni della presente direttiva, la missione di consulenza dovrebbe essere condotta in ottemperanza delle specifiche norme della legislazione di tale Stato membro, ad esempio sulle precise condizioni da soddisfare per ottenere l'accesso ai locali o ai documenti rilevanti e sul ricorso giurisdizionale. Le specifiche competenze necessarie per tali missioni potrebbero, se del caso, essere chieste tramite il centro di coordinamento della risposta alle emergenze.

(28)Per sostenere la Commissione e agevolare la cooperazione strategica e lo scambio di informazioni, comprese le migliori prassi, su questioni relative alla presente direttiva, dovrebbe essere istituito un gruppo per la resilienza dei soggetti critici come gruppo di esperti della Commissione. Gli Stati membri dovrebbero adoperarsi per garantire una cooperazione efficace ed efficiente fra i rappresentanti designati delle loro autorità competenti in tale gruppo. Il gruppo dovrebbe cominciare a espletare le sue funzioni sei mesi dopo l'entrata in vigore della presente direttiva, in modo da fornire mezzi supplementari per una cooperazione adeguata durante il periodo di recepimento della direttiva

(29)Per conseguire gli obiettivi della presente direttiva, e ferma restando la responsabilità giuridica degli Stati membri e dei soggetti critici quanto al garantire l'ottemperanza dei rispettivi obblighi ivi stabiliti, la Commissione dovrebbe, ove lo ritenga opportuno, intraprendere alcune attività di sostegno volte ad agevolare l'adempimento di tali obblighi. Nel fornire sostegno agli Stati membri e ai soggetti critici nell'attuazione degli obblighi stabiliti dalla presente direttiva la Commissione dovrebbe basarsi sulle strutture e sugli strumenti esistenti, come quelli previsti dal meccanismo di protezione civile dell'Unione e dalla rete europea di riferimento per la protezione delle infrastrutture critiche.

(30)Gli Stati membri dovrebbero garantire che le loro autorità competenti dispongano di certi poteri specifici per la corretta applicazione ed esecuzione della presente direttiva nei confronti dei soggetti critici, qualora tali soggetti rientrino nella loro giurisdizione come specificato nella direttiva. Ciò dovrebbe includere, in particolare, il potere di effettuare ispezioni, vigilanza e audit, di chiedere ai soggetti critici di fornire informazioni e prove riguardanti le misure adottate per adempiere ai loro obblighi e, ove necessario, di emettere provvedimenti per porre rimedio alle violazioni riscontrate. Nell'emettere tali provvedimenti, gli Stati membri non dovrebbero imporre misure che vadano oltre quanto necessario e proporzionato per garantire l'adempimento degli obblighi da parte dei soggetti critici interessati, tenendo conto in particolare della gravità della violazione e della capacità economica del soggetto critico. Più in generale, tali poteri dovrebbero essere accompagnati da garanzie adeguate ed efficaci da specificarsi nella normativa nazionale, conformemente alle prescrizioni derivanti dalla Carta dei diritti fondamentali dell'Unione europea. Nel valutare l'ottemperanza di un soggetto critico agli obblighi di cui alla presente direttiva, le autorità competenti designate ai sensi della presente direttiva dovrebbero poter chiedere alle autorità competenti designate a norma della direttiva NIS 2 di valutare la cibersicurezza di tali soggetti. Tali autorità competenti dovrebbero cooperare e scambiarsi informazioni a tal fine.

(31)Al fine di tenere conto dei nuovi rischi, degli sviluppi tecnologici o delle specificità di uno o più settori, conformemente all'articolo 290 del trattato sul funzionamento dell'Unione europea alla Commissione dovrebbe essere delegato il potere di adottare atti che integrano le misure di resilienza che devono adottare i soggetti critici, precisando ulteriormente alcune o tutte le misure. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016 32 . In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(32)Al fine di garantire condizioni uniformi di attuazione della presente direttiva, dovrebbero essere attribuite alla Commissione competenze di esecuzione. Tali competenze dovrebbero essere esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio 33 .

(33)Poiché gli obiettivi della presente direttiva, vale a dire garantire la fornitura nel mercato interno di servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche ed aumentare la resilienza dei soggetti critici che forniscono tali servizi, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo degli effetti dell'azione, possono essere conseguiti meglio a livello dell'Unione, quest'ultima può adottare misure in conformità al principio di sussidiarietà sancito dall'articolo 5 del trattato sull'Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(34)La direttiva 2008/114/CE dovrebbe pertanto essere abrogata,

HANNO ADOTTATO LA PRESENTE DIRETTIVA:

Capo I
Oggetto, ambito di applicazione e definizioni

Articolo 1
Oggetto e ambito di applicazione

1.La presente direttiva:

(a)fa obbligo agli Stati membri di adottare determinate misure volte a garantire la fornitura nel mercato interno di servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche, in particolare di individuare i soggetti critici e i soggetti da trattare come equivalenti sotto taluni aspetti e di consentire loro di adempiere ai loro obblighi;

(b)stabilisce per i soggetti critici obblighi volti a rafforzare la loro resilienza e a migliorare la loro capacità di fornire tali servizi nel mercato interno;

(c)stabilisce regole riguardanti la vigilanza sui soggetti critici e l'esecuzione delle norme da parte di questi, e la specifica sorveglianza dei soggetti critici considerati di particolare rilevanza a livello europeo.

2.Fatto salvo l'articolo 7, la presente direttiva non si applica alle materie disciplinate dalla direttiva (UE) XX/YY [proposta di direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione ("direttiva NIS 2")].

3.Qualora le disposizioni di atti settoriali del diritto dell'Unione richiedano ai soggetti critici di adottare misure conformemente al capo III e tali requisiti siano almeno equivalenti agli obblighi stabiliti dalla presente direttiva, le pertinenti disposizioni della presente direttiva, comprese le disposizioni in materia di vigilanza ed esecuzione di cui al capo VI, non sono d'applicazione.

4.Fatto salvo l'articolo 346 TFUE, le informazioni riservate ai sensi della normativa dell'Unione e nazionale, quale quella sulla riservatezza commerciale, sono scambiate con la Commissione e con altre autorità competenti solo nella misura in cui tale scambio sia necessario ai fini dell'applicazione della presente direttiva. Le informazioni scambiate sono limitate alle informazioni pertinenti e commisurate a tale scopo. Lo scambio di informazioni tutela la riservatezza di dette informazioni e protegge la sicurezza e gli interessi commerciali dei soggetti critici.

Articolo 2
Definizioni

Ai fini della presente direttiva si applicano le definizioni seguenti:

(1)"soggetto critico": un soggetto pubblico o privato di uno dei tipi di cui all'allegato, individuato come tale da uno Stato membro a norma dell'articolo 5;

(2)"resilienza": la capacità di prevenire, attenuare, assorbire un incidente che perturba o può perturbare le operazioni di un soggetto critico, di adattarvisi e di riprendersi;

(3)"incidente": un evento che può perturbare, o che perturba, le operazioni di un soggetto critico;

(4) "infrastruttura": un elemento, un sistema o parte di questo, necessario per la prestazione di un servizio essenziale;

(5) "servizio essenziale": un servizio essenziale per il mantenimento di funzioni vitali della società o di attività economiche;

(6)"rischio": ogni circostanza o evento con potenziali effetti pregiudizievoli per la resilienza dei soggetti critici;

(7)"valutazione dei rischi": metodologia per determinare la natura e la portata di un rischio analizzando potenziali minacce e pericoli e valutando le condizioni di vulnerabilità esistenti che potrebbero perturbare le operazioni del soggetto critico.

Capo II
Quadri nazionali per la resilienza dei soggetti critici

Articolo 3
Strategia per la resilienza dei soggetti critici

1.Entro [tre anni dall'entrata in vigore della presente direttiva] ogni Stato membro adotta una strategia per rafforzare la resilienza dei soggetti critici. Tale strategia definisce gli obiettivi e le misure strategiche per conseguire e mantenere un livello elevato di resilienza da parte di tali soggetti critici e contempla almeno i settori di cui all'allegato.

2.La strategia contiene almeno i seguenti elementi:

(a)priorità e obiettivi strategici per aumentare la resilienza complessiva dei soggetti critici tenendo conto delle interdipendenze transfrontaliere e intersettoriali;

(b)un quadro di governance per la realizzazione di tali priorità e obiettivi strategici, comprendente una descrizione dei ruoli e delle responsabilità delle diverse autorità, dei diversi soggetti critici e delle altre parti coinvolte nell'attuazione della strategia;

(c)una descrizione delle misure necessarie per aumentare la resilienza complessiva dei soggetti critici, compresa una valutazione dei rischi a livello nazionale, l'individuazione dei soggetti critici e dei soggetti equivalenti ai soggetti critici, e le misure a sostegno dei soggetti critici adottate in conformità del presente capo;

(d)un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti designate ai sensi dell'articolo 8 della presente direttiva e ai sensi della [direttiva NIS 2] ai fini della condivisione delle informazioni sugli incidenti e sulle minacce informatiche e dello svolgimento di compiti di vigilanza.

La strategia è aggiornata ove necessario e almeno ogni quattro anni.

3.Gli Stati membri comunicano alla Commissione le loro strategie, e ogni relativo aggiornamento, entro tre mesi dalla loro adozione.

Articolo 4
Valutazione dei rischi da parte degli Stati membri

1.Le autorità competenti designate ai sensi dell'articolo 8 stilano un elenco dei servizi essenziali nei settori di cui all'allegato. Esse effettuano, entro [tre anni dall'entrata in vigore della presente direttiva], e successivamente quando necessario e almeno ogni quattro anni, una valutazione di tutti i rischi rilevanti che possono ripercuotersi sulla fornitura di tali servizi, allo scopo di individuare i soggetti critici a norma dell'articolo 5, paragrafo 1, e di aiutare tali soggetti critici ad adottare misure ai sensi dell'articolo 11.

La valutazione dei rischi tiene conto di tutti i rischi rilevanti, naturali e di origine umana, compresi i sinistri, le catastrofi naturali, le emergenze di sanità pubblica e le minacce antagoniste, inclusi i reati di terrorismo di cui alla direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio 34 .

2.Nel procedere alla valutazione dei rischi gli Stati membri prendono in considerazione come minimo:

(a)la valutazione generale dei rischi effettuata a norma dell'articolo 6, paragrafo 1, della decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio 35 ;

(b)altre valutazioni dei rischi rilevanti, svolte in conformità dei requisiti dei pertinenti atti settoriali del diritto dell'Unione, inclusi il regolamento (UE) 2019/941 del Parlamento europeo e del Consiglio 36 e il regolamento (UE) 2017/1938 del Parlamento europeo e del Consiglio 37 ;

(c)ogni rischio derivante dalle dipendenze fra i settori di cui all'allegato, anche di altri Stati membri e paesi terzi, e l'impatto che una perturbazione in un settore può avere su altri settori;

(d)ogni informazione su incidenti notificati a norma dell'articolo 13.

Ai fini del primo comma, lettera c), gli Stati membri cooperano con le autorità competenti degli altri Stati membri e dei paesi terzi, a seconda dei casi.

3.Gli Stati membri mettono a disposizione dei soggetti critici individuati a norma dell'articolo 5 gli elementi rilevanti della valutazione dei rischi di cui al paragrafo 1 per aiutarli ad effettuare la propria valutazione dei rischi ai sensi dell'articolo 10 e ad adottare le misure per garantire la propria resilienza ai sensi dell'articolo 11.

4.Entro [tre anni dall'entrata in vigore della presente direttiva], e successivamente quando necessario e almeno ogni quattro anni, ogni Stato membro fornisce alla Commissione i dati sui tipi di rischi individuati e sui risultati delle valutazioni dei rischi, per settore e sottosettore di cui all'allegato.

5.La Commissione, in cooperazione con gli Stati membri, può sviluppare un modello comune volontario per la presentazione delle relazioni in ottemperanza con il paragrafo 4.

Articolo 5
Individuazione dei soggetti critici

1.Entro [tre anni e tre mesi dall'entrata in vigore della presente direttiva] gli Stati membri individuano, per ogni settore e sottosettore di cui all'allegato, ad eccezione dei relativi punti 3, 4 e 8, i soggetti critici.

2.Nell'individuare i soggetti critici ai sensi del paragrafo 1, gli Stati membri tengono conto dei risultati delle valutazioni dei rischi di cui all'articolo 4 e applicano i seguenti criteri:

(a)il soggetto fornisce uno o più servizi essenziali;

(b)la fornitura di tale servizio dipende da un'infrastruttura situata nello Stato membro, e

(c)un incidente avrebbe effetti negativi rilevanti sulla fornitura del servizio o di altri servizi essenziali nei settori di cui all'allegato che dipendono da tale servizio.

3.Ogni Stato membro redige un elenco dei soggetti critici individuati e provvede affinché a questi soggetti critici sia notificata la loro individuazione come tali entro un mese dall'individuazione stessa e affinché siano comunicati loro gli obblighi derivanti dai capi II e III e la data a decorrere dalla quale si applicano loro le disposizioni di tali capi.

Le disposizioni del presente capo si applicano ai soggetti critici interessati a partire dalla data della notifica, e le disposizioni del capo II a partire da sei mesi dopo tale data.

4.Gli Stati membri provvedono affinché le rispettive autorità competenti designate ai sensi dell'articolo 8 della presente direttiva notifichino alle autorità competenti designate dagli Stati membri ai sensi dell'articolo 8 della [direttiva NIS 2] l'identità dei soggetti critici individuati ai sensi del presente articolo entro un mese dall'individuazione.

5.A seguito della notifica di cui al paragrafo 3, gli Stati membri provvedono affinché i soggetti critici comunichino alle rispettive autorità competenti designate ai sensi dell'articolo 8 della presente direttiva se sono stati individuati come soggetti critici in uno o più altri Stati membri. Qualora un soggetto sia stato individuato come critico da due o più Stati membri, tali Stati membri devono avviare consultazioni reciproche allo scopo di ridurre l'onere che grava su tale soggetto in virtù degli obblighi di cui al capo III.

6.Ai fini del capo IV, gli Stati membri provvedono affinché i soggetti critici, a seguito della notifica di cui al paragrafo 3, comunichino alle rispettive autorità competenti designate ai sensi dell'articolo 8 della presente direttiva se forniscono servizi essenziali a o in più di un terzo degli Stati membri. In tal caso, lo Stato membro interessato notifica senza indebito ritardo alla Commissione l'identità di tali soggetti critici.

7.Quando necessario e in ogni caso almeno ogni quattro anni gli Stati membri riesaminano e, se del caso, aggiornano l'elenco dei soggetti critici individuati.

Qualora tali aggiornamenti portino all'individuazione di soggetti critici supplementari, si applicano i paragrafi 3, 4 e 5. Gli Stati membri provvedono inoltre affinché i soggetti non più individuati come critici a seguito di un aggiornamento ricevano notifica di questo fatto e sia comunicato loro che non devono più adempiere agli obblighi di cui al capo III a decorrere dal ricevimento di tale informazione.

Articolo 6
Effetti negativi rilevanti

1.Nella determinazione della rilevanza degli effetti negativi di cui all'articolo 5, paragrafo 2, lettera c), gli Stati membri tengono conto dei seguenti criteri:

(a)il numero di utenti che dipendono dal servizio fornito dal soggetto;

(b)la dipendenza da tale servizio di altri settori di cui all'allegato;

(c)l'impatto che gli incidenti potrebbero avere, in termini di entità e di durata, sulle attività economiche e sociali, sull'ambiente e sulla pubblica sicurezza;

(d)la quota di mercato del soggetto sul mercato di tali servizi;

(e)l'area geografica che potrebbe essere interessata da un incidente, compresi eventuali impatti transfrontalieri;

(f)l'importanza del soggetto nel mantenimento di un livello sufficiente del servizio, tenendo conto della disponibilità di strumenti alternativi per la fornitura di tale servizio.

2.Entro [tre anni e tre mesi dall'entrata in vigore della presente direttiva] gli Stati membri comunicano alla Commissione le seguenti informazioni:

(a)l'elenco dei servizi di cui all'articolo 4, paragrafo 1;

(b)il numero di soggetti critici individuati per ciascun settore e sottosettore di cui all'allegato e il servizio o i servizi di cui all'articolo 4, paragrafo 1, che ogni soggetto fornisce;

(c)le soglie applicate per specificare uno o più criteri di cui al paragrafo 1.

Gli Stati membri comunicano successivamente tali informazioni quando necessario, e almeno ogni quattro anni.

3.La Commissione, previa consultazione del gruppo per la resilienza dei soggetti critici, può adottare orientamenti per agevolare l'applicazione dei criteri di cui al paragrafo 1, tenendo conto delle informazioni di cui al paragrafo 2.

Articolo 7
Soggetti equivalenti ai soggetti critici ai fini del presente capo

1. Per quanto i riguarda i settori di cui ai punti 3, 4 e 8 dell'allegato, gli Stati membri, entro [tre anni e tre mesi dall'entrata in vigore della presente direttiva], individuano i soggetti da trattare come equivalenti ai soggetti critici ai fini del presente capo. A tali soggetti essi applicano le disposizioni degli articoli 3 e 4, dell'articolo 5, paragrafi da 1 a 4 e paragrafo 7, e dell'articolo 9.

2. Rispetto ai soggetti dei settori di cui ai punti 3 e 4 dell'allegato individuati ai sensi del paragrafo 1, gli Stati membri provvedono affinché, ai fini dell'applicazione dell'articolo 8, paragrafo 1, le autorità designate come autorità competenti siano le autorità competenti designate ai sensi dell'articolo 41 del [regolamento DORA].

3. Gli Stati membri provvedono affinché ai soggetti di cui al paragrafo 1 sia notificata senza indebito ritardo la loro individuazione come soggetti di cui al presente articolo.

Articolo 8
Autorità competenti e punto di contatto unico

1.Ogni Stato membro designa una o più autorità competenti responsabili della corretta applicazione e, se necessario, dell'esecuzione delle norme della presente direttiva a livello nazionale ("autorità competente"). Gli Stati membri possono designare una o più autorità esistenti.

Qualora designino più di un'autorità, gli Stati membri ne definiscono chiaramente i rispettivi compiti e provvedono affinché esse cooperino efficacemente per svolgerli a norma della presente direttiva, anche per quanto riguarda la designazione e le attività del punto di contatto unico di cui al paragrafo 2.

2.Ogni Stato membro designa, all'interno dell'autorità competente, un punto di contatto unico che eserciti una funzione di collegamento per garantire la cooperazione transfrontaliera con le autorità competenti di altri Stati membri e con il gruppo per la resilienza dei soggetti critici di cui all'articolo 16 ("punto di contatto unico").

3.Entro [tre anni e sei mesi dall'entrata in vigore della presente direttiva], e successivamente ogni anno, i punti di contatto unici trasmettono alla Commissione e al gruppo per la resilienza dei soggetti critici una relazione di sintesi in merito alle notifiche ricevute, compresi il numero di notifiche e la natura degli incidenti notificati, e alle azioni intraprese a norma dell'articolo 13, paragrafo 3.

4.Ogni Stato membro provvede affinché l'autorità competente, compreso il punto di contatto unico designato al suo interno, disponga dei poteri e delle risorse finanziarie, umane e tecniche adeguate per svolgere in modo efficace ed efficiente i compiti che le sono assegnati.

5.Gli Stati membri provvedono affinché le rispettive autorità competenti, ove opportuno e conformemente al diritto dell'Unione e al diritto nazionale, si consultino e cooperino con le altre autorità nazionali competenti, in particolare quelle responsabili della protezione civile, delle attività di contrasto e della protezione dei dati personali, così come con le parti interessate pertinenti, compresi i soggetti critici.

6.Gli Stati membri provvedono affinché le rispettive autorità competenti designate ai sensi del presente articolo cooperino con le autorità competenti designate ai sensi della [direttiva NIS 2] sui rischi di cibersicurezza e sugli incidenti di cibersicurezza che hanno ripercussioni sui soggetti critici, così come sulle misure adottate dalle autorità competenti designate ai sensi della [direttiva NIS 2] e rilevanti per i soggetti critici.

7.Ogni Stato membro notifica alla Commissione, entro tre mesi dalla loro designazione, l'autorità competente e il punto di contatto unico designati, compresi i loro precisi compiti e responsabilità ai sensi della presente direttiva e i loro dati di contatto, e qualsiasi ulteriore modifica dei medesimi. Ogni Stato membro rende pubblica la designazione dell'autorità competente e del punto di contatto unico.

8.La Commissione pubblica un elenco dei punti di contatto unici degli Stati membri.

Articolo 9
Sostegno degli Stati membri ai soggetti critici

1.Gli Stati membri sostengono i soggetti critici nel rafforzamento della loro resilienza. Tale sostegno può comportare l'elaborazione di materiali e metodologie di orientamento, aiuto nell'organizzazione di esercitazioni di verifica della resilienza e preparazione di corsi di formazione per il personale dei soggetti critici.

2.Gli Stati membri provvedono affinché le autorità competenti cooperino e scambino informazioni e buone prassi con i soggetti critici dei settori di cui all'allegato.

3.Gli Stati membri predispongono strumenti di condivisione delle informazioni per sostenere lo scambio volontario di informazioni fra i soggetti critici in relazione alle materie disciplinate dalla presente direttiva, conformemente al diritto dell'Unione e al diritto nazionale, riguardo, in particolare, alla concorrenza e alla protezione dei dati personali.

Capo III
Resilienza dei soggetti critici

Articolo 10
Valutazione dei rischi da parte dei soggetti critici

Gli Stati membri provvedono affinché i soggetti critici, entro sei mesi dal ricevimento della notifica di cui all'articolo 5, paragrafo 3, e successivamente quando necessario e almeno ogni quattro anni, valutino, basandosi sulle valutazioni dei rischi degli Stati membri e su altre fonti di informazioni pertinenti, tutti i rischi rilevanti che possono perturbare le loro operazioni.

Tale valutazione tiene conto di tutti i rischi rilevanti di cui all'articolo 4, paragrafo 1, che potrebbero perturbare la fornitura di servizi essenziali. Tiene conto dell'eventuale dipendenza di altri settori di cui all'allegato dal servizio essenziale fornito dal soggetto critico, anche negli Stati membri e nei paesi terzi vicini se del caso, e dell'impatto che una perturbazione nella fornitura di servizi essenziali in uno o più di tali settori può avere sul servizio essenziale fornito dal soggetto critico.

Articolo 11
Misure di resilienza dei soggetti critici

1.Gli Stati membri provvedono affinché i soggetti critici adottino misure tecniche e organizzative adeguate e proporzionate per garantire la propria resilienza, incluse misure necessarie per:

(a)evitare il verificarsi di incidenti, anche tramite misure di riduzione del rischio di catastrofi e di adattamento ai cambiamenti climatici;

(b)assicurare un'adeguata protezione fisica di aree, impianti e altre infrastrutture sensibili mediante, tra l'altro, recinzioni, barriere, strumenti e routine di controllo del perimetro nonché attrezzature di rilevamento e controlli dell'accesso;

(c)resistere alle conseguenze degli incidenti e mitigarle, anche mettendo in atto procedure e protocolli di gestione dei rischi e delle crisi e pratiche di allerta;

(d)riprendersi dagli incidenti, anche tramite misure di continuità operativa e l'individuazione di catene di approvvigionamento alternative;

(e)assicurare un'adeguata gestione della sicurezza del personale, anche definendo le categorie di dipendenti che svolgono funzioni critiche, introducendo autorizzazioni di accesso alle aree, impianti e altre infrastrutture sensibili così come alle informazioni sensibili, e individuando specifiche categorie di personale ai fini dell'articolo 12;

(f)sensibilizzare il personale interessato in merito alle misure di cui alle lettere da a) ad e).

2.Gli Stati membri provvedono affinché i soggetti critici predispongano e applichino un piano di resilienza o un documento o documenti equivalenti, in cui siano descritte dettagliatamente le misure di cui al paragrafo 1. Qualora abbiano adottato misure derivanti da obblighi contenuti in altri atti del diritto dell'Unione, anch'esse rilevanti ai fini delle misure di cui al paragrafo 1, i soggetti critici descrivono nel piano di resilienza o nel o nei documenti equivalenti anche tali misure.

3.Su richiesta dello Stato membro che ha individuato il soggetto critico, e con l'accordo del soggetto critico interessato, la Commissione organizza missioni di consulenza, conformemente alle disposizioni di cui all'articolo 15, paragrafi 4, 5, 7 e 8, per consigliare il soggetto critico riguardo all'adempimento degli obblighi derivanti dal capo III. La missione di consulenza riferisce i suoi risultati alla Commissione, a tale Stato membro e al soggetto critico interessato.

4.Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 21, al fine di integrare il paragrafo 1 stabilendo norme dettagliate che specifichino alcune o tutte le misure da adottare ai sensi di tale paragrafo. La Commissione adotta tali atti delegati nella misura in cui ciò è necessario per l'efficace e coerente applicazione di tale paragrafo conformemente agli obiettivi della presente direttiva, tenuto conto di ogni rilevante evoluzione nei rischi, nella tecnologia o nella fornitura dei servizi interessati, così come di qualsiasi specificità relativa ai particolari settori e tipi di soggetti.

5.La Commissione adotta atti di esecuzione per definire le necessarie specifiche tecniche e metodologiche relative all'applicazione delle misure di cui al paragrafo 1. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 20, paragrafo 2.

Articolo 12
Controlli dei precedenti personali

1.Gli Stati membri provvedono affinché i soggetti critici possano presentare richieste di controllo dei precedenti personali di dipendenti che rientrano in alcune specifiche categorie, così come di persone prese in considerazione per l'assunzione in funzioni che rientrano in tali categorie, e affinché tali richieste siano valutate rapidamente dalle autorità competenti a effettuare tali controlli.

2.Conformemente al diritto dell'Unione e al diritto nazionale applicabili, in particolare il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 38 , il controllo dei precedenti personali di cui al paragrafo 1:

(a)accerta l'identità della persona sulla base di documenti giustificativi;

(b)esamina i precedenti penali almeno degli ultimi cinque anni, e per un massimo di dieci anni, per quanto riguarda i reati rilevanti ai fini dell'assunzione in una specifica funzione, nello Stato membro o negli Stati membri di cui la persona in questione ha la cittadinanza, e in ciascuno degli Stati membri o paesi terzi di residenza durante tale periodo di tempo;

(c)esamina gli impieghi precedenti, i titoli di studio ed eventuali vuoti nel curriculum di studio o di lavoro dell'a persona in questione almeno per gli ultimi cinque anni e per un massimo di dieci anni.

Ai fini del primo comma, lettera b), gli Stati membri provvedono affinché le loro autorità competenti a effettuare i controlli dei precedenti personali ottengano le informazioni sui precedenti penali da altri Stati membri tramite ECRIS conformemente alle procedure stabilite nella decisione quadro 2009/315/GAI del Consiglio e, se del caso, nel regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio 39 . Le autorità centrali di cui all'articolo 3 di tale decisione quadro e all'articolo 3, paragrafo 5, di tale regolamento forniscono risposte alle richieste di informazioni in questione entro dieci giorni lavorativi dalla data di ricevimento della richiesta.

3.Conformemente al diritto dell'Unione e al diritto nazionale applicabili, in particolare il regolamento (UE) 2016/679, ciascuno Stato membro provvede affinché, su richiesta debitamente giustificata del soggetto critico, il controllo dei precedenti personali di cui al paragrafo 1 possa essere ampliato attingendo a informazioni di intelligence e a qualsiasi altra informazione oggettiva disponibile che possa essere necessaria per determinare l'idoneità di una persona ad occupare la funzione in relazione alla quale il soggetto critico ha richiesto un controllo più ampio dei precedenti personali.

Articolo 13
Notifica degli incidenti

1.Gli Stati membri provvedono affinché i soggetti critici notifichino senza indebito ritardo all'autorità competente gli incidenti che perturbano in modo significativo o possono perturbare in modo significativo le loro operazioni. Le notifiche includono tutte le informazioni disponibili necessarie per consentire all'autorità competente di comprendere la natura, la causa e le possibili conseguenze dell'incidente, compresa la determinazione di un suo eventuale impatto transfrontaliero. La notifica non espone i soggetti critici a una maggiore responsabilità.

2.Per determinare la rilevanza della perturbazione o della potenziale perturbazione delle operazioni del soggetto critico a causa di un incidente si tiene conto in particolare dei seguenti parametri:

(a)il numero di utenti interessati dalla perturbazione o dalla potenziale perturbazione;

(b)la durata della perturbazione o la durata prevista di una potenziale perturbazione;

(c)l'area geografica interessata dalla perturbazione o dalla potenziale perturbazione.

3.Sulla base delle informazioni fornite nella notifica dal soggetto critico, l'autorità competente, tramite il suo punto di contatto unico, informa il punto di contatto unico degli altri Stati membri interessati nel caso in cui l'incidente abbia, o possa avere, un impatto significativo sui soggetti critici e sulla continuità dei servizi essenziali in uno o più altri Stati membri.

Nel far questo il punto di contatto unico, conformemente al diritto dell'Unione o alla legislazione nazionale conforme al diritto dell'Unione, tratta le informazioni rispettandone la riservatezza e tutelando la sicurezza e gli interessi commerciali del soggetto critico interessato.

4.Il più rapidamente possibile dopo aver ricevuto la notifica di cui al paragrafo 1, l'autorità competente fornisce al soggetto critico che l'ha trasmessa informazioni rilevanti di follow-up, comprese informazioni che possano supportare un'efficace risposta del soggetto critico all'incidente.

Capo IV
Specifica sorveglianza sui soggetti critici di particolare rilevanza europea

Articolo 14
Soggetti critici di particolare rilevanza europea

1.Conformemente al presente capo i soggetti critici di particolare rilevanza europea sono oggetto di una specifica sorveglianza.

2.Un soggetto è considerato soggetto critico di particolare rilevanza europea se è stato individuato come soggetto critico e fornisce servizi essenziali a o in più di un terzo degli Stati membri, e se è stato notificato come tale alla Commissione, ai sensi dell'articolo 5, paragrafi 1 e 6 rispettivamente.

3.La Commissione, senza indebito ritardo dopo il ricevimento della notifica di cui all'articolo 5, paragrafo 6, comunica al soggetto interessato la sua individuazione come soggetto critico di particolare rilevanza europea e lo informa degli obblighi ad esso incombenti ai sensi del presente capo e della data a decorrere dalla quale si applicano tali obblighi.

Le disposizioni del presente capo si applicano al soggetto critico di particolare rilevanza europea interessato a decorrere dalla data di ricevimento di tale notifica.

Articolo 15
Specifica sorveglianza

1.Su richiesta di uno o più Stati membri o della Commissione, lo Stato membro in cui è situata l'infrastruttura del soggetto critico di particolare rilevanza europea e tale soggetto critico informano, insieme, la Commissione e il gruppo per la resilienza dei soggetti critici dei risultati della valutazione dei rischi effettuata ai sensi dell'articolo 10 e delle misure adottate ai sensi dell'articolo 11.

Lo Stato membro in questione informa inoltre senza indebito ritardo la Commissione e il gruppo per la resilienza dei soggetti critici di qualsiasi azione di vigilanza o di esecuzione, comprese eventuali valutazioni di conformità o provvedimenti emessi, che la sua autorità competente ha intrapreso nei confronti di tale soggetto ai sensi degli articoli 18 e 19.

2.Su richiesta di uno o più Stati membri, o di propria iniziativa, e d'accordo con lo Stato membro in cui è situata l'infrastruttura del soggetto critico di particolare rilevanza europea, la Commissione organizza una missione di consulenza per valutare le misure predisposte da tale soggetto per adempiere ai propri obblighi ai sensi del capo III. Se necessario, le missioni di consulenza possono richiedere specifiche competenze nel settore della gestione del rischio di catastrofi attraverso il centro di coordinamento della risposta alle emergenze.

3.Entro un periodo di tre mesi dalla sua conclusione, la missione di consulenza riferisce i suoi risultati alla Commissione, al gruppo per la resilienza dei soggetti critici e al soggetto critico di particolare rilevanza europea interessato.

Il gruppo per la resilienza dei soggetti critici analizza la relazione e, qualora necessario, dà indicazioni alla Commissione sull'adempimento o meno degli obblighi di cui al capo III da parte del soggetto critico di particolare rilevanza europea interessato e, se del caso, su quali misure potrebbero essere adottate per migliorare la sua resilienza.

Sulla base di tale indicazione la Commissione comunica allo Stato membro in cui è situata l'infrastruttura del soggetto interessato, al gruppo per la resilienza dei soggetti critici e al soggetto interessato la sua opinione sull'adempimento o meno degli obblighi di cui al capo III da parte di tale soggetto e, se del caso, quali misure potrebbero essere adottate per migliorare la sua resilienza.

Lo Stato membro tiene in debito conto tali opinioni e fornisce alla Commissione e al gruppo per la resilienza dei soggetti critici informazioni su ogni misura adottata a seguito di tale comunicazione.

4.Ogni missione di consulenza è composta da esperti degli Stati membri e da rappresentanti della Commissione. Gli Stati membri possono proporre i loro candidati. La Commissione seleziona e nomina i membri di ciascuna missione di consulenza in funzione della loro capacità professionale e garantendo una rappresentanza equilibrata fra gli Stati membri sotto il profilo geografico. La Commissione sostiene i costi relativi alla partecipazione alla missione di consulenza.

La Commissione organizza il programma delle missioni di consulenza consultandosi con i membri della specifica missione e d'accordo con lo Stato membro in cui è situata l'infrastruttura del soggetto critico o del soggetto critico di particolare rilevanza europea interessato.

5.La Commissione adotta un atto d'esecuzione che stabilisce le norme relative alle modalità procedurali per lo svolgimento delle missioni di consulenza e per le attinenti relazioni. Tale atto di esecuzione è adottato secondo la procedura d'esame di cui all'articolo 20, paragrafo 2.

6.Gli Stati membri provvedono affinché il soggetto critico di particolare rilevanza europea interessato fornisca alla missione di consulenza accesso a tutte le informazioni e a tutti i sistemi ed impianti relativi alla fornitura dei suoi servizi essenziali, e necessari per lo svolgimento delle sue funzioni.

7.La missione di consulenza è svolta conformemente al diritto nazionale applicabile dello Stato membro in cui è situata l'infrastruttura.

8.Nell'organizzare le missioni di consulenza la Commissione tiene conto dei rapporti delle ispezioni da essa effettuate ai sensi del regolamento (CE) n. 300/2008 e del regolamento (CE) n. 725/2004 e delle relazioni dei controlli da essa svolti ai sensi della direttiva 2005/65/CE in merito, a seconda dei casi, al soggetto critico o al soggetto critico di particolare rilevanza europea.

Capo V
Cooperazione e comunicazione

Articolo 16
Gruppo per la resilienza dei soggetti critici

1.È istituito il gruppo per la resilienza dei soggetti critici, con effetto dal [sei mesi dall'entrata in vigore della presente direttiva]. Esso sostiene la Commissione e agevola la cooperazione strategica e lo scambio di informazioni su questioni attinenti alla presente direttiva.

2.Il gruppo per la resilienza dei soggetti critici è composto da rappresentanti degli Stati membri e della Commissione. Qualora ciò sia rilevante per lo svolgimento dei suoi compiti, esso può invitare rappresentanti dei portatori di interessi a partecipare ai suoi lavori.

Il rappresentante della Commissione presiede il gruppo per la resilienza dei soggetti critici.

3.Il gruppo per la resilienza dei soggetti critici ha i seguenti compiti:

(a)assistere la Commissione nel fornire aiuto agli Stati membri per il rafforzamento della loro capacità di contribuire a garantire la resilienza dei soggetti critici ai sensi della presente direttiva;

(b)valutare le strategie per la resilienza dei soggetti critici di cui all'articolo 3 e individuare le migliori prassi in relazione a tali strategie;

(c)facilitare lo scambio di migliori prassi per quanto riguarda l'individuazione dei soggetti critici da parte degli Stati membri conformemente all'articolo 5, anche in relazione alle dipendenze transfrontaliere e per quanto riguarda i rischi e gli incidenti;

(d)contribuire alla preparazione degli orientamenti di cui all'articolo 6, paragrafo 3, e di ogni atto delegato e di esecuzione ai sensi della presente direttiva, su richiesta;

(e)esaminare ogni anno le relazioni di sintesi di cui all'articolo 8, paragrafo 3;

(f)condividere migliori prassi sullo scambio di informazioni in relazione alla notifica di incidenti di cui all'articolo 13;

(g)analizzare le relazioni sulle missioni di consulenza e dare indicazioni in merito, ai sensi dell'articolo 15, paragrafo 3;

(h)scambiare informazioni e migliori prassi in materia di ricerca e sviluppo in relazione alla resilienza dei soggetti critici ai sensi della presente direttiva;

(i)se del caso, scambiare informazioni su questioni relative alla resilienza dei soggetti critici con le istituzioni, gli organismi, gli uffici e le agenzie pertinenti dell'Unione.

4.Entro [24 mesi dall'entrata in vigore della presente direttiva] e in seguito ogni due anni, il gruppo per la resilienza dei soggetti critici stabilisce un programma di lavoro sulle azioni da intraprendere per realizzare i propri obiettivi e compiti, garantendone la coerenza con le prescrizioni e gli obiettivi della presente direttiva.

5.Il gruppo per la resilienza dei soggetti critici si riunisce periodicamente, e almeno una volta all'anno, con il gruppo di cooperazione istituito a norma della [direttiva NIS 2] al fine di promuovere la cooperazione strategica e lo scambio di informazioni.

6.La Commissione può adottare atti di esecuzione che stabiliscono le modalità procedurali necessarie per il funzionamento del gruppo per la resilienza dei soggetti critici. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 20, paragrafo 2.

7.Entro [tre anni e sei mesi dall'entrata in vigore della presente direttiva], e successivamente quando necessario e almeno ogni quattro anni, la Commissione trasmette al gruppo per la resilienza dei soggetti critici una relazione di sintesi sulle informazioni fornite dagli Stati membri ai sensi dell'articolo 3, paragrafo 3, e dell'articolo 4, paragrafo 4.

Articolo 17
Sostegno della Commissione alle autorità competenti e ai soggetti critici

1.La Commissione aiuta, se del caso, gli Stati membri e i soggetti critici nell'adempimento dei loro obblighi ai sensi della presente direttiva, in particolare preparando un quadro d'insieme, a livello dell'Unione, dei rischi transfrontalieri e intersettoriali per la fornitura dei servizi essenziali, organizzando le missioni di consulenza di cui all'articolo 11, paragrafo 3, e all'articolo 15, paragrafo 3, e agevolando lo scambio di informazioni fra esperti in tutta l'Unione.

2.La Commissione integra le attività degli Stati membri di cui all'articolo 9 sviluppando migliori prassi e metodologie, così come attività di formazione transfrontaliere ed esercitazioni di verifica della resilienza dei soggetti critici.

Capo VI
VIGILANZA ED ESECUZIONE

Articolo 18
Attuazione ed esecuzione

1.Per valutare l'adempimento degli obblighi di cui alla presente direttiva da parte dei soggetti individuati come soggetti critici ai sensi dell'articolo 5 dagli Stati membri, questi provvedono affinché le autorità competenti siano dotate dei poteri e dei mezzi per:

(a)effettuare ispezioni in loco dei locali utilizzati dal soggetto critico per fornire i suoi servizi essenziali, e vigilare a distanza sulle misure adottate dai soggetti critici ai sensi dell'articolo 11;

(b)svolgere o disporre audit nei confronti di tali soggetti.

2.Gli Stati membri provvedono affinché le autorità competenti abbiano i poteri e i mezzi per richiedere, qualora necessario per lo svolgimento dei loro compiti ai sensi della presente direttiva, che i soggetti da essi individuati come soggetti critici ai sensi dell'articolo 5 forniscano, entro un ragionevole periodo di tempo stabilito da dette autorità:

(a)le informazioni necessarie per valutare se le misure adottate per garantire la resilienza soddisfino i requisiti di cui all'articolo 11;

(b)la prova dell'effettiva attuazione di tali misure, inclusi i risultati di un audit svolto da un revisore indipendente e qualificato, selezionato da tale soggetto, ed effettuato a spese di questo.

Quando richiede tali informazioni l'autorità competente indica lo scopo della richiesta specificando il tipo di informazioni da fornire.

3.Fatta salva la possibilità di infliggere sanzioni ai sensi dell'articolo 19, le autorità competenti possono esigere, a seguito delle azioni di vigilanza di cui al paragrafo 1 o della valutazione delle informazioni di cui al paragrafo 2, che i soggetti critici interessati adottino entro un ragionevole periodo di tempo da esse stabilito le misure necessarie e proporzionate per porre rimedio a qualsiasi violazione individuata della presente direttiva e forniscano loro informazioni sulle misure adottate. Tali provvedimenti tengono conto, in particolare, della gravità della violazione.

4.Gli Stati membri provvedono affinché i poteri di cui ai paragrafi 1, 2 e 3 possano essere esercitati solo fatte salve le opportune garanzie. Deve essere garantito, in particolare, che tali poteri vengano esercitati in modo obiettivo, trasparente e proporzionato e che i diritti e gli interessi legittimi dei soggetti critici interessati, inclusi il diritto al contraddittorio, i diritti della difesa e il diritto a un ricorso effettivo dinanzi a un giudice indipendente, siano debitamente tutelati.

5.Gli Stati membri provvedono affinché, quando un'autorità competente valuta il rispetto degli obblighi da parte di un soggetto critico ai sensi del presente articolo, essa informi le autorità competenti dello Stato membro interessato designate ai sensi della [direttiva NIS 2] e possa chiedere a tali autorità di valutare la cibersicurezza di tale soggetto, e cooperi e scambi informazioni a tal fine.

Articolo 19
Sanzioni

Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione delle disposizioni nazionali adottate ai sensi della presente direttiva e prendono tutte le misure necessarie per assicurarne l'attuazione. Le sanzioni previste sono effettive, proporzionate e dissuasive. Gli Stati membri notificano tali disposizioni alla Commissione al più tardi entro [due anni dall'entrata in vigore della presente direttiva], e provvedono poi a darle immediata notifica delle eventuali modifiche successive.

Capo VII
DISPOSIZIONI FINALI

Articolo 20
Procedura di comitato

1.La Commissione è assistita da un comitato. Esso è un comitato ai sensi del regolamento (UE) n. 182/2011.

2.Nei casi in cui è fatto riferimento al presente paragrafo, si applica l'articolo 5 del regolamento (UE) n. 182/2011.

Articolo 21
Esercizio della delega

1.Il potere di adottare atti delegati è conferito alla Commissione alle condizioni stabilite nel presente articolo.

2.Il potere di adottare atti delegati di cui all'articolo 11, paragrafo 4, è conferito alla Commissione per un periodo di cinque anni a decorrere dalla data di entrata in vigore della presente direttiva o eventuale altra data stabilita dai colegislatori.

3.La delega di potere di cui all'articolo 11, paragrafo 4, può essere revocata in qualsiasi momento dal Parlamento europeo o dal Consiglio. La decisione di revoca pone fine alla delega di potere ivi specificata. Gli effetti della decisione decorrono dal giorno successivo alla pubblicazione della decisione nella Gazzetta ufficiale dell'Unione europea o da una data successiva ivi specificata. Essa non pregiudica la validità degli atti delegati già in vigore.

4.Prima dell'adozione di un atto delegato la Commissione consulta gli esperti designati da ciascuno Stato membro nel rispetto dei principi stabiliti nell'accordo interistituzionale "Legiferare meglio" del 13 aprile 2016.

5.Non appena adotta un atto delegato, la Commissione ne dà contestualmente notifica al Parlamento europeo e al Consiglio.

6.L'atto delegato adottato a norma dell'articolo 11, paragrafo 4, entra in vigore solo se né il Parlamento europeo né il Consiglio hanno sollevato obiezioni entro il termine di due mesi dalla data in cui esso è stato loro notificato o se, prima della scadenza di tale termine, sia il Parlamento europeo che il Consiglio hanno informato la Commissione che non intendono sollevare obiezioni Tale termine è prorogato di due mesi su iniziativa del Parlamento europeo o del Consiglio.

Articolo 22
Relazioni e riesame

Entro [54 mesi dall'entrata in vigore della presente direttiva], la Commissione presenta al Parlamento europeo e al Consiglio una relazione in cui valuta in quale misura gli Stati membri abbiano adottato le misure necessarie per conformarsi alla presente direttiva.

La Commissione riesamina periodicamente il funzionamento della presente direttiva e presenta una relazione in proposito al Parlamento europeo e al Consiglio. La relazione valuta in particolare l'impatto e il valore aggiunto della presente direttiva nel garantire la resilienza dei soggetti critici, e se il suo ambito di applicazione debba essere esteso ad altri settori o sottosettori. La prima relazione è presentata entro [sei mesi dall'entrata in vigore della presente direttiva] e valuta in particolare se il suo ambito d'applicazione debba essere esteso per includere il settore della produzione, trasformazione e distribuzione alimentare.

Articolo 23
Abrogazione della direttiva 2008/114/CE

La direttiva 2008/114/CE è abrogata a decorrere dal [data di entrata in vigore della presente direttiva].

Articolo 24
Recepimento

1.Gli Stati membri adottano e pubblicano al più tardi entro [18 mesi dall'entrata in vigore della presente direttiva] le disposizioni legislative, regolamentari e amministrative necessarie per conformarsi alla presente direttiva. Essi comunicano immediatamente alla Commissione il testo di tali disposizioni.

Gli Stati membri applicano tali disposizioni a decorrere dal [due anni dopo l'entrata in vigore della presente direttiva + 1 giorno].

Le disposizioni adottate dagli Stati membri contengono un riferimento alla presente direttiva o sono corredate di tale riferimento all'atto della pubblicazione ufficiale. Le modalità del riferimento sono decise dagli Stati membri.

2.Gli Stati membri comunicano alla Commissione il testo delle disposizioni principali di diritto interno che adottano nel settore disciplinato dalla presente direttiva.

Articolo 25
Entrata in vigore

La presente direttiva entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Articolo 26
Destinatari

Gli Stati membri sono destinatari della presente direttiva.

Fatto a Bruxelles, il

SCHEDA FINANZIARIA LEGISLATIVA

1.CONTESTO DELLA PROPOSTA/INIZIATIVA 

1.1.Titolo della proposta/iniziativa

1.2.Settore/settori interessati 

Sicurezza

1.3.La proposta/iniziativa riguarda: 

◻ una nuova azione

◻ una nuova azione a seguito di un progetto pilota/un'azione preparatoria 40  

☑ la proroga di un'azione esistente 

◻ la fusione o il riorientamento di una o più azioni verso un'altra/una nuova azione 

1.4.Obiettivi

1.4.1.Obiettivi generali

1.4.2.Obiettivi specifici

1.4.3.Risultati e incidenza previsti

Precisare gli effetti che la proposta/iniziativa dovrebbe avere sui beneficiari/gruppi interessati.

1.4.4.Indicatori di prestazione

Precisare gli indicatori con cui monitorare progressi e risultati.

1.5.Motivazione della proposta/iniziativa 

1.5.1.Necessità nel breve e lungo termine, compreso un calendario dettagliato per fasi di attuazione dell'iniziativa

1.5.2.Valore aggiunto dell'intervento dell'Unione (che può derivare da diversi fattori, ad es. un miglior coordinamento, la certezza del diritto, maggiore efficacia o maggiori complementarità). Ai fini del presente punto, per "valore aggiunto dell'intervento dell'Unione" si intende il valore derivante dall'intervento dell'Unione che va ad aggiungersi al valore che avrebbero altrimenti generato gli Stati membri se avessero agito da soli.

1.5.3.Insegnamenti tratti da esperienze analoghe

1.5.4.Compatibilità con il quadro finanziario pluriennale ed eventuali sinergie con altri strumenti pertinenti

1.6.Durata e incidenza finanziaria della proposta/iniziativa

◻ durata limitata

◻    in vigore a decorrere dal [GG/MM]AAAA fino al [GG/MM]AAAA

◻    incidenza finanziaria dal AAAA al AAAA per gli stanziamenti di impegno e dal AAAA al AAAA per gli stanziamenti di pagamento.

☑ durata illimitata

·attuazione con un periodo di avviamento dal 2021 al 2027,

·successivo funzionamento a pieno ritmo.

1.7.Modalità di gestione previste 41  

☑ Gestione diretta a opera della Commissione

☑ a opera dei suoi servizi, compreso il suo personale presso le delegazioni dell'Unione;

◻    a opera delle agenzie esecutive

☑ Gestione concorrente con gli Stati membri

◻ Gestione indiretta affidando compiti di esecuzione del bilancio:

◻ a paesi terzi o organismi da questi designati;

◻ a organizzazioni internazionali e loro agenzie (specificare);

◻ alla BEI e al Fondo europeo per gli investimenti;

◻ agli organismi di cui agli articoli 70 e 71 del regolamento finanziario;

◻ a organismi di diritto pubblico;

◻ a organismi di diritto privato investiti di attribuzioni di servizio pubblico nella misura in cui sono dotati di sufficienti garanzie finanziarie;

◻ a organismi di diritto privato di uno Stato membro preposti all'attuazione di un partenariato pubblico-privato e che sono dotati di sufficienti garanzie finanziarie;

◻ alle persone incaricate di attuare azioni specifiche della PESC a norma del titolo V del TUE e indicate nel pertinente atto di base.

Se è indicata più di una modalità, fornire ulteriori informazioni alla voce "Osservazioni".

Osservazioni

2.MISURE DI GESTIONE 

2.1.Disposizioni in materia di monitoraggio e di relazioni 

Precisare frequenza e condizioni.

2.2.Sistema di gestione e di controllo 

2.2.1.Giustificazione della o delle modalità di gestione, del meccanismo o dei meccanismi di attuazione del finanziamento, delle modalità di pagamento e della strategia di controllo proposti

2.2.2.Informazioni concernenti i rischi individuati e il sistema o i sistemi di controllo interno per ridurli

2.2.3.Stima e giustificazione del rapporto costo/efficacia dei controlli (rapporto "costi del controllo ÷ valore dei fondi gestiti") e valutazione dei livelli di rischio di errore previsti (al pagamento e alla chiusura) 

2.3.Misure di prevenzione delle frodi e delle irregolarità 

Precisare le misure di prevenzione e tutela in vigore o previste, ad esempio strategia antifrode.

3.INCIDENZA FINANZIARIA PREVISTA DELLA PROPOSTA/INIZIATIVA 

3.1.Rubrica/rubriche del quadro finanziario pluriennale e linea/linee di bilancio di spesa interessate

(1) Nuove linee di bilancio

Secondo l'ordine delle rubriche del quadro finanziario pluriennale e delle linee di bilancio.

Osservazioni:

Gli stanziamenti operativi richiesti nel contesto della proposta sono coperti da stanziamenti già previsti nella scheda finanziaria legislativa alla base del regolamento ISF.

Nel quadro della presente proposta legislativa sono richieste risorse umane supplementari.

3.2.Incidenza finanziaria prevista della proposta sugli stanziamenti

3.2.1.Sintesi dell'incidenza prevista sugli stanziamenti operativi 

◻    La proposta/iniziativa non comporta l'utilizzo di stanziamenti operativi

☑La proposta/iniziativa comporta l'utilizzo di stanziamenti operativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

Se la proposta/iniziativa incide su più rubriche operative, ricopiare nella sezione sotto:

Sezione da compilare utilizzando i "dati di bilancio di natura amministrativa" che saranno introdotti nell' allegato della scheda finanziaria legislativa  (allegato V delle norme interne), caricato su DECIDE a fini di consultazione interservizi.

Mio EUR (al terzo decimale)

Mio EUR (al terzo decimale)

3.2.2.Risultati previsti finanziati con gli stanziamenti operativi Stanziamenti d'impegno in Mio EUR (al terzo decimale)

3.2.3.Sintesi dell'incidenza prevista sugli stanziamenti amministrativi 

◻        La proposta/iniziativa non comporta l'utilizzo di stanziamenti amministrativa 

☑    La proposta/iniziativa comporta l'utilizzo di stanziamenti amministrativi, come spiegato di seguito:

Mio EUR (al terzo decimale)

Il fabbisogno di stanziamenti relativi alle risorse umane e alle altre spese di natura amministrativa è coperto dagli stanziamenti della DG già assegnati alla gestione dell'azione e/o riassegnati all'interno della stessa DG, integrati dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

3.2.3.1.Fabbisogno previsto di risorse umane

◻    La proposta/iniziativa non comporta l'utilizzo di risorse umane.

☑    La proposta/iniziativa comporta l'utilizzo di risorse umane, come spiegato di seguito:

Stima da esprimere in equivalenti a tempo pieno

XX è il settore o il titolo di bilancio interessato.

Il fabbisogno di risorse umane è coperto dal personale della DG già assegnato alla gestione dell'azione e/o riassegnato all'interno della stessa DG, integrato dall'eventuale dotazione supplementare concessa alla DG responsabile nell'ambito della procedura annuale di assegnazione, tenendo conto dei vincoli di bilancio.

Descrizione dei compiti da svolgere:

3.2.4.Compatibilità con il quadro finanziario pluriennale attuale 

La proposta/iniziativa:

☑    può essere interamente finanziata mediante riassegnazione all'interno della pertinente rubrica del quadro finanziario pluriennale (QFP).

◻    comporta l'uso del margine non assegnato della pertinente rubrica del QFP e/o l'uso degli strumenti speciali definiti nel regolamento QFP.

◻    comporta una revisione del QFP.

3.2.5.Partecipazione di terzi al finanziamento

La proposta/iniziativa:

☑    non prevede cofinanziamenti da terzi

◻    prevede il cofinanziamento da terzi indicato di seguito:

Stanziamenti in Mio EUR (al terzo decimale)

3.3.Incidenza prevista sulle entrate 

☑    La proposta/iniziativa non ha incidenza finanziaria sulle entrate.

◻    La proposta/iniziativa ha la seguente incidenza finanziaria:

◻    sulle risorse proprie

◻    su altre entrate

indicare se le entrate sono destinate a linee di spesa specifiche ◻    

Mio EUR (al terzo decimale)

Per quanto riguarda le entrate con destinazione specifica, precisare la o le linee di spesa interessate.

Altre osservazioni (ad es. formula/metodo per calcolare l'incidenza sulle entrate o altre informazioni).

(1)    Conclusioni del Consiglio del 10 dicembre 2019 - Sforzi complementari per rafforzare la resilienza e contrastare le minacce ibride (14972/19).

(2)    Relazione sulle conclusioni e raccomandazioni della commissione speciale sul terrorismo del Parlamento europeo (2018/2044(INI)).

(3)    Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.

(4)    COM(2020) 605.

(5)    COM(2020) 795.

(6)    Comunicazione della Commissione relativa a un programma europeo per la protezione delle infrastrutture critiche, COM(2006)786.

(7)    Direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione.

(8)    Comunicazione della Commissione - Strategia dell'UE di adattamento ai cambiamenti climatici, COM(2013) 216; decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, del 17 dicembre 2013, su un meccanismo unionale di protezione civile; regolamento 2019/452 che istituisce un quadro per il controllo degli investimenti esteri diretti nell'Unione; direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione.

(9)    Overview of natural and man-made disaster risks the European Union may face ("Panoramica dei rischi di catastrofi naturali o provocate dall'uomo che l'Unione europea può trovarsi ad affrontare"), SWD (2020) 330.

(10)    SWD(2019) 308.

(11)    Comunicazione della Commissione sulla strategia dell'UE per l'Unione della sicurezza, COM(2020) 605.

(12)    SWD(2019) 310.

(13)    Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

(14)    GU C , del , pag. .

(15)    GU C […], del […], pag. […].

(16)    Posizione del Parlamento europeo […] e del Consiglio […].

(17)    Direttiva 2008/114/CE del Consiglio, dell'8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75).

(18)    SWD(2019) 308.

(19)    Programma europeo per la protezione delle infrastrutture critiche (EPCIP).

(20)    [Riferimento alla direttiva NIS 2, una volta adottata.]

(21)    Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

(22)    Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, pag. 1).

(23)    Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349).

(24)    Regolamento (UE) n. 600/2014 del Parlamento europeo e del Consiglio, del 15 maggio 2014, sui mercati degli strumenti finanziari e che modifica il regolamento (UE) n. 648/2012 (GU L 173 del 12.6.2014, pag. 84).

(25)    Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento e che modifica il regolamento (UE) n. 648/2012 (GU L 176 del 27.6.2013, pag. 1).

(26)    Direttiva 2013/36/UE del Parlamento europeo e del Consiglio, del 26 giugno 2013, sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE (GU L 176 del 27.6.2013, pag. 338).

(27)    Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla resilienza operativa digitale per il settore finanziario e che modifica i regolamenti (CE) n. 1060/2009, (UE) n. 648/2012, (UE) n. 600/2014 e (UE) n. 909/2014, COM(2020) 595.

(28)    Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell'11 marzo 2008, che istituisce norme comuni per la sicurezza dell'aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag.72).

(29)    Regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativo al miglioramento della sicurezza delle navi e degli impianti portuali (GU L 129 del 29.4.2004, pag. 6).

(30)    Direttiva 2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa al miglioramento della sicurezza dei porti (GU L 310 del 25.11.2005, pag. 28).

(31)    Decisione della Commissione, del 29 giugno 2018, che istituisce la piattaforma per la sicurezza dei passeggeri ferroviari nell'UE, C/2018/4014.

(32)    GU L 123 del 12.5.2016, pag. 1

(33)    Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell'esercizio delle competenze di esecuzione attribuite alla Commissione (GU L 55 del 28.2.2011, pag. 13).

(34)    Direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio e che modifica la decisione 2005/671/GAI del Consiglio (GU L 88 del 31.3.2017, pag. 6).

(35)    Decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio, del 17 dicembre 2013, su un meccanismo unionale di protezione civile (GU L 347 del 20.12.2013, pag. 924).

(36)    Regolamento (UE) 2019/941 del Parlamento europeo e del Consiglio, del 5 giugno 2019, sulla preparazione ai rischi nel settore dell'energia elettrica e che abroga la direttiva 2005/89/CE (GU L 158 del 14.6.2019, pag. 1).

(37)    Regolamento (UE) 2017/1938 del Parlamento europeo e del Consiglio, del 25 ottobre 2017, concernente misure volte a garantire la sicurezza dell'approvvigionamento di gas e che abroga il regolamento (UE) n. 994/2010 (GU L 280 del 28.10.2017, pag. 1).

(38)    GU L 119 del 4.5.2016, pag. 1

(39)    GU L 135 del 22.5.2019, pag. 1

(40)    A norma dell'articolo 58, paragrafo 2, lettera a) o b) del regolamento finanziario.

(41)    Le spiegazioni sulle modalità di gestione e i riferimenti al regolamento finanziario sono disponibili sul sito BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx  

(42)    Diss. = stanziamenti dissociati / non diss. = stanziamenti non dissociati.

(43)    EFTA: Associazione europea di libero scambio.

(44)    Paesi candidati e, se del caso, potenziali candidati dei Balcani occidentali.

(45)    Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

(46)    Assistenza tecnica e/o amministrativa e spese di sostegno all'attuazione di programmi e/o azioni dell'UE (ex linee "BA"), ricerca indiretta, ricerca diretta.

(47)    AC = agente contrattuale; AL = agente locale; END = esperto nazionale distaccato; INT = personale interinale (intérimaire); JPD = giovane professionista in delegazione.

(48)    Sottomassimale per il personale esterno previsto dagli stanziamenti operativi (ex linee "BA").).

(49)    L'anno N è l'anno in cui inizia a essere attuata la proposta/iniziativa. Sostituire "N" con il primo anno di attuazione previsto (ad es. 2021) e così per gli anni a seguire.

(50)    Per le risorse proprie tradizionali (dazi doganali, contributi zucchero), indicare gli importi netti, cioè gli importi lordi al netto del 20 % per spese di riscossione.

COMMISSIONE EUROPEA

Bruxelles, 16.12.2020

COM(2020) 829 final

ALLEGATO

della proposta di

DIRETTIVA DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

sulla resilienza dei soggetti critici

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

ALLEGATO

Settori, sottosettori e tipi di soggetti

(1)    Direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio, del 5 giugno 2019, relativa a norme comuni per il mercato interno dell'energia elettrica e che modifica la direttiva 2012/27/UE (GU L 158 del 14.6.2019, pag. 125).

(2)    Regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio, del 5 giugno 2019, sul mercato interno dell'energia elettrica (GU L 158 del 14.6.2019, pag. 54).

(3)    Direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio, dell'11 dicembre 2018, sulla promozione dell'uso dell'energia da fonti rinnovabili (GU L 328 del 21.12.2018, pag. 82).

(4)    Direttiva 2009/119/CE del Consiglio, del 14 settembre 2009, che stabilisce l’obbligo per gli Stati membri di mantenere un livello minimo di scorte di petrolio greggio e/o di prodotti petroliferi (GU L 265 del 9.10.2009, pag. 9).

(5)    Direttiva 2009/73/CE del Parlamento europeo e del Consiglio, del 13 luglio 2009, relativa a norme comuni per il mercato interno del gas naturale e che abroga la direttiva 2003/55/CE (GU L 211 del 14.8.2009, pag. 94).

(6)    Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell'11 marzo 2008, che istituisce norme comuni per la sicurezza dell'aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag. 72).

(7)    Direttiva 2009/12/CE del Parlamento europeo e del Consiglio, dell'11 marzo 2009, concernente i diritti aeroportuali (GU L 70 del 14.3.2009, pag. 11).

(8)    Regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio, dell'11 dicembre 2013, sugli orientamenti dell'Unione per lo sviluppo della rete transeuropea dei trasporti e che abroga la decisione n. 661/2010/UE (GU L 348 del 20.12.2013, pag. 1).

(9)    Regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che stabilisce i principi generali per l'istituzione del cielo unico europeo ("regolamento quadro") (GU L 96 del 31.3.2004, pag. 1).

(10)    Direttiva 2012/34/UE del Parlamento europeo e del Consiglio, del 21 novembre 2012, che istituisce uno spazio ferroviario europeo unico (GU L 343 del 14.12.2012, pag. 32).

(11)    Regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio, del 31 marzo 2004, relativo al miglioramento della sicurezza delle navi e degli impianti portuali (GU L 129 del 29.4.2004, pag. 6).

(12)    Direttiva 2005/65/CE del Parlamento europeo e del Consiglio, del 26 ottobre 2005, relativa al miglioramento della sicurezza dei porti (GU L 310 del 25.11.2005, pag. 28).

(13)    Direttiva 2002/59/CE del Parlamento europeo e del Consiglio, del 27 giugno 2002, relativa all'istituzione di un sistema comunitario di monitoraggio del traffico navale e d'informazione e che abroga la direttiva 93/75/CEE del Consiglio (GU L 208 del 5.8.2002, pag. 10).

(14)    Regolamento delegato (UE) 2015/962 della Commissione, del 18 dicembre 2014, che integra la direttiva 2010/40/UE del Parlamento europeo e del Consiglio relativamente alla predisposizione in tutto il territorio dell'Unione europea di servizi di informazione sul traffico in tempo reale (GU L 157 del 23.6.2015, pag. 21).

(15)    Direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010, sul quadro generale per la diffusione dei sistemi di trasporto intelligenti nel settore del trasporto stradale e nelle interfacce con altri modi di trasporto (GU L 207 del 6.8.2010, pag. 1).

(16)    Regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio, del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento e che modifica il regolamento (UE) n. 648/2012 (GU L 176 del 27.6.2013, pag. 1).

(17)    Direttiva 2014/65/UE del Parlamento europeo e del Consiglio, del 15 maggio 2014, relativa ai mercati degli strumenti finanziari e che modifica la direttiva 2002/92/CE e la direttiva 2011/61/UE (GU L 173 del 12.6.2014, pag. 349).

(18)    Regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio, del 4 luglio 2012, sugli strumenti derivati OTC, le controparti centrali e i repertori di dati sulle negoziazioni (GU L 201 del 27.7.2012, pag. 1).

(19)    Direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera (GU L 88 del 4.4.2011, pag. 45).

(20)    [Regolamento del Parlamento europeo e del Consiglio relativo alle gravi minacce per la salute a carattere transfrontaliero e che abroga la decisione n. 1082/2013/UE, riferimento da aggiornare dopo l'adozione della proposta COM(2020) 727 final].

(21)    Direttiva 2001/83/CE del Parlamento europeo e del Consiglio, del 6 novembre 2001, recante un codice comunitario relativo ai medicinali per uso umano (GU L 311 del 28.11.2001, pag. 67).

(22)    [Regolamento del Parlamento europeo e del Consiglio relativo a un ruolo rafforzato dell'Agenzia europea per i medicinali nella preparazione alle crisi e nella loro gestione in relazione ai medicinali e ai dispositivi medici, COM(2020) 725 final], riferimento una volta aggiornata la proposta].

(23)    Direttiva 98/83/CE del Consiglio, del 3 novembre 1998, concernente la qualità delle acque destinate al consumo umano (GU L 330 del 5.12.1998, pag. 32).

(24)    Direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, concernente il trattamento delle acque reflue urbane (GU L 135 del 30.5.1991, pag. 40).

(25)    Regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE (GU L 257 del 28.8.2014, pag. 73).

(26)    Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il codice europeo delle comunicazioni elettroniche (GU L 321 del 17.12.2018, pag. 36).

(27)    Regolamento (CE) n. 1059/2003 del Parlamento europeo e del Consiglio, del 26 maggio 2003, relativo all'istituzione di una classificazione comune delle unità territoriali per la statistica (NUTS) (GU L 154 del 21.6.2003, pag. 1).