TEN/730

Cibersicurezza e resilienza dei soggetti critici

PARERE
Sezione Trasporti, energia, infrastrutture, società dell'informazione
Proposta di direttiva del Parlamento europeo e del Consiglio relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva (UE) 2016/1148, e proposta di direttiva del Parlamento europeo e del Consiglio sulla resilienza dei soggetti critici

[COM(2020) 823 final - 2020/0359(COD) – COM(2020) 829 final - 2020/0365(COD)]

Relatore: Maurizio MENSI 

1.Conclusioni e raccomandazioni

1.1Il CESE apprezza lo sforzo dispiegato dalla Commissione per aumentare la resilienza di entità pubbliche e private contro le minacce derivanti da incidenti, attacchi cibernetici e fisici e condivide la necessità di rafforzare l'industria e la capacità di innovazione dell'UE in modo inclusivo, secondo una strategia basata su quattro pilastri: protezione dei dati, diritti fondamentali, sicurezza e cibersicurezza.

1.2Il CESE rileva tuttavia che la rilevanza e delicatezza degli obiettivi perseguiti con entrambe le proposte avrebbero reso preferibile lo strumento del regolamento piuttosto che quello della direttiva. Non emergono peraltro le ragioni per le quali la Commissione non abbia ritenuto di annoverare tale ipotesi neppure fra le varie opzioni considerate.

1.3Il CESE osserva che alcune previsioni delle due proposte di direttiva si sovrappongono in quanto strettamente collegate e complementari, trattando l'una in via prevalente profili di cibersicurezza, l'altra di sicurezza fisica. Chiede pertanto di valutare l'opportunità che le due proposte siano accorpate in un unico testo, per esigenze di semplificazione e concentrazione funzionale.

1.4Il CESE condivide l'approccio proposto di superare la distinzione fra operatori di servizi essenziali e fornitori di servizi digitali di cui alla NIS originaria, tuttavia evidenzia l'opportunità che siano fornite, con riferimento al suo campo di applicazione, più precise e chiare indicazioni per l'individuazione dei soggetti tenuti al rispetto della direttiva. In particolare, i criteri distintivi fra entità "essenziali" e "importanti", così come i requisiti che debbono soddisfare, dovrebbero essere delineati con maggiore precisione, ad evitare che approcci disomogenei a livello nazionale si traducano in ostacoli alla concorrenza e alla libera circolazione di beni e servizi, con il rischio di pregiudicare le imprese e compromettere gli scambi commerciali.

1.5Il CESE ritiene importante, attesa la oggettiva complessità del sistema delineato dalle due proposte, che la Commissione chiarisca con precisione l'ambito di applicazione dei due plessi normativi, soprattutto laddove diverse previsioni concorrono per disciplinare la medesima fattispecie o lo stesso soggetto.

1.6Il CESE rileva che la chiarezza di ogni previsione normativa costituisce un obiettivo irrinunciabile, insieme a quelli di ridurre la burocrazia e la frammentazione semplificando i processi, i requisiti di sicurezza e gli obblighi di notifica degli incidenti. Anche a tal fine potrebbe rendersi opportuno, a beneficio di cittadini e imprese, accorpare in un unico testo le due proposte di direttiva, evitando un talora complicato esercizio di interpretazione e applicazione.

1.7Il CESE riconosce il ruolo essenziale, evidenziato dalla proposta di direttiva, degli organi di gestione delle entità "essenziali" e "importanti", i cui membri sono tenuti a seguire specifici corsi di formazione, su base regolare, al fine di acquisire conoscenze e competenze sufficienti per conoscere, gestire i vari rischi di carattere cibernetico e valutarne l'impatto. Al riguardo si ritiene che la proposta debba indicare quale sia il contenuto minimo di tali conoscenze e competenze, così da fornire una guida a livello europeo su quali competenze formative siano considerate adeguate ed evitare che il contenuto dei vari corsi di formazione sia diverso a seconda del paese.

1.8Il CESE condivide l'importanza del ruolo rivestito da ENISA nel complessivo assetto istituzionale e operativo della sicurezza cibernetica a livello europeo. Ritiene al riguardo che, oltre alla relazione sullo stato della sicurezza informatica nell'Unione su base biennale, tale organismo debba pubblicare online informazioni periodiche e aggiornate sugli incidenti di sicurezza informatica, oltre ad avvisi settoriali, così da fornire un ulteriore, utile strumento informativo per consentire ai soggetti riguardati dalla NIS 2 di meglio proteggere le proprie imprese.

1.9Il CESE condivide la proposta di affidare ad ENISA il compito di istituire un registro europeo delle vulnerabilità e ritiene che la comunicazione relativa alle vulnerabilità e agli incidenti più rilevanti debba essere resa obbligatoria, anziché volontaria, così da diventare strumento utile anche per gli enti aggiudicatori nell'ambito delle procedure d'appalto a livello europeo, compresi i prodotti e le tecnologie per il 5G.

2.Osservazioni generali

2.1Il 16 dicembre 2020 è stata presentata la nuova strategia dell'UE per la cibersicurezza insieme a due proposte legislative: la revisione della direttiva (UE) 2016/1148 1 sulla sicurezza delle reti e dei sistemi informativi (NIS 2) e una nuova direttiva sulla resilienza dei soggetti critici (CER). La strategia, elemento chiave della comunicazione "Plasmare il futuro digitale dell'Europa" 2 , del piano per la ripresa dell'Europa e della strategia dell'UE per l'Unione della sicurezza, è volta a rafforzare la resilienza collettiva dell'Europa contro le minacce informatiche e a garantire che tutti i cittadini e le imprese possano beneficiare di servizi e strumenti digitali affidabili e sicuri.

2.2Le misure esistenti a livello UE volte a proteggere i servizi e le infrastrutture critiche da rischi informatici e fisici devono essere aggiornate. I rischi legati alla sicurezza informatica continuano ad evolversi con l'aumentare della digitalizzazione e dell'interconnessione. Di qui la necessità di rivedere il quadro normativo vigente seguendo la logica della strategia dell'UE per la sicurezza, superando la dicotomia tra online e offline e un approccio basato su rigide compartimentazioni.

2.3Le due proposte di direttiva riguardano un'ampia serie di settori e affrontano i rischi attuali e futuri, online e offline, derivanti dagli attacchi informatici e criminali, dalle catastrofi naturali e dagli altri incidenti anche traendo spunto dalla lezione della pandemia in corso, che ha evidenziato come società ed economie vieppiù dipendenti da soluzioni digitali siano vulnerabili ed esposte a ciberminacce in crescita e in rapida evoluzione, in particolare per i gruppi a rischio di esclusione sociale, quali i disabili. Questo ha indotto l'UE a proporre un intervento volto a salvaguardare un ciberspazio globale e aperto ma basato su solide garanzie di sicurezza, sovranità tecnologica e leadership, sviluppando capacità operative atte a prevenire, scoraggiare e rispondere con maggiore cooperazione alle eventuali minacce, nel rispetto delle prerogative di sicurezza nazionale affidate agli Stati membri.

3.La proposta di revisione della direttiva sulla sicurezza delle reti e dei sistemi informativi

3.1La direttiva NIS (UE) 2016/1148, primo strumento normativo "orizzontale" dell'UE in tema di cibersicurezza, aveva come obiettivo quello di migliorare la resilienza dei sistemi di rete e di informazione nell'Unione contro i rischi cibernetici. Nonostante i buoni risultati raggiunti, la direttiva NIS ha tuttavia evidenziato alcuni limiti, laddove la trasformazione digitale della società, intensificata dalla crisi di COVID-19, ha ampliato il panorama delle minacce accentuando la vulnerabilità delle nostre società, sempre più interdipendenti di fronte a rischi rilevanti e imprevisti. Sono emerse nuove sfide, che richiedono risposte adeguate e innovative. Le risultanze dell'ampia consultazione svolta con le parti interessate ha messo in luce l'insufficiente livello di cibersicurezza in capo alle imprese europee, l'applicazione incoerente delle regole da parte degli Stati nei vari settori e la carente comprensione delle principali minacce e sfide.

3.2La proposta di NIS 2 è strettamente collegata ad altre due iniziative: la proposta di regolamento sul settore finanziario digitale (Digital Operational Resilience Act, DORA) e la proposta di direttiva sui soggetti critici (CER), che estende a nuovi settori il campo di applicazione della direttiva 2008/114 3 , relativa a energia e trasporti, focalizzandosi per esempio sul settore sanitario e sugli enti che svolgono attività di ricerca e sviluppo dei medicinali. La CER, il cui campo di applicazione settoriale è identico a quello della NIS 2 per le entità essenziali (allegato 1 della NIS 2), sposta il suo focus dalla protezione degli asset fisici alla resilienza dei soggetti che li gestiscono e passa dall'identificazione delle infrastrutture critiche europee con dimensione transfrontaliera all'identificazione delle infrastrutture critiche a livello nazionale. La NIS 2 è altresì coerente e complementare ad altri strumenti normativi vigenti, quali il codice europeo delle comunicazioni elettroniche, il regolamento generale sulla protezione dei dati personali e il regolamento eIDAS in tema di identificazione elettronica e servizi fiduciari.

3.3La proposta di direttiva NIS 2, in conformità al programma di controllo dell'adeguatezza e dell'efficacia della regolamentazione (REFIT), intende ridurre gli oneri normativi per le autorità competenti e i costi di conformità per i soggetti pubblici e privati e modernizza il quadro giuridico di riferimento. Inoltre, rafforza i requisiti di sicurezza imposti alle imprese, affronta la questione della sicurezza delle catene di approvvigionamento, razionalizza gli obblighi di segnalazione, introduce misure di vigilanza più rigorose per le autorità nazionali e cerca di armonizzare i regimi sanzionatori negli Stati membri.

3.4La NIS 2 contribuisce altresì ad accrescere la condivisione delle informazioni e la cooperazione in materia di gestione delle crisi informatiche a livello nazionale ed europeo. Viene superata la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali prevista dalla direttiva NIS. Il suo campo di applicazione include le imprese medio-grandi di settori individuati in base alla loro criticità per l'economia e la società. Tali entità, pubbliche o private, sono suddivise fra "essenziali" e "importanti", soggette a diversi regimi di vigilanza. È comunque lasciata agli Stati la possibilità di considerare anche entità minori che presentino elevati profili di rischio.

3.5È prevista una nuova rete di centri operativi di sicurezza a livello UE, guidati dall'intelligenza artificiale (AI), che costituiranno un vero e proprio "scudo di sicurezza cibernetica" in grado di rilevare i segnali di un attacco informatico con sufficiente anticipo così da poter intervenire prima che si verifichino danni. La rilevanza dell'intelligenza artificiale ai fini della sicurezza cibernetica è peraltro evidenziata anche nel rapporto sull'intelligenza artificiale (IA) della Commissione per la Sicurezza Nazionale (NSCAI) degli Stati Uniti presentato il 1º marzo 2021. Di conseguenza gli Stati membri e gli operatori delle infrastrutture critiche potranno accedere direttamente alle informazioni sulle minacce nel quadro di una rete europea di sicurezza sotto il profilo della "Threat Intelligence".

3.6La Commissione affronta altresì il problema della sicurezza delle "Supply Chains" e dei rapporti con i fornitori: gli Stati membri, in cooperazione con la Commissione ed ENISA, possono effettuare valutazioni coordinate dei rischi delle catene di approvvigionamento critiche, in base all'approccio adottato con successo per le reti 5G previsto dalla raccomandazione del 26 marzo 2019 4 .

3.7La proposta rafforza e razionalizza gli obblighi in materia di sicurezza e di rendicontazione per le imprese imponendo un approccio comune alla gestione dei rischi, con un elenco minimo di elementi di sicurezza di base da applicare. Sono previste disposizioni più precise sul processo di segnalazione degli incidenti, sul contenuto delle relazioni e sulle scadenze. Al riguardo la proposta delinea un approccio in due fasi: le imprese hanno 24 ore di tempo per presentare un primo rapporto sommario, seguito da quello finale dettagliato entro un mese.

3.8È previsto che gli Stati membri individuino autorità nazionali responsabili della gestione delle crisi, con piani specifici e una nuova rete per la cooperazione operativa, la "UE-Cyber Crises Liaison Organisation Network" ("EU-CyCLONe"). Viene rafforzato il ruolo del gruppo di cooperazione nella definizione delle decisioni strategiche e creato un registro per le vulnerabilità scoperte nell'UE, gestito da ENISA; viene inoltre aumentata la condivisione delle informazioni e la cooperazione tra le autorità degli Stati membri, compresa quella operativa in materia di gestione delle crisi cibernetiche.

3.9Sono introdotte misure di vigilanza più rigorose per le autorità nazionali, requisiti di applicazione più severi e si mira ad armonizzare i regimi sanzionatori in tutti gli Stati membri.

3.10Al riguardo la proposta di direttiva stabilisce un elenco di sanzioni amministrative in caso di violazione degli obblighi di gestione dei rischi in materia di sicurezza informatica e comunicazione. Sono previste disposizioni sulla responsabilità delle persone fisiche che hanno posizioni di rappresentanza o dirigenza nelle società che rientrano nel campo di applicazione della direttiva. In tal senso la proposta migliora il modo in cui l'UE previene, gestisce e risponde agli incidenti e alle crisi su larga scala della sicurezza informatica, prevedendo responsabilità chiare, una pianificazione adeguata e una maggiore cooperazione a livello UE.

3.11Gli Stati membri sono messi in grado di vigilare congiuntamente sull'attuazione delle norme UE e si assistono reciprocamente in caso di problemi transfrontalieri, instaurano un dialogo più strutturato con il settore privato, coordinano la divulgazione delle vulnerabilità riscontrate nel software e nell'hardware commercializzati nel mercato interno, valutano in modo coordinato i rischi per la sicurezza e le minacce connesse alle nuove tecnologie, come avvenuto nel caso del 5G.

4.La proposta di direttiva sulla resilienza dei soggetti critici

4.1L'UE ha istituito nel 2006 il programma europeo per la protezione delle infrastrutture critiche (EPCIP) e ha adottato nel 2008 la direttiva sulle infrastrutture critiche europee (ECI), che si applica ai settori dell'energia e dei trasporti. Sia la strategia dell'UE per l'Unione della sicurezza 2020-2025 5 adottata dalla Commissione europea sia l'Agenda per la lotta al terrorismo recentemente adottata sottolineano l'importanza di garantire la resilienza delle infrastrutture critiche a fronte dei rischi fisici e digitali. Tuttavia, sia la valutazione effettuata nel 2019 circa l'attuazione della direttiva ECI sia le risultanze della valutazione d'impatto della proposta in esame hanno evidenziato che le misure europee e nazionali vigenti non garantiscono in misura sufficiente che gli operatori siano in grado di affrontare gli attuali rischi. Di qui gli inviti rivolti dal Consiglio e dal Parlamento alla Commissione affinché riveda l'attuale approccio alla protezione delle infrastrutture critiche.

4.2La strategia dell'UE per l'Unione della sicurezza adottata dalla Commissione il 24 luglio 2020 ha riconosciuto la crescente interconnessione e interdipendenza tra infrastrutture fisiche e digitali, sottolineando la necessità di un approccio più coerente e omogeneo tra la direttiva ECI e la direttiva NIS. In tal senso la proposta di direttiva (CER), il cui ambito di riferimento oggettivo è lo stesso della NIS 2 sulle entità essenziali, estende l'originario campo di applicazione della direttiva n. 114 del 2008, limitato a energia e trasporti, ai settori di: banche, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio, prevedendo altresì responsabilità chiare, una pianificazione adeguata e una maggiore cooperazione. Occorre al riguardo creare un quadro di riferimento per tutti i rischi e sostenere gli Stati membri nello sforzo di garantire che i soggetti critici siano in grado di prevenire, resistere, assorbire le conseguenze degli incidenti, indipendentemente dal fatto che i rischi derivino da pericoli naturali, incidenti, terrorismo, minacce interne o emergenze di salute pubblica come quella attuale.

4.3Ogni Stato membro è tenuto ad adottare una strategia nazionale per garantire la resilienza dei soggetti critici, a effettuare regolari valutazioni del rischio e, su questa base, a identificare i soggetti critici. I soggetti critici sono a loro volta tenuti ad effettuare valutazioni del rischio, adottare misure tecniche e organizzative adeguate ad aumentare la resilienza e segnalare alle autorità nazionali gli incidenti. I soggetti che forniscono servizi ad almeno un terzo degli Stati membri o in almeno un terzo di essi sono sottoposti a una sorveglianza specifica, che comprende specifiche missioni di assistenza ad essi rivolte organizzate dalla Commissione.

4.4La proposta di direttiva (CER) prevede diverse forme di sostegno in favore degli Stati membri e dei soggetti critici, una panoramica dei rischi a livello di UE, le migliori pratiche e metodologie, oltre a un'attività di formazione ed esercitazioni per testare la resilienza dei soggetti critici. Il sistema di cooperazione transfrontaliera prevede altresì un gruppo di esperti ad hoc, il gruppo per la resilienza dei soggetti critici, forum per la cooperazione strategica e lo scambio di informazioni tra gli Stati membri.

5.Proposte di modifica della proposta legislativa in esame

5.1Il CESE apprezza lo sforzo dispiegato dalla Commissione per aumentare la resilienza di entità pubbliche e private contro le minacce derivanti da attacchi cibernetici e fisici. Ciò assume un particolare significato e rilievo soprattutto alla luce della rapida trasformazione digitale indotta dall'emergenza COVID-19. Condivide altresì la necessità che, come indicato nella comunicazione "Plasmare il futuro digitale dell'Europa", l'Europa raccolga i benefici dell'era digitale e rafforzi la sua industria, con particolare riferimento alle piccole e medie imprese, e la sua capacità di innovazione in modo inclusivo, secondo una strategia basata su quattro pilastri: protezione dei dati, diritti fondamentali, sicurezza e cibersicurezza come prerequisiti essenziali per una società che si basa sul potere dei dati.

5.2Tuttavia, alla luce delle risultanze della valutazione di impatto e della consultazione che ha preceduto la proposta di NIS 2, considerato l'obiettivo più volte enfatizzato di evitare la frammentazione delle regole adottate a livello nazionale, come auspicato anche nella comunicazione del 4 ottobre 2017 sull'attuazione della direttiva NIS 6 , il CESE rileva che non emergono le ragioni per le quali la Commissione non abbia ritenuto di proporre l'adozione di un regolamento al posto di una direttiva, neppure fra le opzioni considerate.

5.3Il CESE osserva che alcune previsioni delle due proposte di direttiva si sovrappongono in quanto strettamente collegate e complementari, trattando l'una in via prevalente profili di cibersicurezza, l'altra di sicurezza fisica. Si rileva peraltro che le entità critiche di cui alla CER riguardano gli stessi settori e coincidono con le entità "essenziali" di cui alla NIS 2 7 . A ciò si aggiunga la circostanza che tutte le entità critiche di cui alla CER sono soggette agli obblighi di cibersicurezza previsti dalla NIS 2. Le due proposte prevedono poi una serie di clausole ponte per assicurare il raccordo: disposizioni per una cooperazione rafforzata tra le autorità, scambio di informazioni sulle attività di supervisione, notifica alle autorità NIS 2 sull'identificazione dei soggetti critici ai sensi della CER, così come riunioni regolari dei rispettivi gruppi di cooperazione, almeno una volta all'anno. Le due proposte sono accomunate anche dalla stessa base giuridica, l'articolo 114 TFUE, finalizzato al funzionamento del mercato interno mediante il ravvicinamento delle norme nazionali, come interpretato ex multis dalla Corte di giustizia dell'UE nella sentenza relativa alla causa C-58/08, Vodafone e altri. Si chiede pertanto di valutare l'opportunità che le due proposte siano accorpate in un unico testo, per esigenze di semplificazione e concentrazione funzionale.

5.4Il CESE condivide l'approccio proposto di superare la distinzione fra operatori di servizi essenziali e fornitori di servizi digitali di cui alla NIS originaria, tuttavia evidenzia l'opportunità che siano fornite, con riferimento al suo campo di applicazione, più precise e chiare indicazioni per l'individuazione dei soggetti tenuti al rispetto della direttiva. Infatti, oltre ai riferimenti contenuti negli allegati I e II, la NIS 2 richiama una serie di criteri, fra loro disomogenei, che implicano delicate valutazioni di carattere qualitativo e quantitativo suscettibili di applicazione differenziata a livello nazionale, con il rischio di riproporre la situazione frammentata che si intendeva evitare con l'intervento normativo in esame. Appare infatti importante evitare che approcci disallineati a livello nazionale si traducano in ostacoli alla concorrenza e alla libera circolazione di beni e servizi, con il rischio di pregiudicare le imprese e compromettere gli scambi commerciali.

5.5La NIS 2 prevede che gli operatori critici nei settori considerati "essenziali" dalla proposta in esame siano anche soggetti a obblighi generali di rafforzamento della resilienza, con particolare attenzione ai rischi non cibernetici ai sensi della CER. Tuttavia, quest'ultima indica espressamente che la stessa non si applica alle materie riguardate dalla NIS 2. La CER prevede infatti che, poiché la sicurezza informatica è sufficientemente trattata nella direttiva NIS 2, le materie da essa disciplinate dovrebbero essere escluse dall'ambito di applicazione della stessa, fatto salvo il regime particolare per i soggetti del settore delle infrastrutture digitali. La CER prosegue poi rilevando che i soggetti appartenenti al settore delle infrastrutture digitali si basano essenzialmente su sistemi di rete e di informazione e rientrano nell'ambito di applicazione della direttiva NIS 2, che affronta anche la sicurezza fisica di tali sistemi come parte dei loro obblighi di gestione del rischio di sicurezza informatica e di segnalazione. Al contempo la CER indica che non è escluso che ad essi possano applicarsi specifiche disposizioni della stessa.

5.6In questo quadro complesso il CESE ritiene pertanto indispensabile che la Commissione chiarisca con precisione l'ambito di applicazione dei due plessi normativi, soprattutto laddove le previsioni concorrono per disciplinare la medesima fattispecie o lo stesso soggetto.

5.7La chiarezza di ogni previsione normativa, vieppiù inserita in testi ampi e articolati come quelli in esame, deve costituire un obiettivo irrinunciabile, ad ogni livello, insieme a quelli di ridurre la burocrazia e la frammentazione semplificando i processi, i requisiti di sicurezza e gli obblighi di notifica degli incidenti. Occorre altresì evitare che la moltiplicazione degli organismi preposti a specifici compiti comprometta la chiara individuazione delle loro competenze, vanificando gli obiettivi perseguiti. Anche per tale ragione potrebbe rendersi opportuno, a beneficio di cittadini e imprese, accorpare in un unico testo le due proposte di direttiva, evitando un talora complicato esercizio di interpretazione e applicazione.

5.8In diversi casi nella NIS 2 sono richiamate previsioni di altri strumenti giuridici, come nel caso della direttiva 2018/1972 che istituisce il codice europeo delle comunicazioni elettroniche, la cui applicazione è regolata dal criterio di specialità. Alcune previsioni di tale citata direttiva sono espressamente abrogate (gli articoli 40 e 41), mentre altre debbono applicarsi alla stregua del suddetto principio, senza fornire chiarimenti al riguardo. Su tale punto il CESE auspica che sia dissipato ogni dubbio, al fine di evitare problemi in sede interpretativa. Con riferimento al sistema sanzionatorio, il CESE condivide peraltro l'obiettivo della Commissione di armonizzare il loro regime in caso di non conformità nella gestione dei rischi, nel contesto di una migliore condivisione delle informazioni e della cooperazione a livello dell'UE.

5.9Il CESE riconosce il ruolo essenziale, evidenziato dalla proposta di direttiva, degli organi di gestione delle entità "essenziali" e "importanti" nella strategia di sicurezza cibernetica e nella gestione del rischio, in quanto tenuti ad approvare le misure di gestione del rischio, sovraintendere alla loro attuazione e rispondere dell'eventuale non conformità. Al riguardo è previsto che i membri di tali organi debbano seguire specifici corsi di formazione, su base regolare, al fine di acquisire conoscenze e competenze sufficienti per conoscere, gestire i vari rischi di carattere cibernetico e valutarne l'impatto. Tuttavia si ritiene che la proposta debba indicare quale sia il contenuto di tali conoscenze e competenze, così da fornire una guida a livello europeo su quali competenze formative siano considerate adeguate per rispondere ai requisiti indicati nella proposta, ad evitare che i requisiti e i contenuti dei corsi di formazione siano diversi a seconda del paese.

5.10Il CESE condivide l'importanza del ruolo rivestito da ENISA nel complessivo assetto istituzionale e operativo della sicurezza cibernetica a livello europeo. Al riguardo ritiene che, oltre alla relazione sullo stato della sicurezza informatica nell'Unione, tale organismo debba pubblicare online informazioni aggiornate sugli incidenti di sicurezza informatica e avvisi settoriali, così da fornire un utile strumento di informazione per consentire ai soggetti riguardati dalla NIS 2 di meglio proteggere le proprie imprese.

5.11Il CESE concorda nel ritenere che l'accesso a informazioni corrette e tempestive sulle vulnerabilità che riguardano i prodotti e i servizi ICT contribuisca a una migliore gestione del rischio di sicurezza informatica. A tale riguardo, le fonti di informazioni pubblicamente disponibili sulle vulnerabilità rappresentano uno strumento importante per le autorità nazionali competenti, i CSIRT, le imprese e gli utenti. Per questo motivo, il CESE condivide la proposta di affidare ad ENISA il compito di istituire un registro europeo delle vulnerabilità a cui i soggetti essenziali e importanti e i loro fornitori possano comunicare le informazioni, così da consentire agli utenti di adottare le adeguate misure di attenuazione. Ritiene peraltro che tale comunicazione, per quanto riguarda le vulnerabilità e gli incidenti più rilevanti, debba essere resa obbligatoria, anziché volontaria, così da diventare strumento utile anche per gli enti aggiudicatori nell'ambito delle varie procedure d'appalto a livello europeo, compresi i prodotti e le tecnologie per il 5G. Tale registro conterrebbe in tal caso elementi utilizzabili in sede di valutazione delle offerte, ai fini della verifica circa la qualità delle stesse e l'affidabilità dei contraenti europei ed extra-europei, sotto il profilo della sicurezza dei prodotti e servizi oggetto della gara, in linea con quanto indicato nella raccomandazione sulla cibersicurezza delle reti 5G del 26 marzo 2019. Il registro dovrebbe anche garantire che le informazioni in esso contenute siano rese disponibili in modo tale da evitare ogni tipo di discriminazione.

Bruxelles, 14 aprile 2021

Baiba MILTOVIČA

Presidente della sezione Trasporti, energia, infrastrutture, società dell'informazione

_____________

(1)     GU L 194 del 19.7.2016, pag. 1 .

(2)       COM(2020) 67 final .

(3)     GU L 345 del 23.12.2008, pag. 75 .

(4)     GU L 88 del 29.3.2019, pag. 42 .

(5)       COM(2020) 605 final .

(6)       COM(2017) 476 final .

(7)      Allegato 1: GU L 194 del 19.7.2016, pag. 1 .