Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32013R0526

Regolamento (UE) n. 526/2013 del Parlamento europeo e del Consiglio, del 21 maggio 2013 , relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e che abroga il regolamento (CE) n. 460/2004 Testo rilevante ai fini del SEE

OJ L 165, 18.6.2013, p. 41–58 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 13 Volume 066 P. 127 - 144

No longer in force, Date of end of validity: 26/06/2019; abrogato da 32019R0881

ELI: http://data.europa.eu/eli/reg/2013/526/oj

18.6.2013   

IT

Gazzetta ufficiale dell'Unione europea

L 165/41


REGOLAMENTO (UE) N. 526/2013 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

del 21 maggio 2013

relativo all’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) e che abroga il regolamento (CE) n. 460/2004

(Testo rilevante ai fini del SEE)

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL’UNIONE EUROPEA,

visto il trattato sul funzionamento dell’Unione europea, in particolare l’articolo 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo (1),

deliberando secondo la procedura legislativa ordinaria (2),

considerando quanto segue:

(1)

Le comunicazioni, le infrastrutture e i servizi elettronici sono fattori essenziali, sia direttamente che indirettamente, dello sviluppo economico e sociale. Svolgono un ruolo vitale per la società e sono di per sé diventati strumenti altrettanto comuni dell’energia elettrica o dell’acqua corrente, oltre a costituire fattori essenziali per l’erogazione di energia elettrica, acqua e altri servizi critici. Le reti di comunicazione fungono da catalizzatori sociali e dell’innovazione, moltiplicando l’impatto della tecnologia e modellando le abitudini di consumo, i modelli commerciali, le industrie, come pure la cittadinanza e la partecipazione politica. Il loro malfunzionamento può causare danni fisici, sociali ed economici ingenti e questo sottolinea l’importanza di adottare provvedimenti volti ad aumentare la protezione e la resilienza per garantire la continuità dei servizi critici. La sicurezza delle comunicazioni, delle infrastrutture e dei servizi elettronici, in particolare la loro integrità, disponibilità e riservatezza, è posta di fronte a crescenti sfide che riguardano anche i singoli elementi delle infrastrutture di comunicazione e il software di controllo di tali elementi, l’infrastruttura generale e i servizi forniti grazie alla stessa. Si tratta di questioni di rilevanza sempre maggiore per la società, anche a causa dei possibili problemi dovuti a complessità del sistema, malfunzionamenti, carenze sistemiche, incidenti, errori e attacchi che possono avere conseguenze sulle infrastrutture elettroniche e fisiche che forniscono servizi critici per il benessere dei cittadini dell’Unione.

(2)

Il panorama delle minacce è in costante cambiamento e gli incidenti legati alla sicurezza possono minare la fiducia degli utenti nella tecnologia, nelle reti e nei servizi, compromettendo in tal modo la loro capacità di sfruttare appieno il potenziale del mercato interno e l’utilizzo generalizzato delle tecnologie dell’informazione e della comunicazione (TIC).

(3)

La valutazione periodica dello stato della sicurezza delle reti e dell’informazione nell’Unione, basata su dati affidabili a livello di Unione, nonché su previsioni sistematiche di futuri andamenti, sfide e rischi, sia a livello di Unione sia a livello mondiale, è quindi importante per i responsabili delle politiche, il settore e gli utenti.

(4)

Con decisione 2004/97/CE, Euratom (3), adottata nella riunione del Consiglio europeo del 13 dicembre 2003, i rappresentanti degli Stati membri hanno deciso che l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), che doveva essere istituita sulla base della proposta presentata dalla Commissione, avrebbe avuto sede in Grecia, in una località che sarebbe stata decisa dal governo greco. A seguito di tale decisione, il governo greco ha deciso che la sede dell’ENISA sarebbe stata a Eraklion, Creta.

(5)

Il 1o aprile 2005 l’Agenzia e lo Stato membro ospitante hanno concluso un accordo sulla sede.

(6)

Lo Stato membro ospitante dovrebbe garantire le migliori condizioni possibili per il corretto ed efficace funzionamento dell’Agenzia. Per uno svolgimento adeguato ed efficiente dei suoi compiti, per l’assunzione e il trattenimento del personale e per aumentare l’efficacia delle attività di rete, è imprescindibile che l’Agenzia sia ubicata in una sede adeguata che garantisca, tra l’altro, collegamenti e infrastrutture di trasporto appropriati per i coniugi e i figli del personale. Dovrebbero essere fissate le disposizioni necessarie in un accordo tra l’Agenzia e lo Stato membro ospitante, previa approvazione del consiglio di amministrazione dell’Agenzia.

(7)

Al fine di migliorare la propria efficienza operativa, l’Agenzia ha istituito un ufficio distaccato nell’area metropolitana di Atene, che dovrebbe essere mantenuto con l’accordo e il sostegno dello Stato membro ospitante e dovrebbe ospitare il personale operativo dell’Agenzia. Il personale essenzialmente impegnato nell’amministrazione dell’Agenzia (compreso il direttore esecutivo), nelle finanze, nella ricerca e nell’analisi documentaria, nella gestione informatica e delle infrastrutture, nelle risorse umane, nella formazione, nella comunicazione e nelle pubbliche relazioni dovrebbe operare nella sede di Eraklion.

(8)

L’Agenzia ha il diritto di decidere la propria organizzazione in modo da assicurare il corretto ed efficiente svolgimento dei suoi compiti, nel rispetto delle disposizioni relative alla sede e all’ufficio distaccato di Atene stabilite nel presente regolamento. In particolare, per lo svolgimento dei compiti che comportano un’interazione con le principali parti interessate, quali le istituzioni dell’Unione, l’Agenzia dovrebbe adottare le misure pratiche necessarie per migliorare tale efficienza operativa.

(9)

Nel 2004 il Parlamento europeo e il Consiglio hanno adottato il regolamento (CE) n. 460/2004 (4) che istituisce l’ENISA al fine di contribuire ad assicurare un elevato ed efficace livello di sicurezza delle reti e dell’informazione nell’ambito dell’Unione e di sviluppare una cultura in materia di sicurezza delle reti e dell’informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore. Nel 2008 il Parlamento europeo e il Consiglio hanno adottato il regolamento (CE) n. 1007/2008 (5) che proroga il mandato dell’Agenzia fino a marzo 2012. Il regolamento (CE) n. 580/2011 (6) proroga il mandato dell’Agenzia fino al 13 settembre 2013.

(10)

L’Agenzia dovrebbe succedere all’ENISA, istituita con il regolamento (CE) n. 460/2004. Nel quadro della decisione dei rappresentanti degli Stati membri riuniti nel Consiglio europeo del 13 dicembre 2003, lo Stato membro ospitante dovrebbe mantenere e sviluppare ulteriormente le attuali modalità pratiche applicate per garantire un funzionamento corretto ed efficiente dell’Agenzia, compreso il suo ufficio distaccato di Atene, e per favorire l’assunzione e il mantenimento di personale altamente qualificato.

(11)

Dalla creazione dell’ENISA, le sfide legate alla sicurezza delle reti e dell’informazione sono cambiate con l’evolvere della tecnologia, del mercato e del panorama socio-economico e sono state al centro di ulteriori riflessioni e dibattiti. In risposta all’evolvere delle difficoltà, l’Unione ha aggiornato le priorità della strategia in materia di sicurezza delle reti e dell’informazione. Il presente regolamento è inteso a rafforzare l’Agenzia, affinché contribuisca all’impegno delle istituzioni dell’Unione e degli Stati membri per sviluppare la capacità europea di affrontare le sfide legate alla sicurezza delle reti e dell’informazione.

(12)

Nel settore della sicurezza delle comunicazioni elettroniche e, più in generale, della sicurezza delle reti e dell’informazione, le misure relative al mercato interno presuppongono l’adozione di diverse soluzioni tecniche e organizzative da parte delle istituzioni dell’Unione e degli Stati membri. L’applicazione eterogenea di tali requisiti può portare a soluzioni inefficaci e creare ostacoli al mercato interno. Ciò rende necessario istituire un centro di competenze a livello dell’Unione che fornisca orientamenti, consulenze e assistenza in materia di sicurezza delle reti e dell’informazione, al quale possano rivolgersi le istituzioni dell’Unione e gli Stati membri. L’Agenzia può rispondere a queste esigenze creando e mantenendo un elevato livello di esperienza e assistendo le istituzioni dell’Unione, gli Stati membri e la comunità degli operatori economici, al fine di aiutarli a soddisfare le prescrizioni giuridiche e normative in materia di sicurezza delle reti e dell’informazione, nonché a definire e ad affrontare le questioni in questo ambito, contribuendo in tal modo al corretto funzionamento del mercato interno.

(13)

L’Agenzia dovrebbe svolgere i compiti che le sono conferiti dagli atti giuridici dell’Unione nel settore delle comunicazioni elettroniche e contribuire, più in generale, ad aumentare il livello di sicurezza delle comunicazioni elettroniche nonché il livello di tutela della vita privata e dei dati personali, anche fornendo competenze e assistenza, promuovendo lo scambio di migliori prassi e offrendo suggerimenti strategici.

(14)

La direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) (7) impone ai fornitori delle reti pubbliche di comunicazioni elettroniche e dei servizi di comunicazione elettronica accessibili al pubblico di prendere i provvedimenti adeguati a proteggere la loro integrità e sicurezza e introduce un obbligo per le autorità nazionali di regolamentazione di informare, tra gli altri, anche l’Agenzia delle eventuali violazioni della sicurezza o perdite di integrità che hanno avuto ripercussioni significative sul funzionamento delle reti o dei servizi e di trasmettere alla Commissione e all’Agenzia una relazione sintetica annuale sulle notifiche ricevute e le azioni intraprese. La direttiva 2002/21/CE prevede inoltre che l’Agenzia contribuisca ad armonizzare le misure di sicurezza tecniche e organizzative appropriate, offrendo la sua consulenza.

(15)

La direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (8) stabilisce che il fornitore di un servizio di comunicazione elettronica accessibile al pubblico adotti appropriate misure tecniche e organizzative per salvaguardare la sicurezza dei suoi servizi e impone inoltre che sia mantenuta la riservatezza delle comunicazioni nonché dei relativi dati sul traffico. La direttiva 2002/58/CE introduce requisiti in materia di informazione e notifica delle violazioni dei dati personali cui devono attenersi i fornitori di servizi di comunicazioni elettroniche. La direttiva prevede inoltre che la Commissione consulti l’Agenzia per qualsiasi misura tecnica di attuazione che deve essere adottata relativamente alle circostanze o al formato delle prescrizioni in materia di informazione e notifica e le relative procedure applicabili. La direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (9), fa obbligo agli Stati membri di disporre che i responsabili del trattamento dei dati personali attui misure tecniche e organizzative appropriate per proteggere tali dati dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, in particolare quando il trattamento di tali dati comporta la loro trasmissione all’interno di una rete, o da qualsiasi altra forma illecita di trattamento.

(16)

È opportuno che l’Agenzia contribuisca ad assicurare un elevato livello di sicurezza delle reti e dell’informazione, a migliorare la tutela della vita privata e dei dati personali e a sviluppare e promuovere una cultura in materia a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell’Unione, contribuendo in tal modo al corretto funzionamento del mercato interno. Per raggiungere tale obiettivo è opportuno allocare all’Agenzia le risorse di bilancio necessarie.

(17)

Tenuto conto della crescente rilevanza delle reti e delle comunicazioni elettroniche, che attualmente costituiscono la spina dorsale dell’economia europea, e delle effettive dimensioni dell’economia digitale, è opportuno incrementare le risorse finanziarie e umane destinate all’Agenzia, in maniera che siano commisurate al rafforzamento del suo ruolo e alle sue funzioni, nonché alla sua posizione fondamentale a difesa dell’ambiente digitale europeo.

(18)

È opportuno che l’Agenzia operi come punto di riferimento assicurandosi la fiducia e la sicurezza degli interessati grazie alla propria indipendenza, alla qualità delle consulenze e delle informazioni fornite, alla trasparenza delle procedure e dei metodi operativi come pure alla diligenza nell’esecuzione dei suoi compiti. L’Agenzia dovrebbe basarsi sugli sforzi prodotti a livello nazionale e di Unione e svolgere pertanto i propri compiti in piena collaborazione con le istituzioni, gli organi e organismi dell’Unione e gli Stati membri, mantenendo contatti con il settore e altri soggetti interessati. L’Agenzia dovrebbe inoltre avvalersi dei contributi derivanti dalla cooperazione con il settore privato, che svolge un ruolo importante nel garantire la sicurezza delle comunicazioni elettroniche e dei relativi servizi e infrastrutture.

(19)

È opportuno stabilire una serie di compiti che definiscano in che modo l’Agenzia deve raggiungere i propri obiettivi, lasciandole nel contempo una certa flessibilità di azione. Occorre che tra i compiti dell’Agenzia rientri la raccolta di informazioni e dati che consentano di svolgere analisi dei rischi in materia di sicurezza e resilienza delle comunicazioni elettroniche e dei relativi servizi e infrastrutture e di valutare, in cooperazione con gli Stati membri, la Commissione e, se del caso, con i soggetti interessati, lo stato della sicurezza delle reti e dell’informazione nell’Unione. Occorre che l’Agenzia assicuri il coordinamento e la collaborazione con le istituzioni, gli organi e organismi dell’Unione e gli Stati membri e rafforzi la cooperazione tra le parti interessate in Europa, in particolare facendo partecipare alle proprie attività gli organismi nazionali e unionali competenti e gli esperti di alto livello del settore privato nei settori pertinenti, in particolare i fornitori di reti e servizi di comunicazione elettronica, i fabbricanti delle infrastrutture di rete e i rivenditori di software, tenendo conto che le reti e i sistemi di informazione comprendono combinazioni di hardware, software e servizi. L’Agenzia dovrebbe fornire assistenza alle istituzioni dell’Unione e agli Stati membri nel loro dialogo con l’industria, per affrontare i problemi inerenti la sicurezza nei prodotti hardware e software, contribuendo così ad attuare un approccio collaborativo alla sicurezza delle reti e dell’informazione.

(20)

Le strategie in materia di sicurezza delle reti e dell’informazione rese pubbliche da un’istituzione, organo od organismo dell’Unione o da uno Stato membro dovrebbero essere trasmesse all’Agenzia per informazione e in modo da evitare una duplicazione degli sforzi. L’Agenzia dovrebbe analizzare le strategie e promuovere la loro presentazione in un formato che faciliti la comparabilità. L’Agenzia dovrebbe garantire che le strategie e le sue analisi siano disponibili al pubblico per via elettronica.

(21)

L’Agenzia dovrebbe assistere la Commissione tramite consulenze, pareri e analisi su tutte le materie di competenza dell’Unione riguardanti l’elaborazione di politiche nel settore della sicurezza delle reti e dell’informazione, comprese la protezione delle infrastrutture critiche informatizzate e la resilienza. L’Agenzia dovrebbe inoltre assistere le istituzioni, gli organi e organismi dell’Unione e, ove opportuno, gli Stati membri, su loro richiesta, nel loro impegno a mettere a punto strategie e capacità nel settore della sicurezza.

(22)

L’Agenzia dovrebbe tenere pienamente conto delle attività di ricerca, sviluppo e valutazione tecnologica già in atto, in particolare quelle condotte nell’ambito delle varie iniziative di ricerca dell’Unione per fornire consulenze alle istituzioni, agli organi e organismi dell’Unione e, ove opportuno, agli Stati membri, su loro richiesta, sulle esigenze in materia di ricerca nel settore della sicurezza delle reti e dell’informazione.

(23)

È opportuno che l’Agenzia assista le istituzioni, gli organi e gli organismi dell’Unione nonché gli Stati membri nel loro impegno a costruire e consolidare la capacità e la preparazione transfrontaliere per prevenire, rilevare e reagire ai problemi e agli incidenti legati alla sicurezza delle reti e dell’informazione. A questo proposito, l’Agenzia dovrebbe facilitare la cooperazione tra gli Stati membri e tra la Commissione e altre istituzioni, organi e organismi dell’Unione e gli Stati membri. A tale scopo, l’Agenzia dovrebbe sostenere gli Stati membri nel loro impegno costante a migliorare la capacità di reazione nonché a organizzare e realizzare esercitazioni a livello europeo relative agli incidenti legati alla sicurezza e, su richiesta di uno Stato membro, esercitazioni a livello nazionale.

(24)

Per comprendere meglio le difficoltà del settore della sicurezza delle reti e dell’informazione, l’Agenzia deve analizzare i rischi attuali e quelli emergenti. A tale scopo, è opportuno che raccolga le informazioni pertinenti, in cooperazione con gli Stati membri e, se del caso, con istituti di statistica e con altri organismi. L’Agenzia dovrebbe inoltre assistere le istituzioni, gli organi e organismi dell’Unione e gli Stati membri nel loro impegno a raccogliere, analizzare e diffondere i dati relativi alla sicurezza delle reti e dell’informazione. La raccolta di informazioni e dati statistici adeguati che consentano di svolgere analisi dei rischi in materia di sicurezza e resilienza delle comunicazioni elettroniche e dei relativi servizi e infrastrutture dovrebbe essere effettuata sulla base delle informazioni fornite dagli Stati membri e delle conoscenze di cui dispone l’Agenzia per quanto riguarda le infrastrutture TIC delle istituzioni dell’Unione, conformemente alle disposizioni di quest’ultima e alle disposizioni nazionali applicabili a norma del diritto dell’Unione. Sulla scorta di tali informazioni l’Agenzia dovrebbe mantenere la consapevolezza dello stato più recente della sicurezza delle reti e dell’informazione e delle tendenze connesse nell’Unione, a vantaggio delle istituzioni, degli organi e organismi dell’Unione e degli Stati membri.

(25)

Nello svolgimento dei suoi compiti, occorre che l’Agenzia agevoli la cooperazione tra l’Unione e gli Stati membri per sensibilizzare sullo stato della sicurezza delle reti e dell’informazione nell’Unione.

(26)

È necessario che l’Agenzia faciliti la cooperazione tra le autorità indipendenti di regolamentazione competenti degli Stati membri, in particolare sostenendo la messa a punto, la promozione e lo scambio di migliori prassi e di standard in materia di programmi educativi e di strategie per la sensibilizzazione. Uno scambio più intenso di informazioni tra gli Stati membri favorirà queste azioni. L’Agenzia dovrebbe contribuire a sensibilizzare gli utenti finali delle comunicazioni elettroniche e dei relativi servizi e infrastrutture, anche assistendo gli Stati membri, qualora abbiano scelto di utilizzare la piattaforma di informazioni di interesse pubblico di cui alla direttiva 2002/22/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (direttiva servizio universale) (10), nella produzione di informazioni pertinenti di interesse pubblico in materia di sicurezza delle reti e dell’informazione, nonché coadiuvando l’elaborazione delle informazioni da includere nell’offerta di nuovi dispositivi destinati a essere utilizzati sulle reti pubbliche di comunicazione. L’Agenzia dovrebbe inoltre sostenere la cooperazione tra le parti interessate a livello di Unione, in parte promuovendo la condivisione di informazioni, campagne di sensibilizzazione e programmi di istruzione e formazione.

(27)

L’Agenzia dovrebbe, tra l’altro, assistere le istituzioni, gli organi e gli organismi pertinenti dell’Unione e gli Stati membri nelle campagne di educazione pubblica destinate agli utenti finali, allo scopo di promuovere comportamenti individuali più sicuri sulla rete e di sensibilizzare sui rischi potenziali del ciberspazio, compresa la criminalità informatica, ad esempio phishing, botnet, frodi finanziarie e bancarie, nonché di promuovere consigli di base in materia di autenticazione e tutela dei dati.

(28)

Per conseguire appieno i propri obiettivi, l’Agenzia dovrebbe instaurare rapporti con gli organismi competenti, compresi quelli che si occupano di criminalità informatica, quale Europol, e le autorità preposte alla tutela della vita privata, per scambiare conoscenze e buone prassi e fornire consulenze sugli aspetti della sicurezza delle reti e dell’informazione che potrebbero avere un impatto sulle loro attività. L’Agenzia dovrebbe mirare a creare sinergie tra l’impegno di tali organi e il proprio per promuovere il miglioramento della sicurezza delle reti e dell’informazione. I rappresentanti delle autorità nazionali e dell’Unione incaricate dell’applicazione delle norme e della protezione della vita privata dovrebbero poter essere rappresentati nel gruppo permanente di parti interessate dell’Agenzia. Nei contatti con gli organismi incaricati dell’applicazione delle norme su aspetti relativi alla sicurezza delle reti e dell’informazione che possono avere un impatto sull’attività di questi ultimi, l’Agenzia dovrebbe avvalersi dei canali di informazione e delle reti esistenti.

(29)

La Commissione ha lanciato un partenariato pubblico-privato europeo per la resilienza, che costituisce una piattaforma flessibile di cooperazione per la resilienza delle infrastrutture TIC in tutta l’Unione, nell’ambito del quale l’Agenzia dovrebbe svolgere un ruolo di facilitatore, riunendo parti interessate per discutere le priorità della strategia pubblica, la dimensione economica e commerciale delle problematiche e le misure a favore della resilienza delle infrastrutture TIC.

(30)

Al fine di promuovere la sicurezza delle reti e dell’informazione e la sua visibilità, l’Agenzia dovrebbe facilitare la cooperazione tra gli organismi pubblici competenti degli Stati membri, in particolare sostenendo la messa a punto e lo scambio di migliori prassi e di strategie di sensibilizzazione e rafforzando le loro attività di divulgazione. L’Agenzia dovrebbe inoltre sostenere la cooperazione tra le parti interessate e le istituzioni dell’Unione, in parte promuovendo la condivisione di informazioni e attività di sensibilizzazione.

(31)

Al fine di migliorare il livello avanzato di sicurezza delle reti e dell’informazione nell’Unione, l’Agenzia dovrebbe promuovere la cooperazione e lo scambio di informazioni e migliori prassi tra gli organismi interessati, quali i gruppi di intervento per la sicurezza informatica in caso di incidente (Computer Security Incident Response Teams — CSIRT) e i gruppi di pronto intervento informatico (Computer Emergency Response Teams — CERT).

(32)

Un sistema di CERT correttamente funzionanti a livello di Unione dovrebbe costituire la base delle infrastrutture di sicurezza delle reti e dell’informazione dell’Unione. L’Agenzia dovrebbe sostenere i CERT degli Stati membri e il CERT dell’Unione per garantire il funzionamento di una rete di CERT, comprendente i membri del gruppo di CERT governativi europei. Al fine di assicurare che ogni CERT disponga di capacità sufficientemente avanzate e che tali capacità corrispondano per quanto possibile alle capacità dei CERT più avanzati, l’Agenzia promuove l’istituzione e il funzionamento di un sistema di valutazione inter pares. Inoltre l’Agenzia dovrebbe promuovere e sostenere la cooperazione tra i CERT interessati in caso di incidenti, attacchi o perturbazioni delle reti o delle infrastrutture della cui gestione o protezione sono responsabili i CERT e nei quali siano o possano essere coinvolti almeno due CERT.

(33)

Strategie efficaci in materia di sicurezza delle reti e dell’informazione dovrebbero basarsi su metodi validi di valutazione dei rischi, sia nel settore pubblico che in quello privato. Sono utilizzati metodi e procedure a diversi livelli, senza una prassi comune sulle modalità per un’applicazione efficace. La promozione e lo sviluppo delle migliori prassi per la valutazione dei rischi e per soluzioni interoperabili per la loro gestione all’interno delle organizzazioni del settore pubblico e privato aumenteranno il livello di sicurezza delle reti e dei sistemi di informazione nell’Unione. A tal fine, l’Agenzia dovrebbe sostenere la cooperazione tra le parti interessate a livello di Unione, facilitando il loro impegno nella definizione e nella diffusione di standard europei e internazionali in materia di gestione dei rischi e di sicurezza misurabile di prodotti, sistemi, reti e servizi elettronici che, insieme ai software, comprendono le reti e i sistemi di informazione.

(34)

Ove indicato e utile per il conseguimento dei propri obiettivi e compiti, è opportuno che l’Agenzia condivida esperienze e informazioni generali con le istituzioni, gli organi e gli organismi dell’Unione che si occupano della sicurezza delle reti e dell’informazione. L’Agenzia dovrebbe contribuire a individuare le priorità di ricerca, a livello di Unione, nei settori della resilienza della rete e della sicurezza delle reti e dell’informazione e comunicare alle rilevanti istituzioni di ricerca le conoscenze sulle necessità del settore.

(35)

L’Agenzia dovrebbe incoraggiare gli Stati membri e i fornitori di servizi a migliorare i loro standard di sicurezza generale in modo che tutti gli utenti di Internet adottino le misure necessarie a garantire la propria sicurezza informatica personale.

(36)

I problemi di sicurezza delle reti e dell’informazione sono questioni globali. È necessaria una più stretta cooperazione internazionale per migliorare gli standard di sicurezza, compresa la definizione di norme di comportamento e codici di condotta comuni, e la condivisione di informazioni, promuovendo una più celere cooperazione internazionale nel fornire una risposta nonché un approccio comune globale alle questioni inerenti la sicurezza delle reti e dell’informazione. A tale scopo l’Agenzia dovrebbe sostenere una maggiore partecipazione e cooperazione dell’Unione con i paesi terzi e le organizzazioni internazionali fornendo, se del caso, le competenze e le analisi necessarie alle istituzioni, agli organi e agli organismi dell’Unione interessati.

(37)

L’Agenzia dovrebbe operare in conformità del principio di sussidiarietà, garantendo un adeguato livello di coordinamento tra gli Stati membri sulle questioni inerenti alla sicurezza delle reti e dell’informazione, aumentando l’efficacia delle strategie nazionali e apportando in tal modo un valore aggiunto, e in conformità del principio di proporzionalità, non andando oltre quanto necessario per raggiungere gli obiettivi definiti nel presente regolamento. L’assolvimento dei compiti dell’Agenzia dovrebbe rafforzare le competenze, senza interferirvi, né costituire pregiudizio, ostacolo o sovrapposizione alle pertinenti competenze e mansioni assegnate alle autorità nazionali di regolamentazione, come stabilito nelle direttive relative alle reti e ai servizi di comunicazione elettronica, nonché quelle dell’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC) istituito dal regolamento (CE) n. 1211/2009 (11), al Comitato per le comunicazioni di cui alla direttiva 2002/21/CE, agli organismi europei di normalizzazione, agli organismi nazionali di normalizzazione, al comitato permanente di cui alla direttiva 98/34/CE (12), e alle autorità di controllo indipendenti degli Stati membri, come stabilito nella direttiva 95/46/CE.

(38)

È necessario applicare taluni principi per quanto riguarda la gestione dell’Agenzia al fine di rispettare la dichiarazione congiunta e l’approccio comune sulle agenzie decentralizzate dell’Unione concordati nel luglio 2012 dal gruppo di lavoro interistituzionale sulle agenzie decentralizzate dell’Unione, con l’obiettivo di razionalizzare le attività delle agenzie e di migliorare la loro efficacia.

(39)

La dichiarazione congiunta e l’approccio comune dovrebbero riflettersi, se del caso, nei programmi di lavoro dell’Agenzia, nelle sue valutazioni e nelle sue prassi di informazione e amministrazione.

(40)

Per garantire il buon funzionamento dell’Agenzia, la Commissione e gli Stati membri dovrebbero assicurare che le persone da nominare nel consiglio di amministrazione dispongano di competenze professionali adeguate. Anche la Commissione e gli Stati membri dovrebbero sforzarsi di limitare l’avvicendamento dei loro rispettivi rappresentanti nel consiglio di amministrazione, per assicurarne la continuità dei lavori.

(41)

È fondamentale che l’Agenzia acquisisca e mantenga una reputazione di imparzialità, integrità e di alto livello professionale. Di conseguenza, il consiglio di amministrazione dovrebbe adottare norme esaurienti applicabili all’intera Agenzia in materia di prevenzione e gestione dei conflitti di interessi.

(42)

Tenuto conto della situazione particolare dell’Agenzia e delle difficili sfide che deve affrontare, la sua struttura organizzativa dovrebbe essere semplificata e rafforzata per assicurare una maggiore efficienza. Di conseguenza, occorre tra l’altro istituire un comitato esecutivo per permettere al consiglio di amministrazione di concentrarsi sulle questioni di importanza strategica.

(43)

Il consiglio di amministrazione dovrebbe nominare un contabile conformemente alle norme adottate ai sensi del regolamento (UE, Euratom) n. 966/2012 (13) («regolamento finanziario»).

(44)

Per assicurare che l’Agenzia sia efficace, è opportuno che gli Stati membri e la Commissione siano rappresentati in seno al consiglio di amministrazione, che dovrebbe definire l’orientamento generale delle azioni dell’Agenzia e garantire che questa svolga i propri compiti conformemente al presente regolamento. Il consiglio di amministrazione dovrebbe essere dotato dei poteri necessari per stabilire il bilancio, verificarne l’esecuzione, adottare le regole finanziarie necessarie, istituire procedure di lavoro trasparenti per l’adozione delle decisioni dell’Agenzia, approvarne il programma di lavoro, adottare il proprio regolamento interno e quello dell’Agenzia, nominare il direttore esecutivo, decidere in merito all’estensione del suo mandato previa consultazione del Parlamento europeo e in merito alla sua conclusione. Il consiglio di amministrazione dovrebbe istituire un comitato esecutivo che lo assista nelle mansioni amministrative e di bilancio.

(45)

Il corretto funzionamento dell’Agenzia esige che il direttore esecutivo sia nominato in base ai meriti e alla comprovata esperienza amministrativa e manageriale nonché alla competenza e all’esperienza acquisita in materia di sicurezza delle reti e dell’informazione e che le funzioni del direttore esecutivo relativamente all’organizzazione e al funzionamento interno dell’Agenzia siano svolte in completa indipendenza. A tal fine e previa consultazione della Commissione, il direttore esecutivo dovrebbe elaborare una proposta di programma di lavoro dell’Agenzia e adottare tutte le azioni necessarie per garantire che il programma sia adeguatamente eseguito. Il direttore esecutivo dovrebbe inoltre predisporre una relazione annuale da trasmettere al consiglio di amministrazione, fornire un progetto di stato di previsione delle entrate e delle spese dell’Agenzia e dare esecuzione al bilancio.

(46)

È opportuno che il direttore esecutivo abbia la possibilità di istituire gruppi di lavoro ad hoc per affrontare questioni specifiche, in particolare di natura tecnico-scientifica, giuridica o socio-economica. Nell’istituire gruppi di lavoro ad hoc, il direttore esecutivo dovrebbe cercare contributi e avvalersi dell’esperienza esterna pertinente necessaria per consentire all’Agenzia di avere accesso alle informazioni più aggiornate per poter rispondere alle sfide nel settore della sicurezza poste dallo sviluppo della società dell’informazione. Il direttore esecutivo dovrebbe garantire che i membri dei gruppi di lavoro ad hoc siano scelti secondo i più elevati standard di competenza, tenendo in debito conto la necessità di garantire un equilibrio tra le parti rappresentate, in base alle questioni specifiche, tra gli amministratori pubblici degli Stati membri, le istituzioni dell’Unione e il settore privato, compresi le imprese, gli utilizzatori e gli esperti del mondo accademico in materia di sicurezza delle reti e dell’informazione. Se del caso, il direttore esecutivo dovrebbe poter invitare singoli esperti di riconosciuta competenza nel settore a partecipare alle attività dei gruppi di lavoro, caso per caso. Le loro spese dovrebbero essere sostenute dall’Agenzia a norma del suo regolamento interno e conformemente alle norme adottate ai sensi del regolamento finanziario.

(47)

È opportuno che l’Agenzia disponga di un gruppo permanente di parti interessate come organo consultivo, per garantire un dialogo regolare con il settore privato, le organizzazioni di consumatori e gli altri soggetti interessati. Il gruppo permanente di parti interessate, istituito dal consiglio di amministrazione su proposta del direttore esecutivo, dovrebbe concentrarsi sulle questioni rilevanti per le parti interessate e sottoporle all’attenzione dell’Agenzia. Il direttore esecutivo, ove opportuno e in funzione dell’ordine del giorno delle riunioni, dovrebbe poter invitare rappresentanti del Parlamento europeo e di altri organi competenti a partecipare alle riunioni del gruppo.

(48)

Dato che è previsto che le parti siano ampiamente rappresentate nel gruppo permanente di parti interessate e che tale gruppo deve essere consultato, in particolare, in merito al progetto di programma di lavoro, non è più necessario che le parti interessate siano rappresentate in seno al consiglio di amministrazione.

(49)

Occorre che l’Agenzia applichi le disposizioni pertinenti dell’Unione in materia di accesso del pubblico ai documenti quali stabilite dal regolamento (CE) n. 1049/2001 (14) del Parlamento europeo e del Consiglio. Al trattamento di informazioni effettuato dall’Agenzia per fini connessi al suo funzionamento interno, nonché nello svolgimento dei suoi compiti, dovrebbe applicarsi il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (15).

(50)

È opportuno che l’Agenzia si conformi alle disposizioni applicabili alle istituzioni dell’Unione e alla legislazione nazionale in materia di documenti sensibili.

(51)

Per garantire all’Agenzia piena autonomia e indipendenza e consentirle di svolgere nuovi compiti aggiuntivi, compresi compiti urgenti imprevisti, è opportuno che l’Agenzia sia dotata di un bilancio congruo e autonomo le cui entrate siano essenzialmente costituite da un contributo dell’Unione e da contributi provenienti da paesi terzi che partecipano alle attività dell’Agenzia. La maggior parte del personale dell’Agenzia dovrebbe essere impiegata nell’attuazione operativa del mandato dell’Agenzia. Allo Stato membro ospitante, o a qualsiasi altro Stato membro, dovrebbe essere consentito di contribuire volontariamente alle entrate dell’Agenzia. La procedura di bilancio dell’Unione dovrebbe restare applicabile a qualsiasi sovvenzione a carico del bilancio generale delle Unione europea. Inoltre, ai fini della trasparenza e della responsabilità, la revisione contabile dell’Agenzia dovrebbe essere svolta dalla Corte dei conti.

(52)

Tenuto conto del mutamento costante delle minacce incombenti e dell’evoluzione della politica dell’Unione in materia di sicurezza delle reti e dell’informazione e al fine di conformarsi al quadro finanziario pluriennale, la durata del mandato dell’Agenzia dovrebbe essere fissata a un periodo limitato di sette anni con possibilità di proroga.

(53)

L’operato dell’Agenzia dovrebbe essere valutato in maniera indipendente. La valutazione dovrebbe tenere conto dell’efficacia dell’Agenzia nel conseguimento dei suoi obiettivi, delle sue pratiche di lavoro e della rilevanza dei suoi compiti, per determinare se tali obiettivi continuino a essere validi o meno e, in base a quanto accertato, per determinare l’eventuale necessità di prorogare ulteriormente il suo mandato e la durata di tale proroga.

(54)

Se verso la fine della durata del mandato dell’Agenzia, la Commissione non ha presentato una proposta di proroga del mandato, è opportuno che l’Agenzia e la Commissione adottino le misure necessarie, in particolare per quanto riguarda le questioni relative ai contratti del personale e alle disposizioni di bilancio.

(55)

Poiché l’obiettivo del presente regolamento, ovvero l’istituzione di un’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione al fine di contribuire a ottenere un elevato livello di sicurezza delle reti e dell’informazione nell’ambito dell’Unione, di sensibilizzare il pubblico e di sviluppare e promuovere una cultura in materia di sicurezza delle reti e dell’informazione nella società a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell’Unione, contribuendo in tal modo alla creazione e al corretto funzionamento del mercato interno, non può essere conseguito in misura sufficiente dagli Stati membri e può dunque essere conseguito meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(56)

È opportuno abrogare il regolamento (CE) n. 460/2004.

(57)

Il Garante europeo della protezione dei dati è stato consultato in conformità dell’articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 e ha adottato il suo parere il 20 dicembre 2010 (16),

HANNO ADOTTATO IL PRESENTE REGOLAMENTO:

SEZIONE 1

AMBITO DI APPLICAZIONE, OBIETTIVI E COMPITI

Articolo 1

Oggetto e ambito di applicazione

1.   Il presente regolamento istituisce l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA, in prosieguo «Agenzia») incaricata di svolgere i compiti che le sono affidati al fine di contribuire a ottenere un elevato livello di sicurezza delle reti e dell’informazione nell’ambito dell’Unione, di sensibilizzare il pubblico riguardo alla sicurezza delle reti e dell’informazione e di sviluppare e promuovere una cultura in materia di sicurezza delle reti e dell’informazione nella società a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell’Unione, contribuendo in tal modo alla creazione e al corretto funzionamento del mercato interno.

2.   Gli obiettivi e i compiti dell’Agenzia fanno salve le competenze degli Stati membri per quanto riguarda la sicurezza delle reti e dell’informazione e comunque le attività nel settore della pubblica sicurezza, della difesa, della sicurezza nazionale (compreso il benessere economico dello Stato laddove le questioni riguardano problemi attinenti alla sicurezza nazionale) e le attività dello Stato nell’ambito del diritto penale.

3.   Ai fini del presente regolamento, si intende per «sicurezza delle reti e dell’informazione» la capacità di una rete o di un sistema d’informazione di resistere, a un determinato livello di riservatezza, a eventi accidentali o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei relativi servizi forniti o accessibili tramite tale rete o sistema.

Articolo 2

Obiettivi

1.   L’Agenzia sviluppa e mantiene un elevato livello di competenza.

2.   L’Agenzia assiste le istituzioni, gli organi e gli organismi dell’Unione nell’elaborazione delle politiche in materia di sicurezza delle reti e dell’informazione.

3.   L’Agenzia assiste le istituzioni, gli organi e gli organismi dell’Unione e gli Stati membri nell’attuazione delle politiche necessarie a soddisfare le prescrizioni legali e regolamentari in materia di sicurezza delle reti e dell’informazione previste dagli atti giuridici vigenti e futuri dell’Unione, contribuendo in tal modo al corretto funzionamento del mercato interno.

4.   L’Agenzia assiste l’Unione e gli Stati membri a migliorare e a rafforzare la loro capacità e preparazione a prevenire, rilevare e reagire ai problemi e agli incidenti legati alla sicurezza delle reti e dell’informazione.

5.   L’Agenzia impiega la sua competenza per stimolare un’ampia cooperazione tra attori del settore pubblico e del settore privato.

Articolo 3

Compiti

1.   Al fine stabilito all’articolo 1 e allo scopo di conseguire gli obiettivi enunciati all’articolo 2, pur nel rispetto dell’articolo 1, paragrafo 2, l’Agenzia svolge i seguenti compiti:

a)

sostiene l’elaborazione delle politiche e del diritto dell’Unione:

i)

fornendo assistenza e consulenza su tutte le questioni relative alle politiche e al diritto dell’Unione in materia di sicurezza delle reti e dell’informazione;

ii)

svolgendo attività preparatorie e fornendo consulenze e analisi relative all’elaborazione e all’aggiornamento delle politiche e del diritto dell’Unione in materia di sicurezza delle reti e dell’informazione;

iii)

analizzando le strategie in materia di sicurezza delle reti e dell’informazione accessibili al pubblico e promuovendone la pubblicazione;

b)

sostiene lo sviluppo di capacità:

i)

sostenendo gli Stati membri, su loro richiesta, nell’impegno a sviluppare e a migliorare la prevenzione, la rilevazione e l’analisi di problemi e incidenti legati alla sicurezza delle reti e dell’informazione, nonché la capacità di reazione agli stessi, e fornendo loro le conoscenze necessarie;

ii)

promuovendo e facilitando la cooperazione volontaria tra Stati membri e tra le istituzioni, gli organi e gli organismi dell’Unione e gli Stati membri nell’impegno a prevenire, rilevare e reagire ai problemi e agli incidenti legati alla sicurezza delle reti e dell’informazione qualora abbiano un impatto transfrontaliero;

iii)

assistendo le istituzioni, gli organi e gli organismi dell’Unione nell’impegno a sviluppare la prevenzione, la rilevazione e l’analisi di problemi e incidenti legati alla sicurezza delle reti e dell’informazione nonché la capacità di reazione agli stessi, in particolare sostenendo il funzionamento di un gruppo di pronto intervento informatico (Computer Emergency Response Team — CERT) al loro servizio;

iv)

sostenendo un aumento del livello delle capacità dei CERT nazionali/governativi e dell’Unione, anche attraverso la promozione del dialogo e dello scambio di informazioni, al fine di assicurare che, tenuto conto dell’evoluzione tecnica, tutti i CERT soddisfino un insieme comune di capacità minime e operino secondo le migliori prassi;

v)

sostenendo l’organizzazione e lo svolgimento di esercitazioni a livello dell’Unione in materia di sicurezza delle reti e dell’informazione e fornendo consulenza agli Stati membri, su loro richiesta, in merito alle esercitazioni nazionali;

vi)

assistendo le istituzioni, gli organi e gli organismi dell’Unione e gli Stati membri nell’impegno a raccogliere, analizzare e, conformemente ai requisiti degli Stati membri in materia di sicurezza, divulgare i dati pertinenti relativi alla sicurezza delle reti e dell’informazione; sulla scorta delle informazioni fornite dalle istituzioni, dagli organi e dagli organismi dell’Unione e dagli Stati membri conformemente alle disposizioni del diritto dell’Unione e alle disposizioni nazionali conformi al diritto dell’Unione, tenendo informati le istituzioni, gli organi e gli organismi dell’Unione nonché gli Stati membri sull’evoluzione più recente della sicurezza delle reti e dell’informazione nell’Unione, nel loro interesse;

vii)

sostenendo lo sviluppo di un meccanismo unionale di allerta precoce che sia complementare ai meccanismi degli Stati membri;

viii)

offrendo formazioni in materia di sicurezza delle reti e dell’informazione per i pertinenti organismi pubblici, se del caso in cooperazione con le parti interessate.

c)

sostiene la cooperazione volontaria tra gli organismi pubblici competenti e tra le parti interessate, comprese le università e i centri di ricerca nell’Unione, e sostiene la sensibilizzazione, tra l’altro:

i)

promuovendo la cooperazione tra CERT o gruppi di intervento per la sicurezza informatica in caso di incidente (Computer Security Incident Response Teams — CSIRT) nazionali e governativi, compresi i CERT per le istituzioni, gli organi e gli organismi dell’Unione;

ii)

promuovendo lo sviluppo e la condivisione delle migliori prassi allo scopo di raggiungere un livello avanzato di sicurezza delle reti e dell’informazione;

iii)

facilitando il dialogo nonché l’impegno per la messa a punto e lo scambio di migliori prassi;

iv)

promuovendo le migliori prassi in materia di condivisione delle informazioni e di sensibilizzazione;

v)

sostenendo le istituzioni, gli organi e organismi dell’Unione e, su loro richiesta, gli Stati membri e i loro rispettivi organismi nell’organizzazione di attività di sensibilizzazione, anche a livello di singoli utenti, e di altre attività di divulgazione al fine di accrescere la sicurezza delle reti e dell’informazione nonché la sua visibilità attraverso migliori prassi e linee guida;

d)

sostiene la ricerca e lo sviluppo, nonché la normalizzazione:

i)

facilitando la definizione e l’adozione di norme europee e internazionali in materia di gestione dei rischi e di sicurezza dei prodotti, delle reti e dei servizi elettronici;

ii)

fornendo consulenza all’Unione e agli Stati membri sulle esigenze in materia di ricerca nel settore della sicurezza delle reti e dell’informazione, al fine di consentire di reagire in maniera efficace ai rischi e alle minacce attuali ed emergenti nel settore, anche per quanto riguarda le tecnologie dell’informazione e della comunicazione nuove ed emergenti, e di utilizzare efficacemente le tecnologie per la prevenzione dei rischi;

e)

coopera con le istituzioni, gli organi e gli organismi dell’Unione, compresi quelli che si occupano della criminalità informatica e della tutela della vita privata e dei dati personali, al fine di affrontare questioni di interesse comune, anche:

i)

scambiando conoscenze e migliori prassi;

ii)

fornendo consulenze sugli aspetti pertinenti in materia di sicurezza delle reti e dell’informazione al fine di sviluppare sinergie;

f)

contribuisce all’impegno dell’Unione di cooperare con i paesi terzi e le organizzazioni internazionali per promuovere la cooperazione internazionale in materia di sicurezza delle reti e dell’informazione, anche:

i)

impegnandosi, ove opportuno, in qualità di osservatore e nell’organizzazione delle esercitazioni internazionali, nonché analizzando e comunicando i risultati di tali esercitazioni;

ii)

facilitando lo scambio delle migliori prassi degli organismi pertinenti;

iii)

fornendo competenze alle istituzioni dell’Unione.

2.   Le istituzioni, gli organi e gli organismi dell’Unione e gli organismi degli Stati membri possono richiedere la consulenza dell’Agenzia in caso di violazioni della sicurezza o di perdita di integrità che abbiano ripercussioni significative sul funzionamento delle reti e dei servizi.

3.   L’Agenzia svolge i compiti che le sono attribuiti da atti giuridici dell’Unione.

4.   L’Agenzia formula in modo indipendente conclusioni, orientamenti e consulenza su argomenti che rientrano nell’ambito di applicazione e tra gli obiettivi del presente regolamento.

SEZIONE 2

ORGANIZZAZIONE

Articolo 4

Composizione dell’Agenzia

1.   L’agenzia è composta da:

a)

un consiglio di amministrazione;

b)

un direttore esecutivo e il personale; nonché

c)

un gruppo permanente di parti interessate.

2.   Per contribuire a migliorare l’efficacia e l’efficienza del funzionamento dell’Agenzia, il consiglio di amministrazione istituisce un comitato esecutivo.

Articolo 5

Consiglio di amministrazione

1.   Il consiglio di amministrazione definisce gli orientamenti generali del funzionamento dell’Agenzia e assicura che l’Agenzia operi secondo le norme e i principi stabiliti dal presente regolamento. Assicura inoltre la coerenza del lavoro dell’Agenzia con le attività svolte dagli Stati membri nonché a livello di Unione.

2.   Il consiglio di amministrazione adotta il programma di lavoro annuale e pluriennale dell’Agenzia.

3.   Il consiglio di amministrazione adotta una relazione annuale sulle attività dell’Agenzia e la trasmette, entro il 1o luglio dell’anno successivo, al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti. La relazione annuale include i conti e descrive in che modo l’Agenzia ha conseguito i propri indicatori di risultato. La relazione annuale è resa pubblica.

4.   Il consiglio di amministrazione adotta una strategia antifrode proporzionata ai rischi di frode per quanto riguarda l’analisi dei costi-benefici delle misure da attuare.

5.   Il consiglio di amministrazione garantisce un seguito adeguato alle risultanze e alle raccomandazioni derivanti dalle indagini svolte dall’Ufficio europeo per la lotta antifrode (OLAF) e dalle relazioni di revisione contabile e valutazioni interne o esterne.

6.   Il consiglio di amministrazione adotta norme per la prevenzione e la gestione dei conflitti di interesse.

7.   Il consiglio di amministrazione esercita, relativamente al personale dell’Agenzia, le competenze conferite dallo statuto dei funzionari e dal regime applicabile agli altri agenti dell’Unione europea («statuto dei funzionari» e «regime applicabile agli altri agenti»), di cui al regolamento (CEE, Euratom, CECA) n. 259/68 (17), rispettivamente all’autorità investita del potere di nomina e all’autorità abilitata a concludere contratti di assunzione.

Il consiglio di amministrazione adotta, secondo la procedura di cui all’articolo 110 dello statuto dei funzionari, una decisione basata sull’articolo 2, paragrafo 1, dello statuto dei funzionari e sull’articolo 6 del regime applicabile agli altri agenti che delega al direttore esecutivo le pertinenti competenze dell’autorità investita del potere di nomina. Il direttore esecutivo può a sua volta delegare tali competenze.

Qualora circostanze eccezionali lo richiedano, il consiglio di amministrazione può revocare la delega di poteri dell’autorità investita del potere di nomina al direttore esecutivo e quelle delegate da quest’ultimo. In tal caso, il consiglio di amministrazione può delegarle, per un periodo di tempo limitato, a uno dei propri membri o a un membro del personale diverso dal direttore esecutivo.

8.   Il consiglio di amministrazione adotta adeguate norme di esecuzione dello statuto dei funzionari e del regime applicabile agli altri agenti secondo la procedura di cui all’articolo 110 dello statuto dei funzionari.

9.   Il consiglio di amministrazione nomina il direttore esecutivo e può rinnovarne o revocarne il mandato in conformità dell’articolo 24 del presente regolamento.

10.   Il consiglio di amministrazione adotta il proprio regolamento interno e quello del comitato esecutivo previa consultazione della Commissione. Il regolamento interno consente l’adozione rapida di decisioni mediante procedura scritta o in teleconferenza.

11.   Il consiglio di amministrazione adotta il regolamento interno dell’Agenzia previa consultazione dei servizi della Commissione. Tale regolamento è reso pubblico.

12.   Il consiglio di amministrazione adotta le regole finanziarie applicabili all’Agenzia. Queste non possono discostarsi dal regolamento (CE, Euratom) n. 2343/2002 della Commissione, del 19 novembre 2002, che reca regolamento finanziario quadro degli organismi di cui all’articolo 185 del regolamento (CE, Euratom) n. 1605/2002 del Consiglio che stabilisce il regolamento finanziario applicabile al bilancio generale delle Comunità europee (18), a meno che lo richiedano le esigenze specifiche di funzionamento dell’Agenzia e previo accordo della Commissione.

13.   Il consiglio di amministrazione adotta un piano pluriennale di politica del personale, previa consultazione dei servizi della Commissione e dopo averne debitamente informato il Parlamento europeo e il Consiglio.

Articolo 6

Composizione del consiglio di amministrazione

1.   Il consiglio di amministrazione è composto da un rappresentante per ciascuno Stato membro e due rappresentanti nominati dalla Commissione. Tutti i rappresentanti hanno diritto di voto.

2.   Ciascun membro del consiglio di amministrazione ha un supplente che lo rappresenta in sua assenza.

3.   I membri del consiglio di amministrazione e i loro supplenti sono nominati sulla base della loro conoscenza dei compiti e degli obiettivi dell’Agenzia, tenendo conto delle competenze gestionali, amministrative e di bilancio necessarie per lo svolgimento dei compiti di cui all’articolo 5. La Commissione e gli Stati membri dovrebbero sforzarsi di limitare l’avvicendamento dei loro rappresentanti nel consiglio di amministrazione, al fine di assicurarne la continuità dei lavori. La Commissione e gli Stati membri mirano a conseguire una rappresentanza equilibrata tra uomini e donne nel consiglio di amministrazione.

4.   Il mandato dei membri titolari del consiglio di amministrazione e dei loro supplenti è di quattro anni, rinnovabile.

Articolo 7

Presidente del consiglio di amministrazione

1.   Il consiglio di amministrazione elegge tra i propri membri un presidente e un vicepresidente con un mandato di tre anni, rinnovabile. Il vicepresidente sostituisce ex officio il presidente nel caso in cui quest’ultimo non sia in grado di svolgere i propri compiti.

2.   Il presidente può essere invitato a fare una dichiarazione presso la pertinente commissione o le pertinenti commissioni del Parlamento europeo e a rispondere alle domande dei deputati.

Articolo 8

Riunioni

1.   Il consiglio di amministrazione si riunisce su convocazione del presidente.

2.   Il consiglio di amministrazione si riunisce in seduta ordinaria almeno una volta l’anno. Si riunisce inoltre in seduta straordinaria su richiesta del presidente o di almeno un terzo dei suoi membri.

3.   Il direttore esecutivo partecipa, senza diritto di voto, alle riunioni del consiglio di amministrazione.

Articolo 9

Modalità di voto

1.   Il consiglio di amministrazione delibera a maggioranza assoluta dei suoi membri.

2.   La maggioranza di due terzi di tutti i membri del consiglio di amministrazione è necessaria per l’adozione del regolamento interno del consiglio di amministrazione, del regolamento interno dell’Agenzia, del bilancio, del programma di lavoro annuale e pluriennale, per la nomina, la proroga del mandato o la revoca del direttore esecutivo e la nomina del presidente del consiglio di amministrazione.

Articolo 10

Comitato esecutivo

1.   Il consiglio di amministrazione è assistito da un comitato esecutivo.

2.   Il comitato esecutivo prepara le decisioni che saranno adottate dal consiglio di amministrazione solo per quanto riguarda le questioni amministrative e di bilancio.

Insieme con il consiglio di amministrazione, garantisce un seguito adeguato alle risultanze e alle raccomandazioni derivanti dalle indagini svolte dall’OLAF, nonché dalle relazioni di revisione contabile e valutazioni interne ed esterne.

Fatte salve le responsabilità del direttore esecutivo quali stabilite all’articolo 11, il comitato esecutivo fornisce assistenza e consulenza al direttore esecutivo nell’attuazione delle decisioni del consiglio di amministrazione su questioni amministrative e di bilancio.

3.   Il comitato esecutivo consta di cinque membri designati tra i membri del consiglio di amministrazione, tra cui figurano il presidente del consiglio di amministrazione, il quale può anche presiedere il comitato esecutivo, e un rappresentante della Commissione.

4.   Il mandato dei membri del comitato esecutivo è di durata pari al mandato dei membri del consiglio di amministrazione di cui all’articolo 6, paragrafo 4.

5.   Il comitato esecutivo si riunisce almeno una volta ogni tre mesi. Il presidente del comitato esecutivo convoca riunioni supplementari su richiesta dei suoi membri.

Articolo 11

Compiti del direttore esecutivo

1.   L’Agenzia è diretta dal suo direttore esecutivo che è indipendente nell’espletamento delle sue funzioni.

2.   Il direttore esecutivo ha la responsabilità di:

a)

provvedere all’amministrazione corrente dell’Agenzia;

b)

attuare le decisioni adottate dal consiglio di amministrazione;

c)

previa consultazione del consiglio di amministrazione, elaborare il programma di lavoro annuale e il programma di lavoro pluriennale e trasmetterli al consiglio di amministrazione previa consultazione della Commissione;

d)

attuare il programma di lavoro annuale e il programma di lavoro pluriennale e riferire al consiglio di amministrazione in merito;

e)

preparare la relazione annuale sulle attività dell’Agenzia e presentarla al consiglio di amministrazione per approvazione;

f)

predisporre un piano d’azione per dare seguito alle conclusioni delle valutazioni retrospettive e riferire ogni due anni alla Commissione sui progressi compiuti;

g)

proteggere gli interessi finanziari dell’Unione mediante l’applicazione di misure preventive contro la frode, la corruzione e qualsiasi altra attività illecita, mediante controlli efficaci e, in caso di irregolarità rilevate, mediante il recupero degli importi erroneamente versati e, se del caso, mediante sanzioni amministrative e pecuniarie efficaci, proporzionate e dissuasive;

h)

preparare una strategia antifrode dell’Agenzia e presentarla al consiglio di amministrazione per approvazione;

i)

assicurare che l’Agenzia svolga le proprie attività secondo le esigenze di coloro che fruiscono dei suoi servizi, con particolare riguardo all’adeguatezza dei servizi forniti;

j)

sviluppare e mantenere i contatti con le istituzioni, gli organi e gli organismi dell’Unione;

k)

sviluppare e mantenere i contatti con le imprese e le organizzazioni dei consumatori per assicurare un dialogo regolare con i soggetti interessati;

l)

altri compiti attribuiti al direttore esecutivo dal presente regolamento.

3.   In base alle esigenze e nell’ambito degli obiettivi e dei compiti dell’Agenzia, il direttore esecutivo può istituire gruppi di lavoro ad hoc composti da esperti, anche dalle autorità competenti degli Stati membri. Il consiglio di amministrazione ne è informato in anticipo. Le procedure relative in particolare alla composizione, alla nomina degli esperti da parte del direttore esecutivo e al lavoro dei gruppi di lavoro ad hoc sono specificate nel regolamento interno dell’Agenzia.

4.   Il direttore esecutivo mette a disposizione del consiglio di amministrazione e del comitato esecutivo personale amministrativo di supporto e altre risorse, ove necessario.

Articolo 12

Gruppo permanente di parti interessate

1.   Il consiglio di amministrazione, su proposta del direttore esecutivo, istituisce un gruppo permanente di parti interessate composto da esperti riconosciuti che rappresentano i soggetti interessati, quali l’industria delle TIC, i fornitori delle reti o dei servizi di comunicazione elettronica accessibili al pubblico, le organizzazioni dei consumatori, gli esperti universitari in materia di sicurezza delle reti e dell’informazione e i rappresentanti delle autorità nazionali di regolamentazione notificati ai sensi della direttiva 2002/21/CE, nonché gli organismi incaricati del rispetto delle norme e quelli preposti alla tutela della vita privata.

2.   Le procedure relative in particolare al numero, alla composizione, alla nomina dei membri del gruppo permanente di parti interessate da parte del consiglio di amministrazione, alla proposta del direttore esecutivo e al funzionamento del gruppo sono specificate nel regolamento interno dell’Agenzia e rese pubbliche.

3.   Il gruppo permanente di parti interessate è presieduto dal direttore esecutivo o da qualsiasi altra persona nominata dal direttore esecutivo caso per caso.

4.   Il mandato dei membri del gruppo permanente di parti interessate è di due anni e mezzo. I membri del consiglio di amministrazione non possono essere membri del gruppo permanente di parti interessate. Gli esperti della Commissione e degli Stati membri sono autorizzati a presenziare alle riunioni del gruppo permanente di parti interessate e a partecipare alle sue attività. I rappresentanti di altri organismi considerati pertinenti dal direttore esecutivo che non sono membri del gruppo permanente di parti interessate possono essere invitati a presenziare alle riunioni del gruppo permanente di parti interessate e a partecipare alle sue attività.

5.   Il gruppo permanente di parti interessate fornisce consulenza all’Agenzia relativamente allo svolgimento delle sue attività. In particolare, consiglia il direttore esecutivo ai fini della stesura della proposta relativa al programma di lavoro dell’Agenzia e ad assicurare la comunicazione con le parti interessate su tutte le questioni inerenti al programma di lavoro.

SEZIONE 3

FUNZIONAMENTO

Articolo 13

Programma di lavoro

1.   L’Agenzia svolge la sua attività in conformità del suo programma di lavoro annuale e pluriennale, che contiene tutte le attività programmate.

2.   Il programma di lavoro include indicatori di prestazione specifici che permettano una valutazione efficace dei risultati conseguiti in termini di obiettivi.

3.   Il direttore esecutivo è responsabile dell’elaborazione del progetto di programma di lavoro dell’Agenzia, previa consultazione dei servizi della Commissione. Entro il 15 marzo di ogni anno il direttore esecutivo trasmette al consiglio di amministrazione il progetto di programma di lavoro per l’anno successivo.

4.   Entro il 30 novembre di ogni anno il consiglio di amministrazione, previa ricezione del parere della Commissione, adotta il programma di lavoro dell’Agenzia per l’anno successivo. Il programma di lavoro comprende prospettive pluriennali. Il consiglio di amministrazione provvede a che il programma di lavoro sia coerente con gli obiettivi dell’Agenzia nonché con le priorità legislative e politiche dell’Unione nell’aerea della sicurezza delle reti e dell’informazione.

5.   Il programma di lavoro è organizzato secondo il principio della gestione basata sull’attività. Il programma di lavoro è conforme allo stato di previsione delle entrate e delle spese dell’Agenzia e al bilancio dell’Agenzia per lo stesso esercizio finanziario.

6.   Il direttore esecutivo, previa adozione in sede di consiglio di amministrazione, trasmette il programma di lavoro al Parlamento europeo, al Consiglio, alla Commissione e agli Stati membri e lo pubblica. Su invito della commissione competente del Parlamento europeo, il direttore esecutivo presenta il programma di lavoro annuale adottato e procede a uno scambio di opinioni sullo stesso.

Articolo 14

Richieste all’Agenzia

1.   Le richieste di consulenze e assistenza nell’ambito degli obiettivi e dei compiti dell’Agenzia sono inoltrate al direttore esecutivo e corredate di una documentazione informativa che illustra la questione da esaminare. Il direttore esecutivo informa il consiglio di amministrazione e il comitato esecutivo in merito alle richieste ricevute, al possibile impatto sulle risorse e, a tempo debito, al seguito dato alle richieste. Qualora respinga una richiesta, l’Agenzia motiva il proprio rifiuto.

2.   Le richieste di cui al paragrafo 1 possono provenire:

a)

dal Parlamento europeo;

b)

dal Consiglio;

c)

dalla Commissione;

d)

da un qualsiasi organismo competente designato da uno Stato membro quale autorità nazionale di regolamentazione definita all’articolo 2 della direttiva 2002/21/CE.

3.   Le modalità pratiche di applicazione dei paragrafi 1 e 2, con particolare riguardo alla presentazione, alla definizione delle priorità e al seguito da dare alle richieste rivolte all’Agenzia, come pure all’informazione del consiglio di amministrazione e del comitato esecutivo in merito a esse, sono definite dal consiglio di amministrazione nel regolamento interno dell’Agenzia.

Articolo 15

Dichiarazione di interessi

1.   I membri del consiglio di amministrazione, il direttore esecutivo, come pure i funzionari distaccati dagli Stati membri a titolo temporaneo, rendono ciascuno una dichiarazione di impegni e una dichiarazione con la quale indicano l’assenza o la presenza di interessi diretti o indiretti che possano essere considerati in contrasto con la loro indipendenza. Le dichiarazioni sono precise e complete, presentate ogni anno per iscritto e aggiornate ogniqualvolta sia necessario.

2.   I membri del consiglio di amministrazione, il direttore esecutivo e gli esperti esterni che partecipano ai gruppi di lavoro ad hoc dichiarano ciascuno in modo preciso e completo, al più tardi all’inizio di ogni riunione, qualsiasi interesse che possa essere considerato in contrasto con la loro indipendenza in relazione ai punti all’ordine del giorno e si astengono dal partecipare alle discussioni e alle votazioni inerenti tali punti.

3.   L’Agenzia stabilisce nel proprio regolamento interno le disposizioni pratiche per le norme sulle dichiarazioni di interessi di cui ai paragrafi 1 e 2.

Articolo 16

Trasparenza

1.   L’Agenzia si impegna a svolgere le proprie attività con un livello elevato di trasparenza e nel rispetto degli articoli 17 e 18.

2.   L’Agenzia provvede a che il pubblico e le parti interessate dispongano di informazioni appropriate, obiettive, affidabili e facilmente accessibili, in particolare sui risultati del suo lavoro. Inoltre, rende pubbliche le dichiarazioni di interessi rese a norma dell’articolo 15.

3.   Il consiglio di amministrazione, su proposta del direttore esecutivo, può autorizzare delle parti interessate a presenziare in qualità di osservatori allo svolgimento di alcune attività dell’Agenzia.

4.   L’Agenzia stabilisce nel proprio regolamento interno le disposizioni pratiche per l’attuazione delle regole di trasparenza di cui ai paragrafi 1 e 2.

Articolo 17

Riservatezza

1.   Fatto salvo l’articolo 18, l’Agenzia non rivela a terzi le informazioni da essa trattate o ricevute in relazione alle quali è stata presentata una richiesta motivata di trattamento riservato, integralmente o in parte.

2.   I membri del consiglio di amministrazione, il direttore esecutivo, i membri del gruppo permanente di parti interessate, gli esperti esterni che partecipano ai gruppi di lavoro ad hoc e il personale dell’Agenzia, compresi i funzionari distaccati dagli Stati membri a titolo temporaneo, rispettano gli obblighi di riservatezza di cui all’articolo 339 del trattato sul funzionamento dell’Unione europea (TFUE) anche dopo la cessazione delle proprie funzioni.

3.   L’Agenzia stabilisce nel proprio regolamento interno le disposizioni pratiche per l’attuazione delle regole di riservatezza di cui ai paragrafi 1 e 2.

4.   Se necessario ai fini dell’esecuzione dei compiti dell’Agenzia, il consiglio di amministrazione decide di consentire all’Agenzia di trattare informazioni riservate. In questo caso, il consiglio di amministrazione, in accordo con i servizi della Commissione, adotta un regolamento interno che applichi i principi di sicurezza enunciati nella decisione 2001/844/CE, CECA, Euratom della Commissione, del 29 novembre 2001, che modifica il regolamento interno della Commissione (19). Tale regolamento disciplina, tra l’altro, lo scambio, il trattamento e la conservazione di informazioni classificate.

Articolo 18

Accesso ai documenti

1.   Il regolamento (CE) n. 1049/2001 si applica ai documenti detenuti dall’Agenzia.

2.   Entro sei mesi dall’istituzione dell’Agenzia, il consiglio di amministrazione adotta disposizioni per l’attuazione del regolamento (CE) n. 1049/2001.

3.   Le decisioni adottate dall’Agenzia a norma dell’articolo 8 del regolamento (CE) n. 1049/2001 possono formare oggetto di una denuncia presentata al Mediatore europeo a norma dell’articolo 228 TFUE o di un ricorso dinanzi alla Corte di giustizia dell’Unione europea a norma dell’articolo 263 TFUE.

SEZIONE 4

DISPOSIZIONI FINANZIARIE

Articolo 19

Adozione del bilancio

1.   Le entrate dell’Agenzia sono costituite da un contributo proveniente dal bilancio dell’Unione, dal contributo dei paesi terzi che partecipano alle sue attività, come stabilito dall’articolo 30, e dai contributi volontari degli Stati membri in denaro o in natura. Gli Stati membri che versano contributi volontari non possono rivendicare alcun diritto o servizio specifico per effetto di tale contributo.

2.   Le spese dell’Agenzia comprendono la retribuzione del personale, l’assistenza amministrativa e tecnica, le spese infrastrutturali e di esercizio, nonché quelle conseguenti a contratti stipulati con terzi.

3.   Entro il 1o marzo di ogni anno il direttore esecutivo redige un progetto di stato di previsione delle entrate e delle spese dell’Agenzia per l’esercizio finanziario successivo e lo trasmette al consiglio di amministrazione, corredato di un progetto di tabella dell’organico.

4.   Le entrate e le spese risultano in pareggio.

5.   Ogni anno il consiglio di amministrazione elabora, sulla base di un progetto di stato di previsione delle entrate e delle spese redatto dal direttore esecutivo, lo stato di previsione delle entrate e delle spese dell’Agenzia per l’esercizio finanziario successivo.

6.   Entro il 31 marzo di ogni anno il consiglio di amministrazione invia lo stato di previsione, accompagnato da un progetto di tabella dell’organico e da un progetto di programma di lavoro, alla Commissione e ai paesi terzi con cui l’Unione ha concluso accordi a norma dell’articolo 30.

7.   La Commissione trasmette lo stato di previsione al Parlamento europeo e al Consiglio insieme al progetto di bilancio generale dell’Unione.

8.   Sulla base di tale stato di previsione, la Commissione iscrive le stime che ritiene necessarie per quanto concerne la tabella dell’organico e l’importo della sovvenzione a carico del bilancio generale nel progetto di bilancio dell’Unione che sottopone al Parlamento europeo e al Consiglio conformemente all’articolo 314 TFUE.

9.   Il Parlamento europeo e il Consiglio autorizzano gli stanziamenti a titolo della sovvenzione destinata all’Agenzia.

10.   Il Parlamento europeo e il Consiglio adottano la tabella dell’organico per l’Agenzia.

11.   Insieme al programma di lavoro, il consiglio di amministrazione adotta il bilancio dell’Agenzia. Esso diventa definitivo dopo l’adozione definitiva del bilancio generale dell’Unione. Se del caso, il consiglio di amministrazione modifica il bilancio e il piano di lavoro dell’Agenzia per conformarli al bilancio generale dell’Unione. Il consiglio di amministrazione trasmette il bilancio senza indugio al Parlamento europeo, al Consiglio e alla Commissione.

Articolo 20

Lotta antifrode

1.   Per facilitare la lotta contro la frode, la corruzione e altre attività illecite ai sensi del regolamento (CE) n. 1073/1999 (20), entro sei mesi dalla data in cui diventa operativa l’Agenzia aderisce all’accordo interistituzionale del 25 maggio 1999 relativo alle indagini svolte dall’Ufficio europeo per la lotta antifrode (OLAF) (21) e adotta le opportune disposizioni valide per l’insieme dei dipendenti dell’Agenzia, utilizzando i modelli riportati nell’allegato a tale accordo.

2.   La Corte dei conti ha il potere di revisione contabile, esercitabile sulla base di documenti e sul posto, su tutti i beneficiari di sovvenzioni, contraenti e subcontraenti che hanno ottenuto finanziamenti dell’Unione da parte dell’Agenzia.

3.   L’OLAF può eseguire indagini, compresi controlli e verifiche sul posto, in conformità delle disposizioni e delle procedure stabilite dal regolamento (CE) n. 1073/1999 e dal regolamento (Euratom, CE) n. 2185/96 del Consiglio, dell’11 novembre 1996, relativo ai controlli e alle verifiche sul posto effettuati dalla Commissione ai fini della tutela degli interessi finanziari delle Comunità europee contro le frodi e altre irregolarità (22), per accertare casi di frode, corruzione o altre attività illecite lesive degli interessi finanziari dell’Unione in relazione a sovvenzioni o contratti finanziati dall’Agenzia.

4.   Fatti salvi i paragrafi 1, 2 e 3, gli accordi di cooperazione con paesi terzi e organizzazioni internazionali, i contratti, le convenzioni di sovvenzione e le decisioni di sovvenzione dell’Agenzia contengono disposizioni che autorizzano esplicitamente la Corte dei conti e l’OLAF a procedere a tali revisioni contabili e indagini conformemente alle loro rispettive competenze.

Articolo 21

Esecuzione del bilancio

1.   Il direttore esecutivo è responsabile dell’esecuzione del bilancio dell’Agenzia.

2.   Il revisore contabile interno della Commissione esercita nei confronti dell’Agenzia le stesse competenze di cui dispone nei confronti dei servizi della Commissione.

3.   Entro il 1o marzo successivo alla chiusura dell’esercizio (1o marzo dell’anno N + 1), il contabile dell’Agenzia trasmette al contabile della Commissione i conti provvisori insieme a una relazione sulla gestione finanziaria e di bilancio dell’esercizio. Il contabile della Commissione procede al consolidamento dei conti provvisori delle istituzioni e degli organismi decentrati conformemente all’articolo 147 del regolamento finanziario.

4.   Entro il 31 marzo dell’anno N + 1, il contabile della Commissione trasmette i conti provvisori dell’Agenzia, insieme alla relazione sulla gestione finanziaria e di bilancio dell’esercizio, alla Corte dei conti. La relazione sulla gestione finanziaria e di bilancio dell’esercizio è trasmessa anche al Parlamento europeo e al Consiglio.

5.   Al ricevimento delle osservazioni formulate dalla Corte dei conti in merito ai conti provvisori dell’Agenzia, ai sensi dell’articolo 148 del regolamento finanziario, il direttore esecutivo forma i conti definitivi dell’Agenzia, sotto la propria responsabilità, e li trasmette per parere al consiglio di amministrazione.

6.   Il consiglio di amministrazione esprime un parere sui conti definitivi dell’Agenzia.

7.   Entro il 1o luglio dell’anno N + 1, il direttore esecutivo trasmette i conti definitivi, comprese la relazione sulla gestione finanziaria e di bilancio per quell’esercizio finanziario e le osservazioni della Corte dei conti, corredati del parere del consiglio di amministrazione, al Parlamento europeo, al Consiglio, alla Commissione e alla Corte dei conti.

8.   Il direttore esecutivo pubblica i conti definitivi.

9.   Entro il 30 settembre dell’anno N + 1 il direttore esecutivo invia alla Corte dei conti una risposta alle osservazioni da essa formulate e ne trasmette copia al consiglio di amministrazione.

10.   Il direttore esecutivo presenta al Parlamento europeo, su richiesta di quest’ultimo, tutte le informazioni necessarie al corretto svolgimento della procedura di discarico per l’esercizio in oggetto, conformemente all’articolo 165, paragrafo 3, del regolamento finanziario.

11.   Il Parlamento europeo, su raccomandazione del Consiglio, concede il discarico al direttore esecutivo, entro il 15 maggio dell’anno N + 2, per l’esecuzione del bilancio dell’esercizio N.

SEZIONE 5

PERSONALE

Articolo 22

Disposizioni generali

Al personale dell’Agenzia si applicano lo statuto dei funzionari, il regime applicabile agli altri agenti e le norme adottate di comune accordo dalle istituzioni dell’Unione per dare applicazione a detto statuto.

Articolo 23

Privilegi e immunità

All’Agenzia e al suo personale si applica il protocollo n. 7 sui privilegi e sulle immunità dell’Unione europea allegato al trattato sull’Unione europea e al TFUE.

Articolo 24

Direttore esecutivo

1.   Il direttore esecutivo è assunto come agente temporaneo dell’Agenzia ai sensi dell’articolo 2, lettera a), del regime applicabile agli altri agenti.

2.   Il direttore esecutivo è nominato dal consiglio di amministrazione sulla base di un elenco di candidati proposto dalla Commissione, in seguito a una procedura di selezione aperta e trasparente.

Ai fini della conclusione del contratto del direttore esecutivo, l’Agenzia è rappresentata dal presidente del consiglio di amministrazione.

Prima di essere nominato, il candidato selezionato dal consiglio di amministrazione è invitato a fare una dichiarazione dinanzi alla commissione competente del Parlamento europeo e a rispondere alle domande dei deputati.

3.   Il mandato del direttore esecutivo è di cinque anni. Entro la fine di tale periodo, la Commissione esegue una valutazione che tiene conto della prestazione del direttore esecutivo e dei compiti e delle sfide futuri dell’Agenzia.

4.   Il consiglio di amministrazione, deliberando su proposta della Commissione, che tiene conto della valutazione di cui al paragrafo 3, e previa consultazione del Parlamento europeo, può prorogare il mandato del direttore esecutivo per un periodo non superiore a cinque anni.

5.   Il consiglio di amministrazione informa il Parlamento europeo dell’intenzione di prorogare il mandato del direttore esecutivo. Entro i tre mesi che precedono tale proroga, il direttore esecutivo, se invitato, fa una dichiarazione davanti alla commissione competente del Parlamento europeo e risponde alle domande dei deputati.

6.   Un direttore esecutivo il cui mandato sia stato prorogato non può partecipare a un’altra procedura di selezione per lo stesso posto.

7.   Il direttore esecutivo può essere rimosso dal suo incarico solo con decisione del consiglio di amministrazione.

Articolo 25

Esperti nazionali distaccati e altro personale

1.   L’Agenzia può fare ricorso a esperti nazionali distaccati o ad altro personale non assunto dall’Agenzia. Lo statuto dei funzionari e il regime applicabile agli altri agenti non si applicano a tale personale.

2.   Il consiglio di amministrazione adotta una decisione che stabilisce le norme relative al distacco di esperti nazionali presso l’Agenzia.

SEZIONE 6

DISPOSIZIONI GENERALI

Articolo 26

Natura giuridica

1.   L’Agenzia è un organismo dell’Unione. Essa ha personalità giuridica.

2.   In ciascuno degli Stati membri l’Agenzia ha la più ampia capacità giuridica riconosciuta alle persone giuridiche dal rispettivo diritto nazionale. In particolare, può acquisire e alienare beni mobili e immobili e stare in giudizio.

3.   L’Agenzia è rappresentata dal proprio direttore esecutivo.

4.   È mantenuto un ufficio distaccato, stabilito nell’area metropolitana di Atene, al fine di migliorare l’efficienza operativa dell’Agenzia.

Articolo 27

Responsabilità

1.   La responsabilità contrattuale dell’Agenzia è disciplinata dalla normativa applicabile al contratto di cui trattasi.

La Corte di giustizia dell’Unione europea è competente a giudicare in virtù di clausole compromissorie contenute in un contratto concluso dall’Agenzia.

2.   In materia di responsabilità extracontrattuale, l’Agenzia è obbligata, secondo i principi generali comuni agli ordinamenti degli Stati membri, al risarcimento dei danni cagionati da essa o dai suoi agenti nell’esercizio delle loro funzioni.

La Corte di giustizia dell’Unione europea è competente a conoscere delle controversie relative al risarcimento di tali danni.

3.   La responsabilità personale degli agenti nei confronti dell’Agenzia è disciplinata dalle disposizioni pertinenti che si applicano al personale dell’Agenzia.

Articolo 28

Lingue

1.   All’Agenzia si applica il regolamento n. 1 del 15 aprile 1958, che stabilisce il regime linguistico della Comunità economica europea (23). Gli Stati membri e gli altri organismi da essi designati possono rivolgersi all’Agenzia e ottenere la risposta in una delle lingue ufficiali delle istituzioni dell’Unione di loro scelta.

2.   I servizi di traduzione necessari per il funzionamento dell’Agenzia sono forniti dal Centro di traduzione per gli organismi dell’Unione europea.

Articolo 29

Protezione dei dati personali

1.   Per il trattamento dei dati relativi agli individui, in particolare nell’espletamento dei suoi compiti, l’Agenzia rispetta i principi di protezione dei dati personali previsti dalle disposizioni del regolamento (CE) n. 45/2001 e vi è assoggettata.

2.   Il consiglio di amministrazione adotta le misure di attuazione di cui all’articolo 24, paragrafo 8, del regolamento (CE) n. 45/2001. Il consiglio di amministrazione può adottare misure aggiuntive necessarie per l’applicazione del regolamento (CE) n. 45/2001 da parte dell’Agenzia.

Articolo 30

Partecipazione di paesi terzi

1.   Alle attività dell’Agenzia possono partecipare i paesi terzi che hanno concluso con l’Unione europea accordi in virtù dei quali hanno adottato e applicano gli atti giuridici dell’Unione nella materia disciplinata dal presente regolamento.

2.   In forza delle pertinenti disposizioni di tali accordi sono concordate soluzioni organizzative relative in particolare alla natura, alla portata e alle modalità di partecipazione di tali paesi alle attività dell’Agenzia, comprese disposizioni riguardanti la partecipazione alle iniziative intraprese dall’Agenzia, i contributi finanziari e il personale.

Articolo 31

Norme di sicurezza in materia di protezione di informazioni classificate

L’Agenzia applica i principi di sicurezza contenuti nelle norme di sicurezza della Commissione per la protezione delle informazioni classificate dell’Unione europea (ICUE) e delle informazioni delicate non classificate, enunciate nell’allegato della decisione 2001/844/CE, CECA, Euratom. Essi riguardano, tra l’altro, le disposizioni che disciplinano lo scambio, il trattamento e la conservazione di tali informazioni.

SEZIONE 7

DISPOSIZIONI FINALI

Articolo 32

Valutazione e riesame

1.   Entro il 20 giugno 2018 la Commissione richiede una valutazione per esaminare, in particolare, l’impatto, l’efficacia e l’efficienza dell’Agenzia e le sue metodologie di lavoro. La valutazione esamina altresì l’eventuale necessità di modificare il mandato dell’Agenzia e le implicazioni finanziarie di tali modifiche.

2.   La valutazione di cui al paragrafo 1 tiene conto di qualsiasi riscontro pervenuto all’Agenzia in relazione alle sue attività.

3.   La Commissione trasmette la relazione di valutazione unitamente alle sue conclusioni al Parlamento europeo, al Consiglio e al consiglio di amministrazione. Le risultanze della valutazione sono rese pubbliche.

4.   Costituisce parte della valutazione un esame dei risultati conseguiti dall’Agenzia in relazione ai suoi obiettivi, al suo mandato e ai suoi compiti. Se la Commissione ritiene che sia giustificato mantenere l’Agenzia tenuto conto dei suoi obiettivi, mandato e compiti, può proporre che la durata del mandato dell’Agenzia quale indicata all’articolo 36 sia prorogata.

Articolo 33

Cooperazione dello Stato membro ospitante

Lo Stato membro che ospita l’Agenzia fornisce le migliori condizioni possibili al fine di garantire il corretto funzionamento dell’Agenzia, compresi l’accessibilità della sede, l’esistenza di strutture scolastiche adeguate per i figli del personale, un accesso adeguato al mercato del lavoro, alla sicurezza sociale e alle cure mediche per i figli e i coniugi.

Articolo 34

Controllo amministrativo

L’operato dell’Agenzia è sottoposto al controllo del Mediatore in conformità dell’articolo 228 TFUE.

Articolo 35

Abrogazione e sostituzione

1.   Il regolamento (CE) n. 460/2004 è abrogato.

I riferimenti al regolamento (CE) n. 460/2004 e all’ENISA si intendono fatti al presente regolamento e all’Agenzia.

2.   L’Agenzia sostituisce l’Agenzia istituita dal regolamento (CE) n. 460/2004 per quanto riguarda diritti di proprietà, accordi, obblighi giuridici, contratti di lavoro, impegni finanziari e responsabilità.

Articolo 36

Durata

L’Agenzia è istituita per un periodo di sette anni a decorrere dal 19 giugno 2013.

Articolo 37

Entrata in vigore

Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Strasburgo, il 21 maggio 2013

Per il Parlamento europeo

Il presidente

M. SCHULZ

Per il Consiglio

Il presidente

L. CREIGHTON


(1)  GU C 107 del 6.4.2011, pag. 58.

(2)  Posizione del Parlamento europeo del 16 aprile 2013 (non ancora pubblicata nella Gazzetta ufficiale) e decisione del Consiglio del 13 maggio 2013.

(3)  Decisione 2004/97/CE, Euratom adottata di comune accordo dai rappresentanti dei governi degli Stati membri, riuniti a livello di capi di Stato o di governo, del 13 dicembre 2003, relativa alla fissazione delle sedi di taluni uffici ed agenzie dell’Unione europea (GU L 29 del 3.2.2004, pag. 15).

(4)  Regolamento (CE) n. 460/2004 del Parlamento europeo e del Consiglio, del 10 marzo 2004, che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione (GU L 77 del 13.3.2004, pag. 1).

(5)  Regolamento (CE) n. 1007/2008 del Parlamento europeo e del Consiglio, del 24 settembre 2008, che modifica il regolamento (CE) n. 460/2004 che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione per quanto riguarda la durata dell’Agenzia (GU L 293 del 31.10.2008, pag. 1).

(6)  Regolamento (UE) n. 580/2011 del Parlamento europeo e del Consiglio, dell’8 giugno 2011, che modifica il regolamento (CE) n. 460/2004 che istituisce l’Agenzia europea per la sicurezza delle reti e dell’informazione per quanto riguarda la durata dell’Agenzia (GU L 165 del 24.6.2011, pag. 3).

(7)  GU L 108 del 24.4.2002, pag. 33.

(8)  GU L 201 del 31.7.2002, pag. 37.

(9)  GU L 281 del 23.11.1995, pag. 31.

(10)  GU L 108 del 24.4.2002, pag. 51.

(11)  Regolamento (CE) n. 1211/2009 del Parlamento europeo e del Consiglio, del 25 novembre 2009, che istituisce l’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC) e l’Ufficio (GU L 337 del 18.12.2009, pag. 1).

(12)  Direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche (GU L 204 del 21.7.1998, pag. 37).

(13)  Regolamento (UE, Euratom) n. 966/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, che stabilisce le regole finanziarie applicabili al bilancio generale dell’Unione e che abroga il regolamento (CE, Euratom) n. 1605/2002 (GU L 298 del 26.10.2012, pag. 1).

(14)  Regolamento (CE) n. 1049/2001 del Parlamento europeo e del Consiglio, del 30 maggio 2001, relativo all’accesso del pubblico ai documenti del Parlamento europeo, del Consiglio e della Commissione (GU L 145 del 31.5.2001, pag. 43).

(15)  GU L 8 del 12.1.2001, pag. 1.

(16)  GU C 101 dell’1.4.2011, pag. 20.

(17)  GU L 56 del 4.3.1968, pag. 1.

(18)  GU L 357 del 31.12.2002, pag. 72.

(19)  GU L 317 del 3.12.2001, pag. 1.

(20)  Regolamento (CE) n. 1073/1999 del Parlamento europeo e del Consiglio, del 25 maggio 1999, relativo alle indagini svolte dall’Ufficio per la lotta antifrode (OLAF) (GU L 136 del 31.5.1999, pag. 1).

(21)  Accordo interistituzionale, del 25 maggio 1999, tra il Parlamento europeo, il Consiglio dell’Unione europea e la Commissione delle Comunità europee relativo alle indagini interne svolte dall’Ufficio europeo per la lotta antifrode (OLAF) (GU L 136 del 31.5.1999, pag. 15).

(22)  GU L 292 del 15.11.1996, pag. 2.

(23)  GU 17 del 6.10.1958, pag. 385/58.


Top