Bruxelles, 28.10.2019

COM(2019) 546 final

RELAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO

di valutazione della coerenza degli approcci adottati dagli Stati membri per l'identificazione degli operatori di servizi essenziali conformemente all'articolo 23, paragrafo 1, della direttiva 2016/1148/UE sulla sicurezza delle reti e dei sistemi informativi






1.Introduzione

La direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione 1 (direttiva NIS) è il primo strumento di mercato interno volto a migliorare la resilienza dell'UE rispetto ai rischi per la cibersicurezza. Ai sensi dell'articolo 114 del trattato sul funzionamento dell'Unione europea, tale direttiva mira a garantire la continuità dei servizi che consentono all'economia e alla società dell'Unione di funzionare correttamente. A tal fine, la direttiva introduce misure concrete per lo sviluppo di capacità di cibersicurezza in tutta l'UE e l'attenuazione delle crescenti minacce alle reti e ai sistemi informativi utilizzati per fornire servizi essenziali in settori chiave.

Dopo la sua entrata in vigore, nell'agosto del 2016, gli Stati membri hanno avuto tempo fino al 9 maggio 2018 2 per adottare le misure nazionali necessarie per conformarsi alle disposizioni della direttiva NIS. La direttiva promuove una cultura della gestione dei rischi tra le imprese o altri soggetti che forniscono servizi essenziali, che sono definiti, ai sensi dell'articolo 5, "operatori di servizi essenziali". Gli operatori che rientrano nell'ambito di applicazione della direttiva sono tenuti ad adottare misure tecniche e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza delle loro reti e dei loro sistemi informativi e per notificare incidenti gravi alle autorità competenti.

I colegislatori hanno delegato l'attuazione della direttiva NIS agli Stati membri, che dovrebbero definire i servizi essenziali e identificarne gli operatori nei loro territori. Di conseguenza, l'articolo 5, paragrafo 7, della direttiva impone agli Stati membri di riferire alla Commissione in merito ai risultati di tale identificazione. Al fine di consentire una comunicazione coordinata, tanto la Commissione 3 quanto il gruppo di cooperazione istituito dalla direttiva 4 hanno fornito orientamenti agli Stati membri in merito al processo di identificazione.

Ai sensi dell'articolo 23, paragrafo 1, la presente relazione valuta la coerenza degli approcci adottati dagli Stati membri nell'identificazione degli operatori di servizi essenziali. Poiché la coerenza dell'identificazione degli operatori di servizi essenziali e il rischio di frammentazione nel mercato interno in questo settore sono strettamente collegati, la presente relazione contribuirà altresì alla valutazione di più ampio respiro della direttiva NIS, come previsto dall'articolo 23, paragrafo 2, che prevede che la Commissione riesamini periodicamente il funzionamento generale della direttiva e valuti l'elenco dei settori e sottosettori in cui sono identificati gli operatori di servizi essenziali e dei tipi di servizi digitali contemplati dalla direttiva. La prima di tali relazioni deve essere presentata entro il 9 maggio 2021.

1.1Finalità della relazione

In considerazione dell'importanza del loro ruolo per l'economia e la società nel suo complesso, gli operatori di servizi essenziali devono dimostrare un livello particolarmente elevato di resilienza nei confronti dei ciberincidenti. A questo proposito, è importante che gli Stati membri adottino un approccio coerente nell'identificazione degli operatori di servizi essenziali per diversi motivi:

1.ridurre i rischi relativi alle dipendenze transfrontaliere:

una mancata identificazione coerente di importanti operatori che forniscono servizi a livello transfrontaliero può comportare un livello disomogeneo di resilienza informatica tra i diversi Stati membri, aumentando il rischio che un incidente transfrontaliero danneggi infrastrutture critiche o causi il decesso di cittadini 5 . Ad esempio, gli operatori che si occupano di trasmissione di energia o i registri dei nomi di dominio di primo livello, entrambi compresi nell'elenco dei tipi di soggetti di cui all'allegato II, sono soggetti che sfruttano al massimo il mercato interno fornendo servizi transfrontalieri a consumatori e imprese. Un'identificazione coerente di tali fornitori in tutta l'Unione potrebbe quindi contribuire a prevenire la propagazione delle ciberminacce nel mercato interno 6 ;

2.garantire parità di condizioni per gli operatori nel mercato interno:

la direttiva NIS impone agli Stati membri di stabilire obblighi in materia di sicurezza e procedure di notifica degli incidenti per gli operatori di servizi essenziali. Dato che la direttiva segue un approccio di armonizzazione minimo in relazione agli operatori di servizi essenziali, gli Stati membri sono liberi di imporre agli operatori obblighi più stringenti rispetto a quelli previsti dalla direttiva. Rafforzando la resilienza degli Stati membri, tali misure possono generare allo stesso tempo costi di regolamentazione aggiuntivi per gli operatori interessati. Di conseguenza è importante che gli operatori che forniscono servizi simili aventi rilevanza simile siano soggetti a un trattamento analogo in termini di regolamentazione;

3.ridurre il rischio di interpretazioni divergenti della direttiva:

la direttiva è stata concepita in maniera tale da consentire agli Stati membri un margine di manovra nella selezione dei soggetti pertinenti per tenere conto delle specificità nazionali. Allo stesso tempo, questo approccio fa aumentare il rischio di un'applicazione divergente delle disposizioni della direttiva e può portare potenzialmente a incoerenze nelle misure adottate dagli Stati membri. Ciò è particolarmente importante per le imprese attive in più paesi e che devono quindi soddisfare gli obblighi normativi di più di uno Stato membro;

4.acquisire un quadro completo del livello di resilienza informatica in tutta l'UE:

gli operatori di servizi essenziali sono soggetti ad attività di vigilanza volte a verificare l'attuazione efficace delle politiche in materia di sicurezza, nonché la notifica di incidenti significativi. La vigilanza favorisce lo sviluppo di una più stretta cooperazione pubblico-privato, portando allo sviluppo di una conoscenza condivisa sulla preparazione in materia di cibersicurezza all'interno dello Stato membro. Grazie al gruppo di cooperazione, la condivisione di esperienze nazionali, nonché delle informazioni notificate sugli incidenti 7 , può essere aggregata a livello UE e contribuire a una valutazione più accurata delle principali minacce ed esigenze. Tuttavia, per essere efficace, tale esercizio di condivisione di informazioni dovrebbe basarsi su un'intesa comune in merito ai soggetti da identificare come operatori di servizi essenziali.

1.2Procedura di identificazione ai sensi della direttiva NIS

Nel suo allegato II la direttiva NIS fornisce un elenco di sette settori e dei rispettivi sottosettori, nonché dei tipi di soggetti rilevanti per il processo di identificazione ( tabella 1 ). L'articolo 5, paragrafo 3, impone agli Stati membri di stilare un elenco di servizi essenziali basati su tali settori, sottosettori e tipi di soggetti. L'approccio di armonizzazione minima della direttiva consente agli Stati membri di andare oltre l'ambito di applicazione dell'allegato II e di effettuare l'identificazione in ulteriori settori e sottosettori.

Settore

Sottosettore

1. Energia

a) Energia elettrica

b) Petrolio

c) Gas

2. Trasporti

a) Trasporto aereo

b) Trasporto ferroviario

c) Trasporto per vie d'acqua

d) Trasporto su strada

3. Settore bancario

4. Infrastrutture dei mercati finanziari

5. Settore sanitario

6. Fornitura e distribuzione di acqua potabile

7. Infrastrutture digitali

Tabella 1: settori e sottosettori compresi nell'elenco di cui all'allegato II della direttiva NIS.

L'articolo 5, paragrafo 2, stabilisce tre criteri che gli Stati membri devono utilizzare per identificare gli operatori di servizi essenziali:

1.il soggetto in questione deve fornire un servizio che è essenziale per il mantenimento di attività sociali e/o economiche fondamentali. A tal fine, le autorità nazionali competenti devono consultare i loro elenchi di servizi essenziali precedentemente stabiliti;

2.il servizio fornito deve dipendere dalla rete e dai sistemi informativi; 

3.un incidente dovrebbe avere effetti negativi rilevanti sulla fornitura del servizio pertinente. L'articolo 6 specifica che la rilevanza di un incidente deve essere valutata sulla base di fattori intersettoriali e, se del caso, di fattori settoriali 8 .

Inoltre, l'articolo 5, paragrafo 4, della direttiva impone agli Stati membri di consultarsi reciprocamente qualora constatino che un potenziale operatore di servizi essenziali sta fornendo servizi in più di uno Stato membro. Questa procedura obbligatoria ha lo scopo di aiutare gli Stati membri a valutare il possibile impatto di un ciberincidente che incida su soggetti operanti a livello transfrontaliero, oltre a fungere da salvaguardia per le imprese interessate dalla procedura nei diversi Stati membri.

1.3Metodologia della relazione

I risultati della relazione si basano su una valutazione condotta tra il mese di novembre del 2018 e quello di settembre del 2019. Molti Stati membri non avevano messo a disposizione della Commissione, entro i termini fissati, le informazioni necessarie per redigere la presente relazione. Di conseguenza è stato necessario rinviare l'adozione della relazione oltre il 9 maggio 2019, data di adozione prevista dall'articolo 23, paragrafo 1, della direttiva NIS. I dati sono stati raccolti attraverso molteplici canali: informazioni trasmesse dagli Stati membri sulla base di un modello standard preparato dall'ENISA, colloqui standardizzati con autorità nazionali selezionate e riunioni del gruppo di cooperazione, nonché un seminario dedicato all'argomento svoltosi il 19 marzo 2019.

Sulla base delle informazioni raccolte, la relazione valuta il livello di coerenza tra gli approcci di identificazione dei diversi Stati membri

1.confrontando le diverse metodologie di identificazione scelte dalle autorità nazionali;

2.esaminando gli elenchi dei servizi essenziali e le soglie scelti dagli Stati membri;

3.analizzando il numero di operatori di servizi essenziali in ciascuno Stato membro.

Inoltre, la relazione valuta le modalità di attuazione delle disposizioni della direttiva concernenti la procedura di consultazione transfrontaliera (articolo 5, paragrafo 4) e il principio della lex specialis (articolo 1, paragrafo 7). La relazione fornisce un'analisi fattuale del processo di identificazione condotto dagli Stati membri, accompagnata da conclusioni preliminari e domande aperte per un'ulteriore riflessione.

1.4Disponibilità dei dati

Le disposizioni della direttiva NIS impongono agli Stati membri di fornire alla Commissione soltanto una serie limitata di dati. Ad esempio, le autorità nazionali non sono tenute a trasmettere i nomi degli operatori identificati, il che rende difficile per i servizi della Commissione confrontare i risultati del processo di identificazione in termini di completezza dell'elenco e impatto su imprese delle stesse dimensioni e appartenenti al medesimo settore.

A norma dell'articolo 5, paragrafo 7, tutti gli Stati membri avrebbero dovuto fornire i contributi necessari per la presente relazione entro il 9 novembre 2018. Tuttavia, entro tale data soltanto 15 paesi avevano presentato dati sostanziali (cfr. la tabella allegata di cui alla sezione 4.1). Nonostante i ripetuti solleciti della Commissione, le lacune nei dati sono rimaste significative. Il 26 luglio 2019 la Commissione ha pertanto inviato lettere di messa in mora a 6 Stati membri 9 , invitandoli a trasmettere i dati mancanti entro due mesi.

Alla data di pubblicazione della presente relazione 23 Stati membri avevano presentato tutti i dati richiesti ai sensi dell'articolo 5, paragrafo 7: Bulgaria, Cipro, Croazia, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Regno Unito, Repubblica ceca, Slovacchia, Spagna e Svezia. Gli altri 5 Stati membri (Austria, Belgio, Romania, Slovenia e Ungheria) hanno fornito soltanto parzialmente i dati sull'identificazione di operatori nazionali di servizi essenziali, non essendo stati in grado di completare il processo di identificazione in tempo per la pubblicazione della presente relazione.



2.Identificazione di operatori di servizi essenziali negli Stati membri

La direttiva NIS stabilisce un quadro per l'identificazione degli operatori di servizi essenziali che permette agli Stati membri di tenere conto di specificità nazionali. Di conseguenza, gli Stati membri hanno sviluppato un'ampia varietà di pratiche di identificazione.

2.1Metodologie utilizzate dagli Stati membri

Gli Stati membri hanno messo a punto metodologie diverse per identificare gli operatori, sfruttando appieno la flessibilità offerta dalla direttiva NIS. Uno degli elementi che influenzano le metodologie nazionali è stata la preesistenza di un quadro, come la direttiva 2008/114/CE del Consiglio sulle infrastrutture critiche 10 o altre disposizioni nazionali sugli "operatori fondamentali". In tali casi, gli Stati membri hanno utilizzato la loro precedente esperienza come punto di riferimento e hanno integrato specificità relative alla direttiva NIS nelle metodologie esistenti.

Le differenze nelle metodologie nazionali rientrano nelle seguenti categorie principali: servizi essenziali, uso delle soglie, grado di centralizzazione, autorità incaricate dell'identificazione e della valutazione della dipendenza dalle reti e dai sistemi informativi. In ragione della loro importanza ai fini della valutazione della coerenza dell'identificazione degli operatori di servizi essenziali, sezioni distinte sono state dedicate all'analisi dei servizi essenziali e delle soglie. Gli altri criteri sono invece trattati nella presente sezione.

Grado di centralizzazione

La maggior parte degli Stati membri ha scelto di delegare parte delle decisioni relative a vari elementi del processo di identificazione alle autorità settoriali (ministeri, agenzie ecc.). Il grado di decentramento varia da caso a caso e la maggior parte degli Stati membri ha nominato un'unica autorità incaricata di fornire orientamenti alle autorità settoriali e di consolidare le informazioni. Tuttavia, alcuni paesi hanno scelto di mantenere il processo di identificazione nelle mani di un'unica autorità. Vi sono altresì casi che presentano un grado estremamente elevato di decentramento, nel contesto del quale le autorità settoriali sono competenti per lo sviluppo delle proprie metodologie.

Numerosi Stati membri hanno valutato attentamente i diversi aspetti della configurazione istituzionale dell'identificazione di operatori di servizi essenziali. La prevenzione di conflitti di interessi è stata citata dalle autorità come uno dei meriti dell'identificazione centralizzata: gli operatori sono apparentemente più riluttanti a divulgare informazioni pertinenti ad autorità di regolamentazione settoriali poiché temono che tali informazioni possano essere utilizzate anche per altri fini di regolamentazione.

D'altro canto, gli approcci decentrati sembrano favorire il dialogo tra le autorità competenti per la direttiva NIS (tanto in termini di cibersicurezza quanto di competenza settoriale), aiutandole a identificare meglio le implicazioni delle dipendenze intersettoriali. Inoltre, le autorità settoriali dispongono di norma di una comprensione più profonda dei settori rispetto alle autorità guida.

Procedura di identificazione (approccio dall'alto verso il basso rispetto ad approccio dal basso verso l'alto)

Un'altra distinzione importante può essere compiuta tra gli Stati membri nei quali autorità pubbliche conducono il processo di identificazione (identificazione dall'alto verso il basso) e gli Stati membri nei quali gli operatori di mercato sono chiamati a verificare autonomamente se soddisfano i requisiti per essere operatori di servizi essenziali (cosiddetta identificazione dal basso verso l'alto o autoidentificazione). Affinché quest'ultimo approccio funzioni efficacemente, gli Stati membri dovrebbero stabilire ammende sufficientemente elevate da dissuadere gli operatori dal non manifestarsi, come previsto dall'articolo 21 della direttiva NIS. Nella maggior parte dei casi il processo di identificazione adottato è dall'alto verso il basso. Tuttavia, nella pratica spesso le autorità fanno affidamento in parte su taluni elementi di autovalutazione, quali questionari che devono essere compilati dai potenziali operatori di servizi essenziali.

Se le norme e le soglie che disciplinano l'identificazione di operatori di servizi essenziali sono esplicite e trasparenti, tanto l'identificazione dall'alto verso il basso quanto quella dal basso verso l'alto dovrebbero produrre risultati simili. La scelta di un approccio rispetto all'altro non dovrebbe pertanto in linea di principio incidere in alcun modo sulla coerenza.

Valutazione della dipendenza dalle reti

Come spiegato nella sezione 1.2, l'articolo 5, paragrafo 2, lettera b), impone agli Stati membri di valutare la dipendenza di un operatore da reti e da sistemi informativi nell'ambito della procedura di identificazione di operatori di servizi essenziali. Nell'applicare tale criterio numerosi Stati membri ritengono che la dipendenza da reti e da sistemi informativi sia un dato di fatto nell'odierna economia digitale. Tuttavia, talune autorità hanno scelto prassi più elaborate, ad esempio conducendo valutazioni dettagliate o chiedendo agli operatori di valutare da sé il grado della loro dipendenza.

2.2Identificazione dei servizi

Il considerando 23 della direttiva NIS menziona esplicitamente gli elenchi dei servizi essenziali come un ulteriore contributo da utilizzare "nella valutazione della pratica regolamentare di ciascuno Stato membro al fine di assicurare il livello globale di coerenza". Dato che gli elenchi dei servizi essenziali stilati dagli Stati membri servono come base per l'identificazione degli operatori, eventuali differenze nei servizi identificati potrebbero condurre a un'identificazione incoerente degli operatori negli Stati membri, in particolare se servizi specifici forniti in tutti i paesi sono identificati soltanto da alcuni Stati membri.

Il numero di servizi identificati dagli Stati membri come soggetti all'applicazione dall'allegato II della direttiva NIS che sono stati segnalati alla Commissione varia notevolmente tra gli Stati membri (i numeri per tutti gli Stati membri sono riportati nell'allegato nella sezione 4.2). Con una media di 35 servizi per Stato membro, il numero di servizi identificati oscilla da 12 a 87, come illustrato nella Figure 1 . Sebbene gli Stati membri di dimensioni maggiori tendano ad identificare un numero leggermente superiore di servizi rispetto a quelli di dimensioni inferiori, non sembra esserci una forte correlazione tra le dimensioni di uno Stato membro e il numero di servizi identificati. Ciò è prevedibile, dato che nella pratica i consumatori e le imprese hanno solitamente accesso ai medesimi tipi di servizi in tutti gli Stati membri, indipendentemente dalle dimensioni di un paese.

 

Figura 1: numero complessivo di servizi essenziali identificati dagli Stati membri.

Il numero di servizi identificati varia non soltanto in relazione agli Stati membri nel loro insieme, ma anche quando si analizzano più da vicino i settori e i sottosettori. Ad esempio, nel settore bancario, il numero di servizi identificati oscilla da 1 a 21. Come illustrato nella Figure 2 , la gamma di servizi identificati differisce significativamente tra i paesi all'interno della maggior parte dei settori e dei sottosettori.

Figura 2: numero di servizi identificati dagli Stati membri per ciascun settore e sottosettore. Ciascun punto dati rappresenta il numero di servizi identificati da uno Stato membro nel rispettivo (sotto)settore 11 .

In una certa misura, i numeri visualizzati nella Figure 2 rispecchiano approcci metodologici diversi tra i paesi. Ad esempio, taluni Stati membri hanno scelto un approccio più granulare nell'identificazione dei servizi rispetto ad altri Stati membri, circostanza questa che ha portato a un numero più elevato in tali Stati membri. I dati che la Commissione ha ricevuto dagli Stati membri mostrano tuttavia chiaramente che le differenze nei numeri sono altresì il risultato di incoerenze negli approcci scelti dagli Stati membri, come dimostrano gli esempi dei sottosettori dell'energia elettrica e del trasporto ferroviario:

Estonia
(approccio meno granulare)

Portogallo

Danimarca

Bulgaria
(approccio più granulare)

Fornitura di energia elettrica

Gestori di sistemi di distribuzione

Distribuzione di energia elettrica

Distribuzione di energia elettrica

Garanzia del funzionamento e della manutenzione di un sistema di distribuzione di energia elettrica

Gestore del sistema di trasmissione

Trasmissione di energia elettrica

Trasmissione di energia elettrica

Gestione, manutenzione e sviluppo di un sistema di trasmissione di energia elettrica

(mancata coerenza)

Produzione di energia elettrica

Produzione di energia elettrica

(mancata coerenza)

(mancata coerenza)

Mercato dell'energia elettrica

Tabella 2: esempi illustrativi di approcci scelti dagli Stati membri nell'identificazione di servizi essenziali per il sottosettore dell'energia elettrica.

Nella tabella 2 sono confrontate alcune delle modalità con cui gli Stati membri hanno identificato i servizi essenziali per il sottosettore dell'energia elettrica. Alcuni paesi (come l'Estonia) hanno scelto un'impostazione molto generale, che consente di identificare praticamente tutti gli operatori ritenuti essenziali per il sottosettore dell'energia elettrica. Altri paesi (quali Bulgaria, Danimarca e Portogallo) hanno optato per un approccio molto più granulare. Ad esempio, la Bulgaria ha stilato un elenco estremamente dettagliato di servizi che comprende anche un servizio non contemplato dall'allegato II (mercati dell'energia elettrica). Danimarca e Portogallo hanno invece seguito un approccio granulare scegliendo di non includere determinati servizi che altri hanno incluso. Ciò potrebbe determinare una disparità di condizioni tra gli operatori di servizi essenziali nel mercato interno.

Casi di mancata coerenza come quelli rilevati nella tabella 2 sono il risultato di attuazioni nazionali diverse della direttiva NIS e, nel caso di settori che non rientrano nell'ambito di applicazione dell'allegato II (come i mercati dell'energia elettrica), una conseguenza del suo approccio di armonizzazione minima. Di conseguenza, i casi di mancata coerenza non implicano che gli Stati membri che non hanno identificato un determinato servizio abbiano necessariamente applicato in maniera errata le disposizioni della direttiva.

La tabella 3 presenta gli approcci scelti da quattro paesi in relazione al sottosettore del trasporto ferroviario. Mentre la Francia ha stilato un elenco molto dettagliato e completo di servizi essenziali per il funzionamento del trasporto ferroviario, gli altri tre paesi hanno selezionato soltanto un piccolo sottoinsieme di tali servizi. Nel caso della Polonia, non è del tutto chiaro quali servizi rientrino nelle categorie "trasporto ferroviario di merci" e "trasporto ferroviario di passeggeri". Le loro designazioni sono così generali che potrebbero includere anche alcuni dei servizi identificati dalla Francia, come "controllo e gestione del traffico ferroviario". È opportuno sottolineare che la Commissione non ha mezzi a disposizione per analizzare ulteriormente casi di questo tipo: la direttiva NIS non impone alle autorità nazionali di divulgare informazioni più dettagliate.

Finlandia

Francia

Irlanda

Polonia

Gestione dell'infrastruttura statale

Manutenzione dell'infrastruttura

Gestori dell'infrastruttura

(mancata coerenza)

(mancata coerenza)

Manutenzione del materiale rotabile

(mancata coerenza)

(mancata coerenza)

Servizi di gestione del traffico

Controllo e gestione del traffico ferroviario

(mancata coerenza)

Preparazione degli orari dei treni

(mancata coerenza)

Merci e materiali pericolosi

Imprese ferroviarie

Trasporto ferroviario di merci

(mancata coerenza)

Trasporto di passeggeri

Trasporto ferroviario di passeggeri

(mancata coerenza)

Metro, tram e altri servizi di metropolitana leggera (compresi i servizi di metropolitana)

(mancata coerenza)

(mancata coerenza)

Servizi di trasporto ferroviario

(mancata coerenza)

(mancata coerenza)

Tabella 3: esempi illustrativi di approcci scelti dagli Stati membri nell'identificazione di servizi essenziali per il sottosettore del trasporto ferroviario.

Gli Stati membri inseriti nella tabella 2 e nella tabella 3 sono stati scelti esclusivamente a scopo illustrativo e perché i loro approcci metodologici facilitano il raffronto. La maggior parte degli altri Stati membri ha scelto servizi simili e pertanto presenta casi analoghi di "mancata coerenza" analoghe. In effetti, casi di "mancata coerenza" come quelli dei sottosettori dell'energia elettrica e del trasporto ferroviario esistono in tutti gli Stati membri e in tutti i settori contemplati nell'allegato II della direttiva. Gran parte di questa incoerenza deriva da servizi identificati soltanto in alcuni Stati membri e non in tutti. Gli elenchi completi dei servizi nei sottosettori dell'energia elettrica e del trasporto ferroviario comprendenti tutti gli Stati membri sono riportati nell'allegato della presente relazione.

2.3Soglie

Anche se la maggior parte degli Stati membri applica delle soglie per identificare gli operatori di servizi essenziali, il ruolo svolto da tali soglie varia da paese a paese. Per quanto concerne le soglie intersettoriali, è possibile definire soglie che si basano su:

·un singolo fattore quantitativo (ad esempio il numero di utenti che dipendono da un servizio) per determinare se un soggetto deve essere considerato un operatore di servizi essenziali all'interno di un determinato servizio;

·un insieme più ampio di fattori quantitativi (ad esempio il numero di utenti che dipendono da un servizio più la quota di mercato);

·una combinazione di fattori quantitativi e qualitativi.

Inoltre, la direttiva consente agli Stati membri di applicare soglie settoriali oltre a quelle intersettoriali. Tale circostanza offre alle autorità nazionali maggiore libertà nel processo di identificazione, in maniera da poter tenere conto di specificità nazionali e settoriali. Allo stesso tempo ciò determina una varietà molto complessa di soglie in grado di incidere negativamente sulla coerenza complessiva dell'identificazione degli operatori di servizi essenziali.

Un esempio di tale diversità di approcci è fornito nella tabella 4 . Tale tabella mostra come le soglie scelte dagli Stati membri nel settore delle infrastrutture digitali non variano soltanto quantitativamente (ad esempio, in Germania i fornitori di servizi DNS sono identificati come operatori di servizi essenziali se gestiscono almeno 250 000 domini, mentre la Polonia ha fissato una soglia di soli 100 000 domini), ma anche qualitativamente (ad esempio "numero di sistemi autonomi connessi" rispetto a "quota di mercato").

Soglie quantitative scelte coerentemente non garantiscono di per sé la piena coerenza tra gli approcci nazionali. Dato che in alcuni Stati membri le soglie sono soltanto uno dei criteri utilizzati per identificare gli operatori di servizi essenziali, gli esiti del processo di identificazione potrebbero essere comunque molto diversi, anche in presenza di soglie simili. Ad esempio, alcuni Stati membri utilizzano sistemi complessi di assegnazione di punteggi con diversi fattori che alimentano un'unica formula 12 . Tali fattori possono ad esempio comprendere la dipendenza di un soggetto da reti o sistemi informativi oppure alcuni dei fattori di cui all'articolo 6, paragrafo 1, della direttiva NIS. Inoltre, certi Stati membri non utilizzano affatto le soglie oppure utilizzano soglie soltanto nella fase preliminare della valutazione. Tali considerazioni valgono non soltanto per il settore delle infrastrutture digitali ma anche per tutti i settori contemplati nell'allegato II.

Definire la soglia corretta può essere difficoltoso, in particolare quando si tratta di settori caratterizzati dalla presenza di numerosi operatori di piccole dimensioni. Un esempio di tale diversità è costituito dalle numerose strutture sanitarie su piccola scala (ad esempio cliniche o servizi medici di emergenza) che forniscono un servizio essenziale a un numero relativamente ridotto di utenti ma la cui indisponibilità, causata da un incidente di cibersicurezza, potrebbe comportare il decesso dei pazienti. Un altro problema sorge quando il funzionamento delle catene di approvvigionamento dipende da servizi forniti da operatori che costituiscono collegamenti di piccola entità ma essenziali nel contesto della catena (ad esempio in settori quali quello della logistica 13 ). Uno Stato membro sta valutando la possibilità di utilizzare criteri legati all'importanza o alla criticità del servizio fornito come possibile soluzione a questo problema.



Paese

Punto di interscambio internet (IXP)

Fornitori di servizi DNS

Registri dei nomi di dominio di primo livello

Uso di soglie prevalentemente settoriali

AT

sistemi autonomi connessi
> 100

Resolver DNS: 88 000 utenti;
Autore. DNS: 50 000 domini

50 000 domini

DE

sistemi autonomi connessi
> 300

Resolver DNS: 100 000 utenti; Autore. DNS: 250 000 domini

(servizio non identificato)

DK

volume medio di dati giornaliero > 200 gbit/s

Resolver DNS: 100 000 utenti; Autore. DNS: 100 000 domini

500 000 domini

EE

(servizio non identificato)

(servizio non identificato)

Registro nazionale dei nomi di dominio di primo livello

FI

(servizio non identificato)

(servizio non identificato)

Registro nazionale e registro regionale dei nomi di dominio di primo livello

FR

(nessuna soglia ufficiale)

(nessuna soglia ufficiale)

(nessuna soglia ufficiale)

HR

membri connessi > 15

Servizio DNS per registro nazionale dei nomi di dominio di primo livello

Registro nazionale dei nomi di dominio di primo livello

IE

(soglia non nota)

Resolver DNS: 100 milioni di interrogazioni/24 ore; Autore. DNS: 50 000 domini

Registro nazionale dei nomi di dominio di primo livello

MT

25 % della quota di mercato

Resolver DNS: 78 000 richieste/giorno; Autore. DNS: 7 800 domini

750 000 richieste/giorno

PL

sistemi autonomi connessi
≥ 100

Autore. DNS: 100 000 domini

Registri dei nomi di dominio di primo livello per almeno 100 000 abbonati

SE

(servizio non identificato)

Resolver DNS: 100 000 utenti; Autore. DNS: 25 000 domini

250 000 domini

SK

Sistema autonomo che collega almeno altri due sistemi autonomi con 2 Gbps

Resolver DNS: 3 milioni di interrogazioni/24 ore; Autore. DNS: > 1 000 domini

Registro dei nomi di dominio di primo livello

UK

quota di mercato > 50 %, o
interconnettività a percorsi internet globali ≥ 50 %

Resolver DNS: 2 000 000 clienti/giorno;
Autore. DNS: 250 000 domini

Registri dei nomi di dominio di primo livello ≥ 2 miliardi di interrogazioni/giorno

Uso di soglie intersettoriali

CY

50 000 utenti, o
5 % degli abbonati del mercato

50 000 utenti, o
5 % degli abbonati del mercato

50 000 utenti, o
5 % degli abbonati del mercato

LT

abitanti > 145 000

abitanti > 145 000

abitanti > 145 000

LU

100 % della quota di mercato

13 500 contratti

100 % della quota di mercato

Tabella 4: soglie scelte da 16 Stati membri per il settore delle infrastrutture digitali.



2.4Numero di operatori identificati

Gli elenchi dei servizi essenziali e le soglie sono i fattori determinanti più importanti per un'identificazione coerente degli operatori di servizi essenziali. Le sezioni precedenti hanno dimostrato che in entrambi i casi gli Stati membri hanno applicato le disposizioni della direttiva NIS in maniera diversa, circostanza questa che suggerisce che ciò può comportare un problema di coerenza quando si tratta di identificare successivamente operatori di servizi essenziali. Questa sezione confronterà il numero di operatori identificati per i settori e sottosettori di cui all'allegato II negli Stati membri.

 

Figura 3: operatori di servizi essenziali identificati dagli Stati membri in tutti i settori di cui all'allegato II (per 100 000 abitanti, valori anomali e dati mancanti omessi per chiarezza).

Il numero totale di operatori di servizi essenziali comunicati alla Commissione dagli Stati membri oscilla da 20 a 10 897 con una media di 633 operatori di servizi essenziali per Stato membro (i dati per tutti gli Stati membri sono riportati nella sezione 4.2 dell'allegato della presente relazione). Nel complesso, si rileva un'evidente relazione positiva tra le dimensioni di un paese e il numero di operatori identificati. Tuttavia, ciò non spiega in maniera sufficiente le notevoli differenze nei numeri comunicati dagli Stati membri. Per tenere conto della relazione tra dimensioni e popolazione, la Figure 3 confronta il numero di operatori di servizi essenziali identificati negli Stati membri per 100 000 abitanti. Ciò suggerisce che gli approcci adottati dagli Stati membri per identificare gli operatori hanno prodotto risultati molto diversi.

Uno studio più approfondito dei settori e sottosettori rivela differenze significative tra gli Stati membri nei numeri identificati in tutti i settori trattati dall'allegato II ( Figure 4 ). Ad esempio, nel settore dell'energia, il numero oscilla da 0,3 operatori a 29 operatori per 1 000 000 abitanti. I numeri nel settore bancario oscillano da 0,07 operatori a 51 operatori per 1 000 000 abitanti (senza tenere conto degli Stati membri che non hanno identificato un unico operatore di servizi essenziali in quel settore).

Figura 4: numero di operatori di servizi essenziali identificati da 25 Stati membri per ciascun settore e sottosettore (per 1 000 000 abitanti, su scala logaritmica, valori anomali omessi per chiarezza). Ciascun punto dati rappresenta il numero di operatori di servizi essenziali identificati da uno Stato membro nel rispettivo (sotto)settore 14 .

2.5Applicazione della direttiva ad altri settori diversi da quelli inclusi nell'allegato II

Uno studio dei dati presentati rivela che 11 Stati membri su 28 hanno identificato servizi essenziali in settori che non rientrano nell'ambito di applicazione dell'allegato II della direttiva. Di questi 11 Stati membri, 7 hanno identificato un totale di 157 operatori di servizi essenziali che forniscono servizi non contemplati dai tipi di soggetti di cui all'allegato II.

Settore complementare

Esempi di soggetti

Numero di Stati membri

Infrastrutture informatiche

Centri dati, parchi di server

5

Servizi finanziari (soggetti non compresi nell'elenco di cui all'allegato II)

Compagnie di assicurazione e riassicurazione

4

Servizi governativi

Servizi elettronici per i cittadini

4

Calore

Produttori e fornitori di calore

3

Acque reflue

Strutture di raccolta e trattamento

3

Logistica

Servizi postali

2

Alimenti

Produttori, sedi di negoziazione

2

Ambiente

Smaltimento di rifiuti pericolosi

2

Sicurezza nazionale/servizi di emergenza

112, gestione delle crisi

2

Industria chimica

Fornitori e produttori di sostanze

2

Servizi sociali

Soggetti incaricati delle prestazioni sociali

1

Istruzione

Autorità incaricate degli esami nazionali

1

Ristorazione collettiva

Gestione della distribuzione

1

Acqua

Strutture idrauliche

1

Tabella 5: settori scelti dagli Stati membri in aggiunta a quelli compresi nell'elenco di cui all'allegato II.

Le infrastrutture informatiche (identificate da cinque Stati membri), i servizi finanziari forniti da soggetti non compresi nell'elenco di cui all'allegato II (identificate da quattro Stati membri) e i servizi governativi (identificati da quattro Stati membri) sono le categorie più frequentemente menzionate ( tabella 5 ).

Considerato quanto sia essenziale la resilienza informatica per il funzionamento dell'economia e della società nel suo complesso, un certo numero di Stati membri ha deciso di sfruttare l'opportunità di trattare settori diversi oltre a soltanto quelli compresi nell'elenco di cui all'allegato II. Il fatto che diversi Stati membri abbiano scelto di applicare la direttiva NIS ad altri settori solleva la questione se l'attuale ambito di applicazione dell'allegato II sia adeguato al fine di conseguire l'obiettivo di proteggere tutti gli operatori dell'Unione che sono essenziali per la società e l'economia.

2.6La procedura di consultazione transfrontaliera

L'articolo 5, paragrafo 4, della direttiva NIS impone agli Stati membri di consultarsi reciprocamente prima di giungere a una decisione definitiva in merito all'identificazione di operatori che forniscono servizi in più di uno Stato membro. Il gruppo di cooperazione ha pubblicato un documento di riferimento nel luglio del 2018 al fine di aiutare gli Stati membri a condurre adeguate consultazioni transfrontaliere 15 .

Sulla base delle informazioni ricevute, soltanto pochissime autorità nazionali hanno scelto di contattare le loro controparti in altri Stati membri e soltanto due Stati membri hanno contattato altri Stati membri in maniera esaustiva. Inoltre, soltanto pochi Stati membri hanno riferito di aver contattato altre autorità in maniera meno sistematica. Nonostante l'importanza considerevole dei servizi transfrontalieri nel mercato interno, la maggior parte degli Stati membri che hanno contattato altri Stati membri lo ha fatto soltanto per un numero estremamente limitato di operatori. Nonostante il ricorso limitato a questa procedura da parte degli Stati membri, numerose autorità nazionali hanno espresso interesse nei confronti del processo di consultazione transfrontaliera e lo considerano un elemento importante del quadro di identificazione ai sensi della direttiva NIS. In effetti, diversi Stati membri hanno espresso preoccupazione per il fatto che, senza un'efficace consultazione transfrontaliera, gli operatori potrebbero essere costretti a far fronte a una moltitudine di obblighi normativi diversi oppure essere svantaggiati rispetto ad altri operatori di servizi essenziali soggetti a obblighi normativi meno rigorosi attivi sul mercato.

In collaborazione con le autorità nazionali, la Commissione ha individuato diversi motivi per cui la procedura di consultazione non è stata finora utilizzata come previsto:

·numerosi Stati membri hanno impiegato più tempo del previsto per identificare i loro operatori di servizi essenziali. Di conseguenza, i primi utilizzatori non sono stati in grado di consultare tali paesi;

·la mancanza di canali sicuri per il trasferimento di informazioni: taluni Stati membri hanno espresso riluttanza a comunicare con le loro controparti, considerando i nomi degli operatori come informazioni classificate;

·il numero notevole di dipendenze transfrontaliere esistenti, che ha comportato la necessità di contattare un numero significativo di Stati membri interessati, in particolare nel caso di operatori paneuropei;

·la mancanza di un'intesa comune sugli obiettivi e sulla portata dell'esercizio di consultazione transfrontaliera: mentre alcuni Stati membri lo considerano semplicemente come uno strumento per informarsi reciprocamente sulle identificazioni di operatori di servizi essenziali aventi impatto transfrontaliero, altri ritengono che miri ad un allineamento delle soglie e degli obblighi normativi. Il considerando 24 della direttiva suggerisce che si tratta innanzitutto di una procedura destinata a garantire una valutazione congiunta della criticità di un operatore ai fini del processo di identificazione;

·un altro problema sorge quando uno Stato membro viene contattato da altri due Stati membri in merito al medesimo operatore. In tal caso, lo Stato membro in questione potrebbe non essere in grado di allineare le proprie norme con entrambi gli Stati membri contemporaneamente. A tal fine, il considerando 24 prevede discussioni multilaterali. È importante che gli Stati membri sfruttino questa possibilità per garantire la coerenza.

2.7Considerazione del principio della lex specialis nel processo di identificazione

La Commissione ha individuato un certo livello di incoerenza tra gli Stati membri per quanto concerne l'applicazione del principio della lex specialis. Ciò ha portato a un'applicazione non uniforme della direttiva che ha determinato, da un lato, l'identificazione di operatori di servizi essenziali laddove si applicano norme settoriali e, dall'altro, un'identificazione insufficiente di operatori di servizi essenziali in alcuni settori di cui all'allegato II.

L'articolo 1, paragrafo 3, stabilisce che la direttiva NIS non si applica alle imprese soggette agli obblighi di cui alla direttiva quadro sulle telecomunicazioni 16 . Tuttavia, taluni Stati membri sembrano aver identificato operatori di servizi essenziali che forniscono servizi che dovrebbero in effetti essere disciplinati dalla direttiva quadro sulle telecomunicazioni, come l'accesso a internet e i servizi di telefonia.

Inoltre, ai sensi dell'articolo 1, paragrafo 7, le disposizioni della direttiva NIS sugli obblighi in materia di sicurezza e sulla notifica di incidenti non si applicano agli operatori già soggetti alla regolamentazione di atti giuridici settoriali dell'Unione che stabiliscono obblighi aventi un effetto almeno equivalente.

Mentre la maggior parte degli Stati membri ha identificato operatori di servizi essenziali nel settore bancario e in quello dei mercati finanziari, alcuni Stati membri non hanno identificato operatori di servizi essenziali, sostenendo che tali operatori forniscono servizi oggetto di leges speciales.

La Commissione sta ancora raccogliendo informazioni dettagliate sull'applicazione del principio della lex specialis ai sensi della direttiva NIS. Attualmente sta effettuando controlli approfonditi della legislazione nazionale e visite presso i paesi con l'obiettivo di valutare l'attuale livello di recepimento e attuazione, anche per quanto concerne le disposizioni in materia di lex specialis. Su tale base, la Commissione intende discutere ulteriormente il principio della lex specialis in seno al gruppo di cooperazione al fine di conseguire un migliore allineamento tra gli Stati membri.

3.Conclusioni

La presente relazione valuta gli approcci scelti dagli Stati membri per l'identificazione degli operatori dei servizi essenziali (operatori di servizi essenziali) ai sensi della direttiva NIS. Il suo obiettivo consiste nel valutare il livello di coerenza tra le prassi degli Stati membri in considerazione del possibile impatto dell'attuale quadro sul funzionamento del mercato interno e sulla gestione dei rischi associati alla dipendenza dall'informatica.

L'analisi condotta mostra che la direttiva NIS è servita da catalizzatore in numerosi Stati membri aprendo la strada a veri e propri cambiamenti nel panorama istituzionale e normativo in materia di cibersicurezza. Inoltre, l'obbligo di identificare gli operatori dei servizi essenziali ha innescato una valutazione globale dei rischi associati agli operatori attivi in attività essenziali e alle reti e ai sistemi informativi moderni in pressoché tutti gli Stati membri. Ciò può essere considerato un risultato conseguito per l'Unione nel suo complesso in linea con gli obiettivi della direttiva.

Ai fini della presente relazione, la Commissione ha esaminato le metodologie nazionali di identificazione, i servizi che le autorità nazionali ritengono essenziali, le soglie di identificazione e i numeri degli operatori di servizi essenziali identificati nei vari settori rientranti nell'ambito di applicazione della direttiva:

·gli Stati membri hanno sviluppato una varietà di metodologie per quanto riguarda l'approccio globale all'identificazione di operatori di servizi essenziali (sezione 2.1) ma anche per quanto concerne la definizione di servizi essenziali e la definizione di soglie. Ciò può avere un impatto negativo sull'applicazione coerente delle disposizioni della direttiva NIS in tutta l'Unione con possibili conseguenze per il buon funzionamento del mercato interno e l'efficace gestione delle dipendenze dall'informatica;

·inoltre, sembra che vi siano interpretazioni divergenti da parte degli Stati membri su ciò che costituisce un servizio essenziale ai sensi della direttiva NIS; inoltre, gli Stati membri applicano diversi livelli di granularità (cfr. sezione 2.2). Ciò rende difficile confrontare gli elenchi dei servizi essenziali. Oltre a ciò, l'ambito di applicazione della direttiva rischia di essere frammentato, con alcuni operatori esposti a una regolamentazione supplementare (perché sono stati identificati dai rispettivi Stati membri) mentre altri che forniscono servizi simili restano esclusi (perché non sono stati identificati). Per ovviare a tali incoerenze, ulteriori lavori basati sull'esperienza degli Stati membri potrebbero portare a un elenco più allineato di servizi essenziali;

·la relazione ha rilevato altresì incoerenze significative nel modo in cui le soglie vengono applicate dagli Stati membri (sezione 2.3). Un ulteriore allineamento delle soglie a livello UE potrebbe contribuire ad attenuare questo problema. Ad esempio tale attività potrebbe essere svolta da filoni di attività settoriali in seno al gruppo di cooperazione, tenendo conto delle specificità nazionali, quali le prescrizioni speciali stabilite da Stati membri di piccole dimensioni;

·il fatto che taluni paesi abbiano sfruttato la possibilità di identificare servizi essenziali in settori o sottosettori complementari oltre a quelli contemplati dall'allegato II sottolinea che esistono altri settori potenzialmente vulnerabili ai ciberincidenti rispetto a quelli considerati dalla direttiva NIS (sezione 2.5). L'identificazione di operatori di servizi essenziali in settori quali infrastrutture informatiche, servizi finanziari non trattati da soggetti compresi nell'elenco di cui all'allegato II e i servizi governativi, può migliorare la resilienza informatica delle organizzazioni in tali settori. Tuttavia, se soltanto un sottoinsieme di Stati membri identifica operatori di servizi essenziali in tali settori, ciò potrebbe avere conseguenze negative per il mercato interno e la parità di condizioni, che la direttiva dovrebbe garantire.

La Commissione ritiene che in futuro si debbano prendere in considerazione le numerose metodologie e migliori prassi elaborate dalle autorità nazionali che sono di particolare valore, ad esempio nelle attività del gruppo di cooperazione e nella continua identificazione degli operatori di servizi essenziali da parte degli Stati membri. Tuttavia, l'attuale livello di diversità potrebbe avere un impatto negativo sul conseguimento degli obiettivi della direttiva.

La Commissione conclude quindi, in via preliminare, che sebbene la direttiva NIS abbia avviato un processo fondamentale per aumentare e migliorare le pratiche di gestione dei rischi degli operatori in settori critici, vi è un notevole grado di frammentazione in tutta l'Unione quando si tratta di identificazione degli operatori di servizi essenziali. Ciò è dovuto in parte alla concezione della direttiva e in parte alle diverse metodologie di attuazione utilizzate dagli Stati membri.

Gli Stati membri dovrebbero cercare di applicare le disposizioni della direttiva NIS nella maniera più coerente possibile, facendo pieno uso dei documenti di orientamento elaborati dalla Commissione e dal gruppo di cooperazione. La Commissione ha pertanto individuato diverse azioni nazionali che potrebbero contribuire ad attenuare i problemi evidenziati nella presente relazione:

·numerosi Stati membri non hanno completato il processo di identificazione degli operatori di servizi essenziali entro il termine stabilito dalla direttiva. Inoltre, alla data di pubblicazione della presente relazione 23 Stati membri avevano presentato tutti i dati richiesti a norma dell'articolo 5, paragrafo 7. Altri 5 Stati membri avevano fornito informazioni parziali. La Commissione sollecita le autorità nazionali incaricate dell'identificazione a completare il processo il più rapidamente possibile e a trasmettere le informazioni necessarie alla Commissione nel minor tempo possibile;

·le autorità competenti dovrebbero riesaminare periodicamente i loro elenchi di servizi essenziali e garantire che tutti i servizi essenziali esistenti siano identificati in maniera da ridurre il numero di casi di "mancata coerenza" concernenti i servizi essenziali nel mercato interno;

·gli Stati membri dovrebbero impegnarsi reciprocamente, in maniera più attiva, ad allineare le soglie ove possibile e soprattutto in settori con una marcata dimensione transfrontaliera, quali quelli dei trasporti o dell'energia. Tale obiettivo può essere conseguito mediante la procedura di consultazione transfrontaliera di cui all'articolo 5, paragrafo 4, della direttiva NIS, ma anche facendo un miglior uso delle strutture esistenti del gruppo di cooperazione;

·le autorità nazionali dovrebbero consultarsi reciprocamente al fine di garantire che gli operatori transfrontalieri si trovino ad affrontare obblighi analoghi in materia di sicurezza e di segnalazione di incidenti nel mercato interno. Inoltre, gli Stati membri dovrebbero contattare tali operatori per raccogliere maggiori informazioni sulla divergenza normativa. Il miglioramento della resilienza informatica non dovrebbe avvenire a scapito di una frammentazione normativa. Se necessario, gli Stati membri dovrebbero inoltre avviare discussioni multilaterali, come previsto dal considerando 24 della direttiva NIS.

Oltre alle azioni nazionali, esistono numerose misure che potrebbero essere potenzialmente adottate a livello di Unione e che porterebbero a una maggiore coerenza. La Commissione avvierà discussioni per migliorare il panorama dell'identificazione, disomogeneo e talvolta frammentato. Talune delle potenziali misure sono:

·il rafforzamento del ruolo del gruppo di cooperazione NIS al fine di promuovere un'intesa comune su come attuare la direttiva in maniera più coerente. A tal fine, la Commissione proporrà che l'esistente filone di attività dedicato all'identificazione degli operatori di servizi essenziali riesamini rapidamente i suoi orientamenti per affrontare meglio le incoerenze esistenti. Il gruppo di cooperazione dovrebbe altresì valutare la possibilità di creare ulteriori filoni di attività settoriali 17 con l'obiettivo di aumentare la coerenza tra gli Stati membri e l'uso di uno strumento di comunicazione su misura per migliorare la collaborazione all'interno del gruppo;

·soltanto pochissimi Stati membri fanno attualmente ricorso alla procedura di consultazione transfrontaliera per identificare gli operatori che forniscono servizi essenziali in più di uno Stato membro. Al fine di migliorare lo scambio di informazioni, il gruppo di cooperazione dovrebbe rivedere il suo documento di riferimento sulle modalità del processo di consultazione nei casi con impatto transfrontaliero e concordare un'interpretazione coerente della portata, degli obiettivi e delle procedure di tale esercizio. Allo stesso tempo, la Commissione esaminerà le possibilità per consentire uno scambio sicuro di informazioni tra le autorità competenti;

·sembra esserci un certo grado di incoerenza nell'applicazione delle disposizioni della direttiva in materia di lex specialis tra gli Stati membri. Di conseguenza, la Commissione utilizzerà le strutture del gruppo di cooperazione per discutere i casi nei quali l'applicazione del principio della lex specialis potrebbe non essere corretta.

Le azioni intraprese a livello di Unione dovrebbero garantire un quadro coerente, tenendo conto delle attività settoriali che prevedono obblighi specifici o più stringenti in materia di cibersicurezza e altre normative europee.



4.Allegati

4.1Panoramica dei dati disponibili per Stato membro

Stato membro

Data di presentazione

Elenco dei servizi

Numeri degli operatori di servizi essenziali

Soglie

AT

Presentazione tardiva

Consegnato

MANCANTI

Consegnate

BE

Presentazione tardiva

Consegnato

MANCANTI

MANCANTI

BG

Presentazione tardiva

Consegnato

Consegnati

Consegnate

CY

Entro i tempi

Consegnato

Consegnati

Consegnate

CZ

Presentazione tardiva

Consegnato

Consegnati

Consegnate

DE

Entro i tempi

Consegnato

Consegnati

Consegnate

DK

Entro i tempi

Consegnato

Consegnati

Consegnate

EE

Entro i tempi

Consegnato

Consegnati

Consegnate

EL

Presentazione tardiva

Consegnato

Consegnati

Consegnate

ES

Entro i tempi

Consegnato

Consegnati

Consegnate

FI

Entro i tempi

Consegnato

Consegnati

Consegnate

FR

Entro i tempi

Consegnato

Consegnati

Nessuna soglia ufficiale

HR

Entro i tempi

Consegnato

Consegnati

Consegnate

HU

Entro i tempi

Parzialmente consegnato

Parzialmente consegnati

Parzialmente consegnate

IE

Presentazione tardiva

Consegnato

Consegnati

Consegnate

IT

Presentazione tardiva

Consegnato

Consegnati

Consegnate

LT

Entro i tempi

Consegnato

Consegnati

Consegnate

LU

Presentazione tardiva

Consegnato

Consegnati

Consegnate

LV

Presentazione tardiva

Consegnato

Consegnati

Consegnate

MT

Presentazione tardiva

Consegnato

Consegnati

Consegnate

NL

Presentazione tardiva

Consegnato

Consegnati

Consegnate

PL

Entro i tempi

Consegnato

Consegnati

Consegnate

PT

Entro i tempi

Consegnato

Consegnati

Consegnate

RO

Presentazione tardiva

Consegnato

Parzialmente consegnati

MANCANTI

SE

Entro i tempi

Consegnato

Consegnati

Consegnate

SI

Presentazione tardiva

Consegnato

MANCANTI

Consegnate

SK

Entro i tempi

Consegnato

Consegnati

Consegnate

UK

Entro i tempi

Consegnato

Consegnati

Consegnate

4.2Numero di servizi e operatori di servizi essenziali identificati da ciascuno Stato membro

Stato membro

Operatori di servizi essenziali identificati

Servizi di cui all'allegato II

Servizi complementari

AT

0

46

0

BE

0

31

0

BG

185

30

3

CY

20

29

17

CZ

50

31

12

DE

573

15

12

DK

128

39

0

EE

137

18

6

EL

67

30

0

ES

132

55

18

FI

10 897 18

20

0

FR

127

70

20

HR

85

49

2

HU

42

12

0

IE

64

26

0

IT

553

37

0

LT

22

37

0

LU

49

21

0

LV

66

18

0

MT

36

29

2

NL

42

12

0

PL

142

87

0

PT

1 250

26

0

RO

86

77

0

SE

326

27

0

SI

0

34

2

SK

273

28

7

UK

470

34

0

4.3Servizi identificati dagli Stati membri per il sottosettore dell'energia elettrica

Stato membro

Servizi identificati

AT

̶Stabilimenti di produzione di energia elettrica

̶Sistemi di controllo negli stabilimenti di produzione

̶Reti di distribuzione

̶Reti di trasmissione

BE

̶Imprese di produzione, trasporto e distribuzione

̶Distribuzione di energia elettrica

̶Trasporto di energia elettrica

BG

̶Produzione di energia elettrica

̶Trasmissione di energia elettrica

̶Gestione, manutenzione e sviluppo di un sistema di trasmissione di energia elettrica

̶Distribuzione di energia elettrica

̶Garanzia del funzionamento e della manutenzione di un sistema di distribuzione di energia elettrica

̶Mercato dell'energia elettrica

CY

̶Generazione / Fornitura

̶Distribuzione / Trasmissione

̶Servizi del mercato dell'energia elettrica

CZ

̶Produzione di energia elettrica

̶Vendita di energia elettrica

̶Gestione del sistema di trasmissione

̶Gestione del sistema di distribuzione

DE

̶Fornitura di energia elettrica

DK

̶Trasmissione di energia elettrica

̶Distribuzione di energia elettrica

̶Produzione di energia elettrica

EE

̶Fornitura di energia elettrica

EL

̶Fornitura di energia elettrica

̶Distribuzione di energia elettrica

̶Trasmissione di energia elettrica

ES

̶Produzione di energia elettrica

̶Trasmissione di energia elettrica

̶Distribuzione di energia elettrica

̶Centri di gestione e controllo di sistemi di energia elettrica

FI

̶Servizio di trasmissione

̶Distribuzione di energia elettrica nella rete di distribuzione

̶Fornitura di energia elettrica attraverso reti di distribuzione ad alta tensione

FR

̶Vendita o rivendita di energia elettrica a clienti all'ingrosso e finali

̶Distribuzione di energia elettrica

̶Trasmissione di energia elettrica

HR

̶Produzione di energia elettrica

̶Trasmissione di energia elettrica

̶Distribuzione di energia elettrica

HU

̶Energia elettrica

IE

̶Gestori di sistemi di distribuzione

̶Imprese del settore dell'energia elettrica

̶Gestori di sistemi di trasmissione

IT

̶Generazione

̶Commercializzazione

̶Trasmissione

̶Distribuzione

LT

̶Servizio di produzione di energia elettrica

̶Servizio di trasmissione di energia elettrica

̶Servizio di distribuzione di energia elettrica

̶Servizio di fornitura di energia elettrica

LU

̶Fornitura di energia elettrica

̶Distribuzione di energia elettrica

̶Trasmissione di energia elettrica

LV

̶Produzione di energia elettrica

̶Distribuzione di energia elettrica

̶Trasmissione di energia elettrica

MT

̶Fornitura di energia ai consumatori

̶Trasmissione e/o distribuzione di energia elettrica ai consumatori

̶Produzione di energia elettrica per i consumatori

NL

̶Trasmissione e distribuzione di energia elettrica

PL

̶Produzione di energia elettrica

̶Trasmissione di energia elettrica

̶Distribuzione di energia elettrica

̶Commercializzazione di energia elettrica

̶Immagazzinamento di energia elettrica

̶Servizi di garanzia della qualità e gestione delle infrastrutture energetiche

PT

̶Gestori di sistemi di distribuzione

̶Gestori di sistemi di trasmissione

RO

̶Produzione di energia elettrica

̶Fornitura di energia elettrica ai consumatori

̶Gestione dei mercati centralizzati dell'energia elettrica

̶Trasporto di energia elettrica

̶Gestione del sistema dell'energia elettrica

̶Distribuzione di energia elettrica

SE

̶TSO

̶DSO

̶Produzione

̶Ingrosso

SI

̶Produzione di energia elettrica in centrali idroelettriche

̶Produzione di energia elettrica in centrali termiche, centrali nucleari

̶Trasmissione di energia elettrica

̶Distribuzione di energia elettrica

̶Commercio di energia elettrica

SK

̶Società per l'energia elettrica

̶Gestore del sistema di trasmissione

̶Gestore del sistema di distribuzione

UK

̶Fornitura di energia elettrica

̶Trasmissione di energia elettrica

̶Distribuzione di energia elettrica



4.4Servizi identificati dagli Stati membri per il sottosettore del trasporto ferroviario

Stato membro

Servizi identificati

AT

̶Infrastrutture ferroviarie

̶Trasporto ferroviario di merci

̶Trasporto ferroviario di passeggeri

̶Stazioni ferroviarie

BE

̶Gestori dell'infrastruttura

̶Imprese ferroviarie

BG

̶Fornitura, manutenzione e gestione di strutture di servizio

̶Trasporto ferroviario con vettori ferroviari

̶Fornitura di orientamenti sul trasporto ferroviario

CY

Nessuna identificazione per questo sottosettore

CZ

̶Gestione delle ferrovie

̶Gestione del trasporto ferroviario o della struttura di servizio

DE

̶Trasporto ferroviario

DK

̶Gestione delle infrastrutture ferroviarie

̶Trasporto ferroviario

EE

̶Gestore dell'infrastruttura ferroviaria

̶Servizio di trasporto ferroviario

EL

̶Gestione dell'infrastruttura ferroviaria

̶Servizi di trasporto ferroviario

ES

̶Gestione del servizio ferroviario

̶Gestione del trasporto ferroviario

̶Servizi della rete ferroviaria

̶Gestione delle informazioni e delle telecomunicazioni ferroviarie

FI

̶Gestione delle infrastrutture statali

̶Servizi di gestione del traffico

FR

̶Servizi di trasporto ferroviario

̶Controllo e gestione del traffico ferroviario

̶Manutenzione delle infrastrutture

̶Merci e materiali pericolosi

̶Trasporto di passeggeri

̶Manutenzione del materiale rotabile

̶Metro, tram e altri servizi di metropolitana leggera (compresi i servizi di metropolitana)

HR

̶Gestione e manutenzione dell'infrastruttura ferroviaria, compreso il sottosistema di gestione del traffico e controllo-comando e segnalazione

̶Servizi di trasporto ferroviario per merci e/o passeggeri

̶Gestione delle strutture di servizio ed erogazione di servizi presso le strutture di servizio

̶Erogazione di servizi supplementari necessari per il trasporto ferroviario di merci o passeggeri

HU

Nessuna identificazione per questo sottosettore

IE

̶Gestori dell'infrastruttura

̶Imprese ferroviarie

IT

Nessuna identificazione per questo sottosettore

LT

̶Trasporto di passeggeri e bagagli tramite servizio ferroviario

̶Servizio di trasporto ferroviario di merci

̶Sviluppo di infrastrutture ferroviarie, servizio di gestione e manutenzione

LU

̶Gestione delle infrastrutture ferroviarie

̶Trasporto ferroviario di merci e passeggeri

LV

N/A

MT

N/A

NL

Nessuna identificazione per questo sottosettore

PL

̶Preparazione degli orari dei treni

̶Trasporto ferroviario di passeggeri

̶Trasporto ferroviario di merci

PT

̶Gestori dell'infrastruttura quali definiti all'articolo 3, punto 2, della direttiva 2012/34/UE del Parlamento europeo e del Consiglio.

̶Imprese ferroviarie quali definite all'articolo 3, punto 1, della direttiva 2012/34/UE, compresi gli operatori degli impianti di servizio quali definiti all'articolo 3, punto 12, della direttiva 2012/34/UE.

RO

̶Controllo e gestione del traffico

̶Trasporto merci

̶Trasporto di merci pericolose

̶Trasporto di passeggeri

̶Metro, tram e altri servizi di metropolitana leggera

̶Manutenzione dell'infrastruttura ferroviaria

̶Manutenzione del materiale rotabile

SE

̶Gestione delle infrastrutture

̶Trasporto PAX

̶Trasporto merci

SI

̶Trasporto ferroviario di passeggeri, interurbano

̶Trasporto ferroviario di merci

̶Attività di servizio connesse al trasporto via terra (gestione di stazioni ferroviarie ecc.)

SK

̶Operatori di infrastrutture

̶Imprese ferroviarie

UK

̶Servizi di trasporto ferroviario

̶Servizi ferroviari ad alta velocità

̶Metro, tram e altri servizi di metropolitana leggera (compresi i servizi di metropolitana)

̶Servizi ferroviari internazionali

(1)

GU L 194 del 19.7.2016, pag. 1.

(2)

Nel settembre del 2019, tutti e 28 gli Stati membri hanno notificato il pieno recepimento.

(3)

 Comunicazione della Commissione al Parlamento europeo e al Consiglio: Sfruttare al meglio le reti e i sistemi informativi – verso l'efficace attuazione della direttiva (UE) 2016/1148 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, COM(2017) 476.

(4)

Il gruppo di cooperazione NIS, composto da Stati membri, Commissione ed ENISA (agenzia dell'Unione europea per la cibersicurezza), ha dato vita a un filone di attività distinto con l'obiettivo di consentire lo scambio di informazioni e delle migliori prassi sull'identificazione degli operatori di servizi essenziali tra gli Stati membri.

(5)

Ad esempio, nel maggio del 2017, al virus denominato WannaCry, un worm di tipologia ransomware, è bastato un solo giorno per diffondersi in oltre 150 paesi e infettare, secondo le stime, 200 000 computer.

(6)

Secondo il gruppo di cooperazione NIS, l'apertura del mercato interno per i servizi può portare a "rischi e dipendenze transfrontalieri che incidono in maniera fondamentale sulla disponibilità, l'integrità e la riservatezza di tali servizi".

(7)

Ai sensi dell'articolo 10, paragrafo 3, della direttiva NIS, gli Stati membri devono trasmettere ogni anno al gruppo di cooperazione una relazione di sintesi delle notifiche di incidenti ricevute.

(8)

Esempi di fattori intersettoriali sono il numero di utenti che dipendono da un servizio o la quota di mercato di un soggetto. Esempi di fattori settoriali sono il numero di sistemi autonomi collegati a un punto di interscambio internet (IXP) o il numero di transazioni annue di un ente finanziario.

(9)

Austria, Belgio, Grecia, Romania, Slovenia e Ungheria.

(10)

Direttiva 2008/114/CE del Consiglio, dell' 8 dicembre 2008, relativa all'individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione (GU L 345 del 23.12.2008, pag. 75). L'obiettivo della direttiva è rafforzare la protezione di infrastrutture critiche nei settori dell'energia e dei trasporti.

(11)

I punti dati identici sono tracciati uno sopra l'altro. Questo è il motivo per cui non tutti i 28 punti dati sono visibili sui grafici. Ad esempio, 17 Stati membri hanno identificato esattamente tre servizi essenziali nel contesto delle infrastrutture digitali.

(12)

Ad esempio, uno Stato membro ha utilizzato sette fattori (quattro cosiddetti "fattori dipendenti dall'operatore" e tre "fattori dipendenti dall'impatto") che vanno ad alimentare un'unica formula. Se il valore finale del calcolo supera una determinata soglia, l'operatore in questione viene riconosciuto come un operatore di servizi essenziali.

(13)

Il settore della logistica non è contemplato dall'allegato II della direttiva NIS.

(14)

I punti dati identici sono tracciati uno sopra l'altro. Questo è il motivo per cui non tutti i 25 punti dati sono visibili sui grafici. Ad esempio tanto la Danimarca quanto i Paesi Bassi hanno identificato 0,35 operatori di servizi essenziali per 1 000 000 abitanti per il sottosettore del trasporto aereo.

(15)

 Identification of Operators of Essential Services – Reference document on modalities of the consultation process in cases with cross-border impact [Identificazione degli operatori di servizi essenziali - Documento di riferimento sulle modalità del processo di consultazione nei casi aventi impatto transfrontaliero], pubblicazione del gruppo di cooperazione, luglio 2018.

(16)

Direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (GU L 108 del 24.4.2002, pag. 33).

(17)

I filoni di attività in materia di energia e infrastrutture digitali sono stati creati a giugno del 2018 e a luglio del 2019.

(18)

In ragione della metodologia di identificazione della Finlandia, nel settore sanitario è stato identificato un numero molto elevato di operatori di servizi essenziali.