COMMISSIONE EUROPEA
Bruxelles, 30.5.2016
COM(2016) 363 final
2013/0027(COD)
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO
a norma dell'articolo 294, paragrafo 6, del trattato sul funzionamento
dell'Unione europea
riguardante la
posizione del Consiglio sull'adozione di una direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
(Testo rilevante ai fini del SEE)
2013/0027 (COD)
COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO
a norma dell'articolo 294, paragrafo 6, del trattato sul funzionamento
dell'Unione europea
riguardante la
posizione del Consiglio sull'adozione di una direttiva del Parlamento europeo e del Consiglio recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
(Testo rilevante ai fini del SEE)
1.Contesto
|
Data di trasmissione della proposta al Parlamento europeo e al Consiglio (COM (2013) 48 final – 2013/0027 (COD)):
|
7.2.2013
|
|
Data del parere del Comitato economico e sociale europeo:
|
22.5.2013
|
|
Data della posizione del Parlamento europeo in prima lettura:
|
13.3.2014
|
|
Data di adozione della posizione del Consiglio:
|
17.5.2016
|
2.Finalità della proposta della Commissione
In primo luogo, la proposta chiede agli Stati membri di garantire la disponibilità di capacità minime a livello nazionale, mediante:
l'istituzione di autorità competenti per la sicurezza delle reti e dell'informazione (SRI);
l'istituzione di gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT);
l'adozione di strategie nazionali e di piani di collaborazione nazionali in materia di SRI.
In secondo luogo, le competenti autorità nazionali sono chiamate a collaborare in rete per garantire un coordinamento sicuro ed effettivo, che comprende lo scambio coordinato di informazioni e attività di individuazione e risposta a livello dell'UE. Gli Stati membri sono chiamati a scambiarsi informazioni attraverso tale rete e a collaborare per contrastare le minacce e gli incidenti a carico della sicurezza delle reti e dell'informazione in base a un piano europeo di collaborazione in materia di SRI. Per garantire che tutte le pertinenti autorità siano coinvolte debitamente e tempestivamente, la proposta richiede inoltre che le autorità di contrasto ricevano la notifica di incidenti di natura dolosa e che l'Europol sia coinvolta nei meccanismi di coordinamento a livello dell'UE.
In terzo luogo, rifacendosi al modello della direttiva quadro sulle comunicazioni elettroniche, la proposta mira a garantire lo sviluppo di una cultura della gestione dei rischi e dello scambio di informazioni tra i settori pubblico e privato. Alle imprese attive in settori critici specifici e alle pubbliche amministrazioni sarà chiesto di valutare i rischi che corrono e di adottare misure adeguate e proporzionate per garantire la sicurezza delle reti e dell'informazione. Questi soggetti dovranno segnalare alle autorità competenti gli incidenti che compromettono gravemente le loro reti e sistemi informativi e che incidono significativamente sulla continuità di servizi critici e sulla fornitura di beni.
3.Osservazioni sulla posizione del Consiglio
Nel complesso la posizione del Consiglio approva gli obiettivi principali della proposta della Commissione, ossia garantire un livello comune elevato di sicurezza delle reti e dei sistemi informativi. Il Consiglio apporta tuttavia alcune modifiche relative alle modalità per conseguire tale obiettivo.
Capacità nazionali in materia di cibersicurezza
Ai termini della posizione del Consiglio gli Stati membri dovranno adottare una strategia nazionale in materia di SRI per fissare gli obiettivi strategici e le misure strategiche e regolamentari adeguate ai fini della cibersicurezza. Gli Stati membri dovranno inoltre designare un'autorità nazionale competente per l'attuazione e l'applicazione della direttiva nonché i gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) responsabili del trattamento degli incidenti e dei rischi.
Anche se la posizione del Consiglio non impone agli Stati membri di adottare un piano nazionale di collaborazione in materia di SRI, come previsto dalla proposta originaria, la posizione può essere approvata in quanto alcuni aspetti del piano di collaborazione sono inseriti nella disposizione relativa alla strategia in materia di SRI.
Collaborazione fra gli Stati membri
Ai termini della posizione del Consiglio la direttiva istituirà un gruppo di collaborazione composto da rappresentanti degli Stati membri, della Commissione e dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), al fine di sostenere e agevolare la collaborazione strategica e lo scambio di informazioni fra gli Stati membri. La direttiva istituirà inoltre una rete di gruppi di intervento per la sicurezza informatica in caso di incidente, denominata rete CSIRT, per promuovere una collaborazione operativa rapida ed efficace in merito a specifici incidenti attinenti alla cibersicurezza e per scambiare informazioni sui rischi.
Anche se sostanzialmente diversa dall'approccio seguito nella proposta originaria, la posizione del Consiglio può essere approvata poiché corrisponde nel complesso all'obiettivo di migliorare la collaborazione fra Stati membri.
Obblighi in materia di sicurezza e notifica facenti capo agli operatori di servizi essenziali
Ai termini della posizione del Consiglio, gli "operatori di servizi essenziali" (corrispondenti agli "operatori di infrastrutture critiche" della proposta originaria) dovranno adottare le apposite misure di sicurezza e notificare gli incidenti gravi alla competente autorità nazionale. Il Consiglio tuttavia non ha approvato l'obbligo che le autorità nazionali competenti notifichino alle autorità di contrasto gli incidenti di natura dolosa.
Secondo la proposta originaria la posizione del Consiglio interessa gli operatori dei settori dell'energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari e della sanità. La posizione del Consiglio comprende tuttavia anche i settori dell'acqua e delle infrastrutture digitali.
Gli Stati membri dovranno identificare tali operatori in base a determinati criteri, quali l'essenzialità del servizio ai fini del mantenimento delle attività fondamentali per la società o l'economia. Anche se tale processo di identificazione non figurava nella proposta originaria, esso può essere accettato, considerato l'obbligo facente capo agli Stati membri di presentare alla Commissione le informazioni di cui questa ha bisogno per valutare se gli Stati membri stiano seguendo metodi coerenti per identificare gli operatori dei servizi essenziali.
Le amministrazioni pubbliche in quanto tali non sono incluse della posizione del Consiglio. Tuttavia, se soddisfano i criteri di cui all'articolo 5, esse dovranno essere identificare dagli Stati membri in quanto operatori di servizi essenziali, poiché tali operatori possono essere pubblici o privati.
Obblighi in materia di sicurezza e notifica facenti capo ai fornitori di servizi digitali
Ai termini della posizione del Consiglio, gli Stati membri dovranno garantire che i fornitori di servizi digitali adottino le misure di sicurezza necessarie e notifichino gli incidenti all'autorità competente. La posizione del Consiglio riguarda i mercati digitali (corrispondenti alle "piattaforme di commercio elettronico" della proposta originaria), i servizi nella nuvola e i motori di ricerca. Rispetto alla proposta originaria, la posizione del Consiglio non comprende:
i portali di pagamento su internet, ora disciplinati dalla direttiva rivista sui servizi di pagamento;
i negozi online di applicazioni, ora considerati una tipologia di mercati digitali;
le reti sociali, ai sensi dell'accordo politico fra il Consiglio e il Parlamento europeo.
Ai termini della posizione del Consiglio, alla Commissione sono stati conferiti poteri di esecuzione onde stabilire gli accordi procedurali necessari al funzionamento del gruppo di collaborazione e specificare ulteriormente alcuni elementi relativi ai fornitori di servizi digitali, fra cui i formati e le procedure a questi applicabili in materia di obblighi di notifica.
La Commissione approva gli esiti illustrati supra.
In seguito alle discussioni trilaterali svoltesi il 14 ottobre 2014, l'11 novembre 2014, il 30 aprile 2015, il 29 giugno 2015, il 17 novembre 2015 e il 7 dicembre 2015, il Parlamento e il Consiglio hanno raggiunto un accordo politico provvisorio sul testo.
Tale accordo politico è stato confermato dal Consiglio il 18 dicembre 2015. Il 17 maggio 2016 il Consiglio ha adottato la posizione in prima lettura.
4.Conclusione
La Commissione approva i risultati dei negoziati interistituzionali e può pertanto accettare la posizione del Consiglio in prima lettura.