(1)

In quanto fornitori di servizi essenziali, i soggetti critici svolgono un ruolo indispensabile per il mantenimento di funzioni vitali della società o di attività economiche nel mercato interno in un’economia dell’Unione sempre più interdipendente. È pertanto essenziale definire un quadro a livello dell’Unione volto sia a rafforzare la resilienza dei soggetti critici nel mercato interno, stabilendo norme minime armonizzate, sia ad assistere tali soggetti mediante misure di sostegno e vigilanza coerenti e dedicate.

(2)

La direttiva 2008/114/CE del Consiglio (4) stabilisce una procedura di designazione delle infrastrutture critiche europee nei settori dell’energia e dei trasporti, il cui danneggiamento o la cui distruzione avrebbe un significativo impatto transfrontaliero su almeno due Stati membri. Tale direttiva si incentra esclusivamente sulla protezione di tali infrastrutture. La valutazione di tale direttiva, svolta nel 2019, ha riscontrato tuttavia che, dato il carattere sempre più interconnesso e transfrontaliero delle operazioni effettuate utilizzando infrastrutture critiche, le misure di protezione riguardanti solo singole strutture non sono sufficienti per evitare il verificarsi di perturbazioni. È quindi necessario modificare l’approccio applicato per garantire che si tenga maggiormente conto dei rischi, che il ruolo e i compiti dei soggetti critici quali fornitori di servizi essenziali per il funzionamento del mercato interno siano meglio definiti e coerenti, e che siano adottate norme a livello dell’Unione per rafforzare la resilienza di tali soggetti. I soggetti critici dovrebbero essere in grado di rafforzare la loro capacità di prevenire, proteggere, rispondere, resistere, mitigare, assorbire, adattarsi e ripristinare le proprie capacità operative a seguito di incidenti che possono perturbare la fornitura di servizi essenziali.

(3)

Sebbene una serie di misure esistenti a livello dell’Unione, quali il Programma europeo per la protezione delle infrastrutture critiche, e a livello nazionale miri a sostenere la protezione delle infrastrutture critiche nell’Unione, si dovrebbe fare di più affinché i soggetti che gestiscono tali infrastrutture siano meglio preparati ad affrontare i rischi per la loro operatività, che potrebbero portare alla perturbazione della fornitura di servizi essenziali. Si dovrebbe fare di più affinché i soggetti che gestiscono tali infrastrutture siano meglio preparati a un panorama delle sfide dinamico, che comprende minacce ibride e terroristiche in evoluzione e crescenti interdipendenze fra infrastruttura e settori. Inoltre, vi è un aumento del rischio fisico dovuto alle catastrofi naturali e ai cambiamenti climatici, che intensifica la frequenza e la portata degli eventi meteorologici estremi e comporta cambiamenti a lungo termine delle condizioni climatiche medie che possono ridurre la capacità, l’efficienza e la durata operativa di alcuni tipi di infrastrutture se non sono in atto misure di adattamento ai cambiamenti climatici. Inoltre, il mercato interno è caratterizzato da una frammentazione per quanto riguarda l’individuazione dei soggetti critici, in quanto i settori e le categorie di soggetti rilevanti non sono riconosciuti come critici in modo coerente in tutti gli Stati membri. La presente direttiva dovrebbe pertanto raggiungere un solido livello di armonizzazione in termini di settori e categorie di soggetti che rientrano nel suo ambito di applicazione.

(4)

Determinati settori dell’economia, come l’energia e i trasporti, sono già regolamentati da atti giuridici settoriali dell’Unione, ma tali atti giuridici dell’Unione disciplinano unicamente determinati aspetti della resilienza dei soggetti che operano nell’ambito di tali settori. Per affrontare in modo globale la resilienza dei soggetti critici ai fini del corretto funzionamento del mercato interno, la presente direttiva crea un quadro generale per affrontare la resilienza dei soggetti critici rispetto a tutti i rischi, naturali e di origine umana, accidentali e intenzionali.

(5)

Le crescenti interdipendenze tra infrastruttura e settori sono il risultato di una rete di fornitura di servizi sempre più transfrontaliera e interconnessa, che utilizza infrastrutture essenziali in tutta l’Unione nei settori dell’energia, dei trasporti, bancario, delle acque potabili, delle acque reflue, della produzione, trasformazione e distribuzione di alimenti, della sanità, dello spazio, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, e di determinati aspetti della pubblica amministrazione. Il settore spaziale rientra nell’ambito di applicazione della presente direttiva per quanto riguarda la fornitura di determinati servizi che dipendono da infrastrutture di terra possedute, gestite e utilizzate dagli Stati membri o da soggetti privati, pertanto le infrastrutture possedute, gestite o utilizzate dall’Unione o per suo conto nell’ambito del suo programma spaziale non rientrano nell’ambito di applicazione della presente direttiva.

In riferimento al settore energetico e, in particolare, ai metodi di produzione e trasmissione di energia elettrica (per quanto riguarda la fornitura di energia elettrica), è inteso che, se ritenuto opportuno, la produzione di energia elettrica può includere le componenti delle centrali nucleari destinate alla trasmissione di energia elettrica ma non gli elementi specificamente nucleari disciplinati da trattati e dal diritto dell’Unione, compresi i pertinenti atti giuridici dell’Unione relativi all’energia nucleare. Il processo di identificazione dei soggetti critici nel settore alimentare dovrebbe rispecchiare adeguatamente la natura del mercato interno in tale settore e le disposizioni di dettaglio dell’Unione relative ai principi e ai requisiti generali della normativa alimentare e della sicurezza alimentare. Pertanto, al fine di assicurare che vi sia un approccio proporzionato e rispecchiare adeguatamente il ruolo e l’importanza di tali soggetti a livello nazionale, tali soggetti critici dovrebbero essere identificati solo tra le imprese alimentari, con o senza scopo di lucro, pubbliche o private, che operano esclusivamente nella logistica e nella distribuzione all’ingrosso nonché nella produzione e trasformazione industriale su larga scala e che detengono una quota di mercato significativa a livello nazionale. Tali interdipendenze implicano che qualsiasi perturbazione di servizi essenziali, anche se inizialmente limitata a un soggetto o a un settore, possa avere effetti a cascata più ampi, con potenziali ripercussioni negative di ampia portata e a lungo termine sulla fornitura di servizi in tutto il mercato interno. Gravi crisi, come la pandemia di COVID-19, hanno mostrato la vulnerabilità delle nostre società sempre più interdipendenti di fronte a rischi di bassa probabilità e impatto elevato.

(6)

I soggetti che intervengono nella fornitura di servizi essenziali devono sempre più spesso rispettare requisiti divergenti imposti dal diritto nazionale. Il fatto che alcuni Stati membri prevedano per tali soggetti requisiti di sicurezza meno rigorosi non solo determina diversi livelli di resilienza, ma rischia anche di incidere negativamente sul mantenimento di funzioni vitali della società o di attività economiche nell’Unione e crea altresì ostacoli al corretto funzionamento del mercato interno. Gli investitori e le imprese possono fare affidamento su soggetti critici che sono resilienti e confidare in essi, in quanto l’affidabilità e la fiducia sono pietre angolari di un mercato interno ben funzionante. Tipi di soggetti simili sono considerati critici da alcuni Stati membri ma non da altri, e quelli individuati come critici devono soddisfare requisiti divergenti nei vari Stati membri. Ciò crea oneri amministrativi supplementari e non necessari per le imprese che operano a livello transfrontaliero, in particolare per quelle attive negli Stati membri con requisiti più rigorosi. Un quadro a livello di Unione determinerebbe quindi anche la creazione di condizioni di parità per i soggetti critici in tutta l’Unione.

(7)

È necessario stabilire norme minime armonizzate per garantire la fornitura di servizi essenziali nel mercato interno, aumentare la resilienza dei soggetti critici e migliorare la cooperazione transfrontaliera tra le autorità competenti. È importante che tali norme siano adeguate alle esigenze future in termini di concezione e attuazione, consentendo al contempo la necessaria flessibilità. È altresì fondamentale migliorare la capacità dei soggetti critici di fornire servizi essenziali di fronte a una serie diversificata di rischi.

(8)

Per conseguire un livello elevato di resilienza, gli Stati membri dovrebbero individuare i soggetti critici che saranno tenuti a soddisfare specifici requisiti, che saranno oggetto di vigilanza e che riceveranno anche particolare sostegno e orientamento rispetto a tutti i rischi rilevanti.

(9)

Data l’importanza della cibersicurezza per la resilienza dei soggetti critici e a fini di congruenza, dovrebbe essere assicurato, ogniqualvolta possibile, un approccio coerente fra la presente direttiva e la direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio (5). Alla luce della maggiore frequenza e delle particolari caratteristiche dei rischi informatici, la direttiva (UE) 2022/2555 impone a un’ampia gamma di soggetti requisiti dettagliati per garantire la propria cibersicurezza. Dato che l’aspetto della cibersicurezza è trattato in modo sufficiente da tale direttiva (UE) 2022/2555, le materie da essa disciplinate dovrebbero essere escluse dall’ambito di applicazione della presente direttiva, fermo restando il particolare regime per i soggetti del settore delle infrastrutture digitali.

(10)

Qualora le disposizioni di atti giuridici settoriali dell’Unione impongano ai soggetti critici di adottare misure per rafforzare la propria resilienza o di notificare gli incidenti, e qualora tali requisiti siano riconosciuti dagli Stati membri come almeno equivalenti ai corrispondenti obblighi stabiliti dalla presente direttiva, le pertinenti disposizioni della presente direttiva non dovrebbero applicarsi, in modo da evitare duplicazioni e oneri non necessari. In tal caso dovrebbero applicarsi le pertinenti disposizioni di tali atti giuridici dell’Unione. Qualora non si applichino le pertinenti disposizioni della presente direttiva, non dovrebbero applicarsi nemmeno le disposizioni di cui alla presente direttiva in materia di vigilanza ed esecuzione.

(11)

La presente direttiva non incide sulle competenze degli Stati membri e delle loro autorità in termini di autonomia amministrativa né sulla loro responsabilità di salvaguardare la sicurezza nazionale e la difesa o il loro potere di salvaguardare altre funzioni essenziali dello Stato, in particolare per quanto riguarda la pubblica sicurezza, l’integrità territoriale e il mantenimento dell’ordine pubblico. L’esclusione degli enti della pubblica amministrazione dall’ambito di applicazione della presente direttiva dovrebbe applicarsi a enti le cui attività sono svolte principalmente nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati. Tuttavia gli enti della pubblica amministrazione le cui attività sono connesse solo marginalmente a tali settori dovrebbero continuare a rientrare nell’ambito di applicazione della presente direttiva. Ai fini della presente direttiva, i soggetti con competenze normative non sono considerati quali operanti nel settore dell’attività di contrasto e non sono pertanto esclusi per tali motivi dall’ambito di applicazione della presente direttiva. Gli enti della pubblica amministrazione istituiti congiuntamente con un paese terzo in virtù di un accordo internazionale sono esclusi dall’ambito di applicazione della presente direttiva. La presente direttiva non si applica alle missioni diplomatiche e consolari degli Stati membri nei paesi terzi.

Taluni soggetti critici operano nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati, o forniscono servizi esclusivamente agli enti della pubblica amministrazione che operano principalmente in tali settori. Tenuto conto della responsabilità degli Stati membri di salvaguardare la sicurezza nazionale e la difesa, gli Stati membri dovrebbero poter decidere che gli obblighi stabiliti dalla presente direttiva ai soggetti critici non si applichino in tutto o in parte a tali soggetti critici se i servizi che forniscono o le attività che svolgono sono legati principalmente ai settori della sicurezza nazionale, della pubblica sicurezza, della difesa o dell’attività di contrasto, compresi l’indagine, l’accertamento e il perseguimento di reati. I soggetti critici le cui attività sono connesse solo marginalmente a tali settori dovrebbero continuare a rientrare nell’ambito di applicazione della presente direttiva. Nessuno Stato membro dovrebbe essere tenuto a fornire informazioni la cui divulgazione sia contraria agli interessi essenziali della propria sicurezza nazionale. Sono pertinenti le norme dell’Unione o nazionali per la protezione delle informazioni classificate e gli accordi di riservatezza.

(12)

Al fine di non compromettere la sicurezza nazionale o la sicurezza e gli interessi commerciali dei soggetti critici, l’accesso alle informazioni sensibili nonché il loro scambio e trattamento dovrebbero essere effettuati in modo prudente, con particolare attenzione ai canali di trasmissione e alle capacità di archiviazione utilizzate.

(13)

Per garantire un approccio globale alla resilienza dei soggetti critici, ciascuno Stato membro dovrebbe disporre di una strategia per rafforzare la resilienza dei soggetti critici («strategia»). La strategia dovrebbe stabilire le misure e gli obiettivi strategici da attuare. Ai fini di una maggiore coerenza ed efficienza, la strategia dovrebbe essere concepita in modo da integrare senza soluzione di continuità le politiche esistenti basandosi, ove possibile, su pertinenti strategie a livello nazionale e settoriale, piani o documenti analoghi esistenti. Ai fini della realizzazione di un approccio globale, gli Stati membri dovrebbero provvedere affinché le loro strategie prevedano un quadro strategico per il rafforzamento del coordinamento tra le autorità competenti a norma della presente direttiva e le autorità competenti a norma della direttiva (UE) 2022/2555 nel contesto della condivisione delle informazioni sui rischi di cibersicurezza, sulle minacce e sugli incidenti informatici e sui rischi, minacce e incidenti non informatici e nel contesto dello svolgimento di compiti di vigilanza. Nell’attuare le proprie strategie, gli Stati membri dovrebbero tenere debitamente conto della natura ibrida delle minacce ai soggetti critici.

(14)

Gli Stati membri dovrebbero comunicare alla Commissione le loro strategie e i relativi aggiornamenti sostanziali, in particolare al fine di consentire alla Commissione di valutare la corretta applicazione della presente direttiva per quanto riguarda gli approcci strategici in materia di resilienza dei soggetti critici a livello nazionale. Se necessario, le strategie potrebbero essere comunicate sotto forma di informazioni classificate. La Commissione dovrebbe elaborare una relazione di sintesi delle strategie comunicate dagli Stati membri che funga da base per gli scambi al fine di individuare le migliori prassi e le questioni di interesse comune nel quadro del gruppo per la resilienza dei soggetti critici. Data la natura sensibile delle informazioni aggregate incluse nella relazione di sintesi, siano esse classificate o meno, la Commissione dovrebbe gestire tale relazione di sintesi con un adeguato livello di consapevolezza riguardo alla sicurezza dei soggetti critici, degli Stati membri e dell’Unione. La relazione di sintesi e le strategie dovrebbero essere salvaguardate contro azioni illecite o dolose e dovrebbero essere accessibili solo alle persone autorizzate al fine di conseguire gli obiettivi della presente direttiva. La comunicazione delle strategie e dei loro aggiornamenti sostanziali dovrebbe inoltre servire ad aiutare la Commissione a comprendere gli sviluppi negli approcci alla resilienza dei soggetti critici e contribuire al monitoraggio dell’impatto e del valore aggiunto della presente direttiva, che la Commissione è tenuta a riesaminare periodicamente.

(15)

Le azioni degli Stati membri per individuare i soggetti critici e contribuire a garantirne la resilienza dovrebbero seguire un approccio basato sui rischi incentrato sui soggetti maggiormente rilevanti per lo svolgimento di funzioni vitali della società o di attività economiche. Per garantire un tale approccio mirato, ciascuno Stato membro dovrebbe effettuare, in un quadro armonizzato, una valutazione dei rischi rilevanti, naturali e di origine umana, compresi quelli di natura intersettoriale o transfrontaliera, che potrebbero ripercuotersi negativamente sulla fornitura di servizi essenziali, compresi gli incidenti, le catastrofi naturali, le emergenze di sanità pubblica come le pandemie e le minacce ibride o altre minacce antagoniste, inclusi i reati di terrorismo, le infiltrazioni criminali e il sabotaggio («valutazione del rischio dello Stato membro»). Nell’effettuare tali valutazioni del rischio dello Stato membro, gli Stati membri dovrebbero tenere conto di altre valutazioni del rischio generali o settoriali svolte ai sensi di altri atti giuridici dell’Unione, e dovrebbero prendere in considerazione la misura in cui i settori dipendono l’uno dall’altro, compresi i settori di altri Stati membri e di paesi terzi. I risultati della valutazione del rischio dello Stato membro dovrebbero essere utilizzati ai fini dell’individuazione dei soggetti critici e di aiutare tali soggetti a conformarsi ai rispettivi obblighi in materia di resilienza. La presente direttiva si applica solo agli Stati membri e ai soggetti critici che operano all’interno dell’Unione. Tuttavia, le competenze e le conoscenze generate dalle autorità competenti, in particolare attraverso le valutazioni del rischio, e dalla Commissione, in particolare attraverso varie forme di sostegno e cooperazione, potrebbero essere utilizzate, se del caso e conformemente agli strumenti giuridici applicabili, a beneficio dei paesi terzi, in particolare quelli situati nell’immediato vicinato dell’Unione, alimentando la cooperazione esistente in materia di resilienza.

(16)

Per garantire che tutti i soggetti rilevanti siano soggetti alle prescrizioni in materia di resilienza della presente direttiva e per ridurre le divergenze a tale riguardo, è importante stabilire norme armonizzate che consentano un’individuazione coerente dei soggetti critici in tutta l’Unione, consentendo al tempo stesso agli Stati membri di riflettere adeguatamente il ruolo e l’importanza di tali soggetti a livello nazionale. Nell’applicare i criteri stabiliti nella presente direttiva, ciascun Stato membro dovrebbe individuare i soggetti che forniscono uno o più servizi essenziali e che gestiscono e dispongono di infrastrutture critiche situate nel proprio territorio. Si dovrebbe ritenere che un soggetto operi nel territorio di uno Stato membro in cui svolge le attività necessarie per il servizio o i servizi essenziali in questione e in cui è ubicata l’infrastruttura critica di detto soggetto utilizzata per fornire tale servizio o tali servizi. Qualora in uno Stato membro non esista un soggetto che soddisfi tali criteri, tale Stato membro non dovrebbe avere l’obbligo di individuare un soggetto critico nel settore o sottosettore corrispondente. Ai fini di efficacia, efficienza, coerenza e certezza del diritto, dovrebbero essere stabilite norme adeguate in materia di notifica ai soggetti individuati come critici.

(17)

Gli Stati membri dovrebbero trasmettere alla Commissione, in modo da conseguire gli obiettivi della presente direttiva, un elenco dei servizi essenziali, il numero di soggetti critici individuati per ciascuno dei settori e sottosettori di cui all’allegato e per il servizio o i servizi essenziali che ogni soggetto fornisce e, se applicate, le soglie. Dovrebbe essere possibile presentare le soglie come tali o in forma aggregata, il che significa che le informazioni possono essere comunicate nei valori medi per area geografica, per anno, per settore, per sottosettore, o con altri mezzi, e possono includere informazioni sulla gamma degli indicatori forniti.

(18)

Dovrebbero essere stabiliti criteri per determinare la rilevanza degli effetti negativi prodotti da un incidente. Tali criteri dovrebbero basarsi su quelli di cui alla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio (6) per sfruttare al meglio gli sforzi compiuti dagli Stati membri per individuare gli operatori dei servizi essenziali di cui a tale direttiva e per trarre insegnamento dall’esperienza acquisita in materia. Gravi crisi, come la pandemia di COVID-19, hanno dimostrato l’importanza di garantire la sicurezza della catena di approvvigionamento e come la sua perturbazione possa avere ripercussioni economiche e sociali negative in un gran numero di settori e a livello transfrontaliero. Pertanto, nel determinare la misura in cui altri settori e sottosettori dipendono dai servizi essenziali forniti da un soggetto critico, gli Stati membri dovrebbero tenere conto, per quanto possibile, anche degli effetti sulla catena di approvvigionamento.

(19)

Conformemente al diritto dell’Unione e nazionale applicabile, compreso il regolamento (UE) 2019/452 del Parlamento europeo e del Consiglio (7) che istituisce un quadro per il controllo degli investimenti esteri diretti nell’Unione, occorre prendere atto della potenziale minaccia rappresentata dalla proprietà estera di infrastrutture critiche all’interno dell’Unione, poiché dal corretto funzionamento delle infrastrutture critiche dipendono i servizi, l’economia, la libera circolazione e la sicurezza dei cittadini dell’Unione.

(20)

La direttiva (UE) 2022/2555 impone ai soggetti che appartengono al settore delle infrastrutture digitali, che potrebbero essere considerati soggetti critici ai sensi della presente direttiva, di adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete e per notificare incidenti e minacce informatiche significativi. Poiché le minacce alla sicurezza dei sistemi informatici e di rete possono avere origini diverse, la direttiva (UE) 2022/2555 applica un approccio «multirischio» che comprende la resilienza dei sistemi informatici e di rete nonché dei componenti e ambienti fisici di tali sistemi.

Dato che le prescrizioni previste dalla direttiva (UE) 2022/2555 a tale riguardo sono almeno equivalenti ai corrispondenti obblighi previsti dalla presente direttiva, gli obblighi previsti dall’articolo 11 e dai capi III, IV e VI della presente direttiva non dovrebbero applicarsi ai soggetti che appartengono al settore delle infrastrutture digitali al fine di evitare duplicazioni e oneri amministrativi non necessari. Tuttavia, considerata l’importanza dei servizi forniti dai soggetti che appartengono al settore delle infrastrutture digitali ai soggetti critici appartenenti a tutti gli altri settori, gli Stati membri dovrebbero individuare quali critici, in base ai criteri previsti dalla presente direttiva e ricorrendo alla procedura ivi stabilita, i soggetti che appartengono al settore delle infrastrutture digitali. Di conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di sostegno di cui al capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere in vigore disposizioni di diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti critici, a condizione che dette disposizioni siano coerenti con il diritto dell’Unione applicabile.

(21)

Il diritto dell’Unione in materia di servizi finanziari stabilisce per i soggetti finanziari requisiti dettagliati di gestione di tutti i rischi cui sono esposti, compresi i rischi operativi, e di garanzia di continuità operativa. Tale diritto include i regolamenti (UE) n. 648/2012 (8), (UE) n. 575/2013 (9) e (UE) n. 600/2014 (10) del Parlamento europeo e del Consiglio e le direttive 2013/36/UE (11) e 2014/65/UE (12) del Parlamento europeo e del Consiglio. Tale quadro giuridico è integrato dal regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio (13), che stabilisce gli obblighi applicabili ai soggetti finanziari per la gestione dei rischi informatici, anche per quanto riguarda la protezione delle infrastrutture delle tecnologie dell’informazione e della comunicazione fisiche. Dato che la resilienza di tali soggetti è pertanto esaurientemente disciplinata, l’articolo 11 e i capi III, IV e VI della presente direttiva non dovrebbero applicarsi a tali soggetti, al fine di evitare duplicazioni e oneri amministrativi non necessari.

Tuttavia, considerata l’importanza dei servizi forniti dai soggetti del settore finanziario ai soggetti critici appartenenti a tutti gli altri settori, gli Stati membri dovrebbero individuare quali soggetti critici, in base ai criteri previsti dalla presente direttiva e ricorrendo alla procedura ivi stabilita, i soggetti del settore finanziario. Di conseguenza, dovrebbero applicarsi le strategie, le valutazioni del rischio dello Stato membro e le misure di sostegno di cui al capo II della presente direttiva. Gli Stati membri dovrebbero poter adottare o mantenere in vigore disposizioni di diritto interno atte a conseguire un livello di resilienza più elevato per tali soggetti critici, a condizione che tali disposizioni siano coerenti con il diritto dell’Unione applicabile.

(22)

Gli Stati membri dovrebbero designare o istituire le autorità competenti a vigilare sull’applicazione delle norme della presente direttiva e, ove necessario, a farle rispettare, e dovrebbero provvedere affinché tali autorità dispongano di poteri e risorse adeguate. Alla luce delle differenze esistenti tra le strutture amministrative nazionali, al fine di salvaguardare gli accordi settoriali esistenti o gli organismi di vigilanza e di regolamentazione dell’Unione, e al fine di evitare duplicazioni, è opportuno che gli Stati membri abbiano la facoltà di designare o istituire più di un’autorità nazionale competente. Qualora gli Stati membri designino o istituiscano più di un’autorità competente dovrebbero delineare chiaramente i rispettivi compiti delle autorità interessate e garantire fra di esse una cooperazione agevole ed efficace. Tutte le autorità competenti dovrebbero inoltre cooperare in modo più generale con le altre autorità rilevanti, sia a livello dell’Unione sia a livello nazionale.

(23)

Al fine di agevolare la cooperazione e la comunicazione transfrontaliere e per consentire l’efficace attuazione della presente direttiva, ogni Stato membro dovrebbe, ferme restando le prescrizioni degli atti giuridici settoriali dell’Unione, designare un punto di contatto unico incaricato di coordinare le questioni relative alla resilienza dei soggetti critici e la cooperazione transfrontaliera a livello dell’Unione («punto di contatto unico»), ove opportuno all’interno di un’autorità competente. Ciascun punto di contatto unico dovrebbe fungere da collegamento e coordinare le comunicazioni, ove opportuno, con le autorità competenti del proprio Stato membro, con i punti di contatto unici degli altri Stati membri e con il gruppo per la resilienza dei soggetti critici.

(24)

Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 dovrebbero cooperare e scambiarsi informazioni in relazione ai rischi di cibersicurezza, alle minacce e agli incidenti informatici nonché ai rischi, alle minacce e agli incidenti non informatici che hanno ripercussioni sui soggetti critici, così come in relazione alle misure pertinenti adottate dalle autorità competenti ai sensi della presente direttiva e dalle autorità competenti ai sensi della direttiva (UE) 2022/2555 È importante che gli Stati membri provvedano affinché le prescrizioni di cui alla presente direttiva e di cui alla direttiva (UE) 2022/2555 siano attuate in modo complementare e che sui soggetti critici non gravi un onere amministrativo superiore a quanto necessario per conseguire gli obiettivi della presente direttiva e di tale direttiva.

(25)

Gli Stati membri dovrebbero sostenere i soggetti critici, compresi quelli che si qualificano come piccole e medie imprese, nel rafforzamento della loro resilienza, nel rispetto degli obblighi degli Stati membri stabiliti dalla presente direttiva, ferma restando la responsabilità giuridica dei soggetti critici stessi quanto al garantire tale ottemperanza, e nel farlo dovrebbero evitare oneri amministrativi eccessivi. Gli Stati membri potrebbero in particolare sviluppare materiali e metodologie di orientamento, contribuire all’organizzazione di esercitazioni per testare la resilienza dei soggetti critici e fornire consulenza e corsi di formazione per il personale dei soggetti critici. Ove necessario e giustificato da obiettivi di interesse pubblico, gli Stati membri potrebbero fornire risorse finanziarie e dovrebbero agevolare la condivisione volontaria di informazioni e lo scambio di buone prassi fra soggetti critici, ferma restando l’applicazione delle norme in materia di concorrenza stabilite nel trattato sul funzionamento dell’Unione europea (TFUE).

(26)

Al fine di rafforzare la resilienza dei soggetti critici individuati dagli Stati membri e di ridurre gli oneri amministrativi per tali soggetti critici, le autorità competenti dovrebbero consultarsi ogniqualvolta sia opportuno al fine di garantire un’applicazione coerente della presente direttiva. Tali consultazioni dovrebbero essere avviate su richiesta di qualsiasi autorità competente interessata e dovrebbero incentrarsi sulla garanzia di un approccio convergente nei confronti di soggetti critici interconnessi che utilizzano infrastrutture critiche fisicamente collegate tra due o più Stati membri, che appartengono agli stessi gruppi o strutture societarie o che sono stati individuati in uno Stato membro e forniscono servizi essenziali ad altri Stati membri o in altri Stati membri.

(27)

Qualora le disposizioni del diritto dell’Unione o nazionale richiedano ai soggetti critici di valutare i rischi rilevanti ai fini della presente direttiva e di adottare misure per garantire la propria resilienza, tali obblighi dovrebbero essere adeguatamente presi in considerazione ai fini della vigilanza sul rispetto della presente direttiva da parte dei soggetti critici.

(28)

I soggetti critici dovrebbero avere una conoscenza esaustiva dei rischi rilevanti a cui sono esposti e il dovere di analizzarli. A tal fine, dovrebbero effettuare valutazioni del rischio ogniqualvolta necessario date le loro specifiche circostanze e l’evolversi di tali rischi, e in ogni caso ogni quattro anni, al fine di valutare tutti i rischi rilevanti che potrebbero perturbare in modo significativo la fornitura dei loro servizi essenziali («valutazione del rischio dei soggetti critici»). Qualora i soggetti critici abbiano effettuato altre valutazioni del rischio o redatto documenti conformemente agli obblighi previsti da altri atti giuridici pertinenti per la loro valutazione del rischio dei soggetti critici, essi dovrebbero poter utilizzare tali valutazioni e documenti per soddisfare i requisiti di cui alla presente direttiva che riguardano le valutazioni del rischio dei soggetti critici. Un’autorità competente dovrebbe poter dichiarare che una valutazione del rischio esistente effettuata da un soggetto critico che affronta i rischi rilevanti e il relativo grado di dipendenza, è conforme, in tutto o in parte, agli obblighi previsti dalla presente direttiva.

(29)

I soggetti critici dovrebbero adottare misure tecniche, di sicurezza e organizzative adeguate e proporzionate ai rischi cui sono esposti, allo scopo di prevenire gli incidenti, di proteggersi da essi, di darvi risposta, di resistervi, di mitigarli, assorbirli, di adattarvisi e di ripristinare le proprie capacità operative. I soggetti critici dovrebbero adottare tali misure in conformità della presente direttiva, ma i dettagli e la portata di tali misure dovrebbero rispecchiare in modo adeguato e proporzionato i vari rischi che ciascun soggetto critico ha identificato nell’ambito della sua valutazione del rischio del soggetto critico e le specificità del soggetto stesso. Per promuovere un approccio coerente a livello di Unione, la Commissione dovrebbe, previa consultazione del gruppo per la resilienza dei soggetti critici, adottare linee guida non vincolanti per specificare ulteriormente tali misure tecniche, di sicurezza e organizzative. Gli Stati membri dovrebbero provvedere affinché ciascun soggetto critico designi un funzionario di collegamento o equivalente come punto di contatto con le autorità competenti.

(30)

A fini di efficacia e di responsabilizzazione, i soggetti critici dovrebbero descrivere le misure da essi adottate con un livello di dettaglio che consegua sufficientemente gli obiettivi di efficacia e di responsabilizzazione stabiliti, tenuto conto dei rischi individuati, in un piano di resilienza o in uno o più documenti equivalenti a un piano di resilienza, e dovrebbero mettere in pratica tale piano. Qualora un soggetto critico abbia già adottato misure tecniche, di sicurezza e organizzative e redatto documenti conformemente ad altri atti giuridici pertinenti per le misure di rafforzamento della resilienza ai sensi della presente direttiva, esso dovrebbe poter utilizzare tali misure e documenti per soddisfare i requisiti riguardo alle misure di resilienza di cui alla presente direttiva. Al fine di evitare duplicazioni, un’autorità competente dovrebbe poter dichiarare conformi ai requisiti della presente direttiva, in tutto o in parte, misure di resilienza esistenti adottate da un soggetto critico che rispondono ai suoi obblighi di adottare misure tecniche, di sicurezza e organizzative ai sensi della presente direttiva.

(31)

I regolamenti (CE) n. 725/2004 (14) e (CE) n. 300/2008 (15) del Parlamento europeo e del Consiglio e la direttiva 2005/65/CE del Parlamento europeo e del Consiglio (16) stabiliscono requisiti applicabili ai soggetti dei settori del trasporto aereo e marittimo per prevenire incidenti causati da atti illeciti, resistere alle conseguenze di tali incidenti e mitigarle. Se le misure imposte ai sensi della presente direttiva sono più ampie in termini di rischi affrontati e di tipi di misure da prendere, i soggetti critici di tali settori dovrebbero rispecchiare, nel loro piano di resilienza o nei documenti equivalenti, le misure adottate ai sensi di tali altri atti giuridici dell’Unione. I soggetti critici dovrebbero prendere in considerazione anche la direttiva 2008/96/CE del Parlamento europeo e del Consiglio (17) che introduce una valutazione delle strade a livello di rete per la mappatura del rischio di incidenti e un’ispezione di sicurezza stradale mirata per individuare condizioni pericolose, difetti e problemi che aumentano il rischio di incidenti e lesioni, sulla base di sopralluoghi in strade o in tratti di strada esistenti. Assicurare la protezione e la resilienza dei soggetti critici riveste la massima importanza per il settore ferroviario e, nell’attuare le misure di resilienza ai sensi della presente direttiva, i soggetti critici sono incoraggiati a richiamarsi a linee guida non vincolanti e a documenti su buone prassi sviluppati in aree di lavoro settoriali, come la piattaforma per la sicurezza dei passeggeri ferroviari nell’UE istituita dalla decisione della Commissione 2018/C 232/03 (18).

(32)

Il rischio che i dipendenti di soggetti critici o i loro contraenti facciano un uso improprio, ad esempio, dei loro diritti di accesso all’interno dell’organizzazione del soggetto critico per nuocere e provocare danni desta sempre maggiori preoccupazioni. Gli Stati membri dovrebbero pertanto precisare le condizioni in base alle quali i soggetti critici sono autorizzati, in casi debitamente motivati e tenendo conto delle valutazioni del rischio dello Stato membro, a presentare richieste di controlli dei precedenti personali per le persone che rientrano in specifiche categorie del loro personale. È opportuno garantire che le pertinenti autorità valutino le richieste entro un lasso di tempo ragionevole e che le trattino conformemente al diritto e alle procedure nazionali, e al diritto dell’Unione pertinente e applicabile, anche in materia di protezione dei dati personali. Al fine di confermare l’identità di una persona oggetto di un controllo dei precedenti personali, è opportuno che gli Stati membri richiedano un documento di identità come un passaporto, una carta d’identità nazionale o una forma di identificazione digitale, conformemente al diritto applicabile.

I controlli dei precedenti personali dovrebbero includere i registri dei precedenti penali della persona interessata. Gli Stati membri dovrebbero utilizzare il sistema europeo di informazione sui casellari giudiziali conformemente alle procedure stabilite nella decisione quadro 2009/315/GAI del Consiglio (19) e, ove pertinente e applicabile, nel regolamento (UE) 2019/816 del Parlamento europeo e del Consiglio (20) al fine di ottenere informazioni dai registri dei precedenti penali tenuti da altri Stati membri. Se pertinente e applicabile, gli Stati membri potrebbero inoltre basarsi sul sistema d’informazione Schengen di seconda generazione (SIS II) istituito dal regolamento (UE) 2018/1862 del Parlamento europeo e del Consiglio (21), su informazioni di intelligence e su qualsiasi altra informazione oggettiva disponibile che possa essere necessaria per determinare l’idoneità della persona interessata a occupare la funzione in relazione alla quale il soggetto critico ha richiesto un controllo dei precedenti personali.

(33)

È opportuno stabilire un meccanismo per la notifica di determinati incidenti che consenta alle autorità competenti di reagire rapidamente e adeguatamente agli incidenti e di avere un quadro globale dell’impatto, della natura, delle cause e delle possibili conseguenze di un incidente affrontato dai soggetti critici. I soggetti critici dovrebbero notificare senza indebito ritardo alle autorità competenti gli incidenti che perturbano in modo significativo o possono perturbare in modo significativo la fornitura di servizi essenziali. A meno che siano operativamente impossibilitati a farlo, i soggetti critici dovrebbero effettuare una notifica iniziale entro 24 ore dal momento in cui sono venuti a conoscenza di un incidente. La notifica iniziale dovrebbe contenere solo le informazioni strettamente necessarie per informare l’autorità competente dell’incidente e consentire al soggetto critico di chiedere assistenza, se necessario. Tale notifica dovrebbe indicare, ove possibile, la causa presunta dell’incidente. Gli Stati membri dovrebbero garantire che l’obbligo di effettuare tale notifica iniziale non sottragga le risorse del soggetto critico alle attività relative alla gestione degli incidenti, che dovrebbero essere considerate prioritarie. La notifica iniziale dovrebbe essere seguita, se del caso, da una relazione dettagliata entro un mese dall’incidente. La relazione dettagliata dovrebbe integrare la notifica iniziale e fornire un quadro più completo dell’incidente.

(34)

È opportuno che la normazione resti un processo essenzialmente guidato dal mercato. Potrebbero tuttavia sussistere situazioni in cui è opportuno richiedere l’osservanza di determinate norme. È opportuno che gli Stati membri incoraggino, se utile, l’utilizzo di norme e specifiche tecniche europee e internazionali riguardanti le misure sulla sicurezza e le misure sulla resilienza applicabili ai soggetti critici.

(35)

Mentre i soggetti critici, in generale, operano in una rete sempre più interconnessa di fornitura di servizi e di infrastrutture e spesso erogano servizi essenziali in più di uno Stato membro, alcuni di tali soggetti critici sono di particolare rilevanza per l’Unione e per il mercato interno poiché forniscono servizi essenziali a o in sei o più Stati membri, e potrebbero perciò beneficiare di un sostegno specifico a livello dell’Unione. Dovrebbero pertanto essere definite le norme riguardanti le missioni di consulenza a favore di tali soggetti critici di particolare rilevanza europea. Tali norme non pregiudicano le disposizioni sulla vigilanza e sull’esecuzione di cui alla presente direttiva.

(36)

Su richiesta motivata della Commissione o di uno o più Stati membri a cui o in cui è fornito il servizio essenziale, qualora sia necessario disporre di ulteriori informazioni per poter consigliare un soggetto critico quanto all’adempimento degli obblighi stabiliti dalla presente direttiva o per poter valutare il rispetto di tali obblighi da parte di un soggetto critico di particolare rilevanza europea, lo Stato membro che ha individuato un soggetto critico di particolare rilevanza europea come soggetto critico dovrebbe fornire alla Commissione determinate informazioni di cui alla presente direttiva. In accordo con lo Stato membro che ha individuato il soggetto critico di particolare rilevanza europea come soggetto critico, la Commissione dovrebbe poter organizzare una missione di consulenza per valutare le misure predisposte da tale soggetto. Per garantire che tali missioni di consulenza siano effettuate correttamente dovrebbero essere stabilite disposizioni complementari, in particolare sull’organizzazione e sullo svolgimento delle missioni di consulenza, sul seguito da dare e sugli obblighi dei soggetti critici di particolare rilevanza europea interessati. Fermo restando il dovere, per lo Stato membro in cui si svolge la missione di consulenza e per il soggetto critico interessato, di rispettare le disposizioni stabilite dalla presente direttiva, la missione di consulenza dovrebbe essere condotta in ottemperanza delle specifiche norme della legislazione di tale Stato membro, ad esempio sulle precise condizioni da soddisfare per ottenere l’accesso ai locali o ai documenti rilevanti e sul ricorso giurisdizionale. Le specifiche competenze necessarie per tali missioni di consulenza potrebbero, se del caso, essere chieste tramite il centro di coordinamento della risposta alle emergenze istituito dalla decisione n. 1313/2013/UE del Parlamento europeo e del Consiglio (22).

(37)

Per sostenere la Commissione e agevolare la cooperazione tra gli Stati membri e lo scambio di informazioni, comprese le migliori prassi, su questioni relative alla presente direttiva, dovrebbe essere istituito un gruppo per la resilienza dei soggetti critici come gruppo di esperti della Commissione. Gli Stati membri dovrebbero adoperarsi per garantire che i rappresentanti designati delle loro autorità competenti nel gruppo per la resilienza dei soggetti critici cooperino in modo efficace ed efficiente, anche designando rappresentanti in possesso, se del caso, di un nulla osta di sicurezza. Il gruppo per la resilienza dei soggetti critici dovrebbe cominciare a espletare le sue funzioni il più rapidamente possibile, in modo da fornire strumenti supplementari per una cooperazione adeguata durante il periodo di recepimento della direttiva, e dovrebbe interagire con altri pertinenti gruppi di lavoro di esperti settoriali.

(38)

Il gruppo per la resilienza dei soggetti critici dovrebbe cooperare con il gruppo di cooperazione istituito ai sensi della direttiva (UE) 2022/2555 al fine di sostenere un quadro globale per la resilienza informatica e non informatica dei soggetti critici. Il gruppo per la resilienza dei soggetti critici e il gruppo di cooperazione istituito ai sensi della direttiva (UE) 2022/2555 dovrebbero avviare un dialogo regolare volto a promuovere la cooperazione tra le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 e ad agevolare lo scambio di informazioni, in particolare su temi rilevanti per entrambi i gruppi.

(39)

Per conseguire gli obiettivi della presente direttiva, e ferma restando la responsabilità giuridica degli Stati membri e dei soggetti critici quanto al garantire l’ottemperanza ai rispettivi obblighi ivi stabiliti, la Commissione dovrebbe, ove lo ritenga opportuno, sostenere le autorità competenti e i soggetti critici allo scopo di agevolare l’adempimento dei loro rispettivi obblighi. Nel fornire sostegno agli Stati membri e ai soggetti critici nell’attuazione degli obblighi stabiliti dalla presente direttiva la Commissione dovrebbe basarsi sulle strutture e sugli strumenti esistenti, come quelli previsti dal meccanismo di protezione civile dell’Unione, istituito dalla decisione n. 1313/2013/UE, e dalla rete europea di riferimento per la protezione delle infrastrutture critiche. Dovrebbe inoltre informare gli Stati membri in merito alle risorse disponibili a livello dell’Unione, ad esempio nell’ambito del Fondo Sicurezza interna, istituito dal regolamento (UE) 2021/1149 del Parlamento europeo e del Consiglio (23), di Orizzonte Europa, istituito dal regolamento (UE) 2021/695 del Parlamento europeo e del Consiglio (24), o di altri strumenti pertinenti per la resilienza dei soggetti critici.

(40)

Gli Stati membri dovrebbero provvedere affinché le loro autorità competenti dispongano di certi poteri specifici per la corretta applicazione ed esecuzione della presente direttiva nei confronti dei soggetti critici, qualora tali soggetti rientrino nella loro giurisdizione come specificato nella direttiva. Tali poteri dovrebbero includere, in particolare, il potere di effettuare ispezioni e controlli, il potere di vigilanza, il potere di richiedere ai soggetti critici di fornire informazioni e prove riguardanti le misure adottate per adempiere ai loro obblighi e, ove necessario, il potere di emettere provvedimenti per porre rimedio alle violazioni riscontrate. Nell’emettere tali provvedimenti, gli Stati membri non dovrebbero imporre misure che vadano oltre quanto necessario e proporzionato per garantire l’adempimento degli obblighi da parte dei soggetti critici interessati, tenendo conto in particolare della gravità della violazione e della capacità economica del soggetto critico interessato. Più in generale, tali poteri dovrebbero essere accompagnati da garanzie adeguate ed efficaci da specificarsi nella normativa nazionale conformemente alla Carta dei diritti fondamentali dell’Unione europea. Nel valutare l’ottemperanza di un soggetto critico agli obblighi stabiliti dalla presente direttiva, le autorità competenti ai sensi della presente direttiva dovrebbero poter chiedere alle autorità competenti a norma della direttiva (UE) 2022/2555 di esercitare i propri poteri di vigilanza e di esecuzione nei confronti di un soggetto di cui a tale direttiva individuato come soggetto critico a norma della presente direttiva. Le autorità competenti ai sensi della presente direttiva e le autorità competenti ai sensi della direttiva (UE) 2022/2555 dovrebbero cooperare e scambiarsi informazioni a tal fine.

(41)

Al fine di applicare la presente direttiva in modo efficace e coerente, è opportuno delegare alla Commissione il potere di adottare atti conformemente all’articolo 290 TFUE per integrare la presente direttiva mediante l’elaborazione di un elenco di servizi essenziali. Tale elenco dovrebbe essere utilizzato dalle autorità competenti per effettuare le valutazioni del rischio dello Stato membro e individuare i soggetti critici ai sensi della presente direttiva. Alla luce dell’approccio di armonizzazione minima della presente direttiva, tale elenco non è esaustivo e gli Stati membri potrebbero integrarlo con ulteriori servizi essenziali a livello nazionale al fine di tenere conto delle specificità nazionali nella fornitura di servizi essenziali. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell’accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (25). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(42)

È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione della presente direttiva. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio (26).

(43)

Poiché gli obiettivi della presente direttiva, vale a dire garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche siano forniti senza impedimenti nel mercato interno ed aumentare la resilienza dei soggetti critici che forniscono tali servizi, non possono essere conseguiti in misura sufficiente dagli Stati membri ma, a motivo degli effetti dell’azione, possono essere conseguiti meglio a livello di Unione, quest’ultima può intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione europea. La presente direttiva si limita a quanto è necessario per conseguire tali obiettivi in ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

(44)

Conformemente all’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, (27) il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere l’11 agosto 2021.

(45)

La direttiva 2008/114/CE dovrebbe pertanto essere abrogata,