19.9.2017

Gazzetta ufficiale dell'Unione europea

L 239/9

REGOLAMENTO DI ESECUZIONE (UE) 2017/1578 DELLA COMMISSIONE

del 18 settembre 2017

che modifica il regolamento di esecuzione (UE) n. 1194/2013 che istituisce un dazio antidumping definitivo e dispone la riscossione definitiva del dazio provvisorio istituito sulle importazioni di biodiesel originario di Argentina e Indonesia

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea,

visto il regolamento (UE) n. 2015/476 del Parlamento europeo e del Consiglio, dell'11 marzo 2015, relativo ai provvedimenti che l'Unione può prendere facendo seguito a una relazione adottata dall'organo di conciliazione dell'OMC (DSB) in materia di misure antidumping e antisovvenzioni (1) («il regolamento di abilitazione dell'OMC»), in particolare gli articoli 1 e 2,

considerando quanto segue:

1. MISURE IN VIGORE

(1)	Il Consiglio ha istituito, con il regolamento di esecuzione (UE) n. 1194/2013, del 19 novembre 2013, un dazio antidumping definitivo sulle importazioni di biodiesel originario di Argentina e Indonesia («il regolamento definitivo») (2).

2. RELAZIONI ADOTTATE DALL'ORGANO DI CONCILIAZIONE DELL'OMC

(2)

Il 26 ottobre 2016 l'organo di conciliazione («DSB») dell'Organizzazione mondiale del commercio («OMC») ha adottato la relazione dell'organo di appello (3) e la relazione del panel (4), come modificata dalla relazione dell'organo di appello («le relazioni»), nella controversia «Unione europea — misure antidumping sul biodiesel originario dell'Argentina» (WT/DS473/15). Il DSB ha affermato che la relazione del panel doveva essere letta in combinato disposto con la relazione dell'organo di appello. Nella relazione dell'organo di appello è stato rilevato, tra l'altro, che l'Unione europea aveva agito in contrasto con:

—	l'articolo 2, paragrafo 2, comma 1.1, dell'accordo antidumping dell'OMC («AAD»), in quanto il costo di produzione del prodotto in esame non era stato calcolato sulla base dei documenti contabili tenuti dai produttori,

—	l'articolo 2, paragrafo 2, dell'AAD e l'articolo VI, paragrafo 1, lettera b), punto ii), del GATT 1994, in quanto ai fini della costruzione del valore normale del biodiesel non era stato utilizzato il costo di produzione in Argentina, e

—	l'articolo 9, paragrafo 3, dell'AAD e l'articolo VI, paragrafo 2, del GATT 1994, in quanto erano stati istituiti dazi antidumping superiori rispetto al margine di dumping che avrebbe dovuto essere stabilito a norma dell'articolo 2 dell'AAD e dell'articolo VI, paragrafo 1, del GATT 1994.

(3)

Nella relazione del panel è stato inoltre rilevato, tra l'altro, che l'Unione europea aveva agito in contrasto con:

—	l'articolo 3, paragrafi 1 e 4, dell'AAD nell'esaminare l'incidenza delle importazioni oggetto di dumping sull'industria nazionale, nella misura in cui detto esame aveva riguardato la capacità di produzione e l'utilizzazione degli impianti.

(4)	L'organo di appello ha raccomandato al DSB di chiedere all'Unione europea di allineare le sue misure all'AAD e al GATT 1994.

3. PROCEDURA

(5)

Il 20 dicembre 2016, a norma dell'articolo 1, paragrafo 3, del regolamento di abilitazione dell'OMC, la Commissione europea («la Commissione») ha avviato un riesame («il riesame») mediante la pubblicazione di un avviso (5) nella Gazzetta ufficiale dell'Unione europea («l'avviso di apertura»). La Commissione ha informato le parti interessate nel quadro dell'inchiesta sfociata nel regolamento di esecuzione (UE) n. 1194/2013 («l'inchiesta iniziale») in merito al riesame e al modo in cui la Commissione intendeva tener conto delle conclusioni delle relazioni.

(6)	Alle parti interessate è stata offerta la possibilità di formulare osservazioni riguardo all'apertura dell'inchiesta di riesame e di chiedere un'audizione presso la Commissione e/o il consigliere-auditore nei procedimenti in materia commerciale.

(7)	La Commissione ha inviato un questionario concernente i dati relativi alla produzione e alla capacità di produzione dell'industria dell'Unione allo European Biodiesel Board («EBB») e successivamente ha effettuato visite di verifica presso la sua sede.

4. PRODOTTO IN ESAME

(8)

Il prodotto in esame è costituito da esteri monoalchilici di acidi grassi e/o da gasoli paraffinici ottenuti mediante sintesi e/o idrotrattamento, di origine non fossile, in forma pura o incorporati in una miscela, originari di Argentina e Indonesia, attualmente classificabili ai codici NC ex 1516 20 98, ex 1518 00 91, ex 1518 00 95, ex 1518 00 99, ex 2710 19 43, ex 2710 19 46, ex 2710 19 47, 2710 20 11, 2710 20 15, 2710 20 17, ex 3824 99 92, 3826 00 10 ed ex 3826 00 90 («prodotto in esame», comunemente noto come «biodiesel»).

(9)	Riguardo al prodotto in esame e al prodotto simile, le relazioni non modificano le conclusioni esposte ai considerando da 16 a 27 del regolamento definitivo.

5. NUOVE CONCLUSIONI RELATIVE AL DUMPING BASATE SULLE RELAZIONI

(10)

Come indicato nell'avviso di apertura, la Commissione ha riesaminato le conclusioni definitive dell'inchiesta iniziale tenendo conto delle raccomandazioni e delle decisioni del DSB. L'esame si è basato sulle informazioni raccolte nel corso dell'inchiesta iniziale e su quelle trasmesse dalle parti interessate dopo la pubblicazione dell'avviso di apertura.

(11)

L'inchiesta iniziale relativa al dumping e al pregiudizio ha riguardato il periodo tra il 1o luglio 2011 e il 30 giugno 2012 («il periodo dell'inchiesta» o «PI»). In relazione ai parametri attinenti alla valutazione del pregiudizio, sono stati analizzati i dati relativi al periodo compreso tra il 1o gennaio 2009 e la fine del periodo dell'inchiesta («periodo in esame»).

(12)	Il presente regolamento mira a correggere gli aspetti del regolamento definitivo ritenuti incompatibili con le norme dell'OMC e a renderlo conforme alle relazioni.

5.1. Inclusione dell'Indonesia

(13)

Nell'avviso di apertura, la Commissione ha fatto riferimento alle misure antidumping in vigore sulle importazioni di biodiesel originario dell'Indonesia istituite con il medesimo regolamento definitivo. Tali misure sono attualmente oggetto di una controversia contro l'Unione aperta dall'Indonesia dinanzi all'OMC (6) («misure dell'UE riguardanti l'Indonesia»). In tale controversia l'Indonesia ha sollevato obiezioni simili a quelle esaminate nelle relazioni. Dato che le interpretazioni giuridiche formulate dall'organo di appello nelle relazioni sembrano pertinenti anche ai fini dell'inchiesta riguardante l'Indonesia, la Commissione ha ritenuto opportuno che fossero esaminate anche le misure antidumping sulle importazioni di biodiesel originario dell'Indonesia in un riesame parallelo a norma dell'articolo 2, paragrafo 1, del regolamento di abilitazione dell'OMC, in particolare considerato che il regolamento definitivo è stato considerato in contrasto con l'articolo 2, paragrafo 2, comma 1.1, dell'AAD.

(14)	Nei considerando da 12 a 20 del documento di divulgazione delle conclusioni generali, la Commissione ha esposto la propria analisi preliminare dell'applicazione dell'interpretazione data dall'organo di appello all'articolo 2, paragrafo 2, comma 1.1, dell'AAD nell'inchiesta riguardante l'Indonesia.

(15)

Dopo la divulgazione delle conclusioni, le parti interessate hanno presentato osservazioni che mettevano in dubbio l'analisi della Commissione, contestando tra l'altro l'applicabilità dell'interpretazione dell'organo di appello e l'autorità della Commissione di agire d'ufficio sulla scorta di tale interpretazione a norma del regolamento di abilitazione dell'OMC.

(16)

Dato che tale analisi richiede ulteriore tempo, la Commissione ha deciso di non portare a termine per il momento il riesame riguardante l'Indonesia, continuando invece la propria analisi alla luce delle osservazioni ricevute. Il riesame aperto a norma dell'articolo 2, paragrafo 1, del regolamento di abilitazione dell'OMC è pertanto ancora in corso e rimane aperto per quanto concerne l'Indonesia. Tutte le parti interessate sono state informate di ciò con un documento riveduto di divulgazione del 31 luglio 2017 e hanno potuto presentare osservazioni.

(17)

Il governo dell'Indonesia ha affermato che la Commissione aveva violato principi generali della normativa dell'Unione europea divulgando in un primo tempo la propria intenzione di modificare il regolamento definitivo per quanto riguarda l'Indonesia e successivamente ritornando sulla propria intenzione al fine di continuare l'inchiesta riguardante l'Indonesia.

(18)

Il governo dell'Indonesia ha ritenuto in primo luogo che tale comportamento configuri un trattamento impari e discriminatorio dei produttori dell'Indonesia rispetto ai produttori esportatori dell'Argentina, in quanto la Commissione aveva asseritamente riconosciuto, come dichiarato nell'avviso di apertura, che le importazioni di biodiesel dall'Indonesia erano in una situazione analoga a quella delle importazioni dall'Argentina. Il prolungamento dell'inchiesta riguardante l'Indonesia sembra chiaramente mettere i produttori esportatori dell'Indonesia in svantaggio rispetto agli esportatori dell'Argentina.

(19)

In secondo luogo, poiché la Commissione ha aperto il riesame delle importazioni di biodiesel originario sia dell'Indonesia sia dell'Argentina, gli esportatori dell'Indonesia potevano ragionevolmente e legittimamente fare affidamento sul fatto che il riesame riguardante l'Indonesia terminasse nello stesso periodo di quello dell'Argentina. Tale aspettativa era stata rafforzata dal primo documento di divulgazione delle conclusioni, nel quale la Commissione proponeva di modificare il regolamento definitivo anche per quanto riguarda l'Indonesia. Di conseguenza, modificando la propria posizione con un documento riveduto di divulgazione delle conclusioni, la Commissione avrebbe asseritamente violato il principio del legittimo affidamento.

(20)	In terzo luogo il governo dell'Indonesia ha obiettato che la Commissione avrebbe violato il principio di buona fede escludendo le importazioni dall'Indonesia dal riesame in una fase avanzata del procedimento, pur avendole incluse nell'inchiesta durante il suo intero svolgimento.

(21)

Per prima cosa la Commissione ha ricordato che l'organo di conciliazione dell'OMC ha già emanato conclusioni definitive in merito alle misure dell'UE contro le importazioni di biodiesel dall'Argentina, mentre la controversia separata concernente le misure antidumping sul biodiesel dall'Indonesia è ancora aperta presso l'OMC. Queste ultime rientrano quindi nella definizione di «misura non contestata» ai sensi dell'articolo 2, paragrafo 1, del regolamento di abilitazione dell'OMC. Concorda con questa interpretazione, tra l'altro, anche l'uso del termine «relazione» all'articolo 1, paragrafo 1, del regolamento di abilitazione dell'OMC per descrivere una misura contestata di cui l'organo di conciliazione dell'OMC si è occupato e sulla quale ha emesso una conclusione.

(22)

La Commissione ha inoltre ricordato che ai sensi della normativa dell'Unione europea i concetti di «parità di trattamento» e di «non discriminazione» vietano di trattare in modo diverso situazioni simili, o nello stesso modo situazioni differenti, senza che vi sia alcun obiettivo fondamento per la diversità di trattamento (7). Ai fini dell'attuazione delle relazioni dell'OMC, i produttori esportatori dell'Indonesia e dell'Argentina non si trovano obiettivamente nella stessa situazione: le attività di attuazione a seguito dell'inchiesta sul dumping pregiudizievole del prodotto in esame originario dell'Argentina sono avvenute a norma dell'articolo 1, paragrafo 1, del regolamento di abilitazione dell'OMC e hanno fine con il presente regolamento, mentre le attività di attuazione a seguito dell'inchiesta sulle stesse pratiche per il prodotto originario dell'Indonesia sono avvenute a norma dell'articolo 2, paragrafo 1, del regolamento di abilitazione dell'OMC e sono tuttora in corso. Una situazione di discriminazione può presentarsi solo se si verifica un diverso trattamento giuridico di operatori nella stessa situazione.

(23)

Poiché però il riesame dell'attuazione delle conclusioni dell'organo di conciliazione dell'OMC nei confronti di Argentina e Indonesia era stato avviato su basi giuridiche differenti, il fatto che il riesame dell'inchiesta sul dumping pregiudizievole dell'Argentina sia stato completato prima di quello sul dumping pregiudizievole dell'Indonesia non costituisce un trattamento diverso di situazioni analoghe. Ciò in quanto gli operatori si trovano in situazioni differenti.

(24)

Contrariamente a quanto sostenuto dal governo dell'Indonesia non esiste quindi alcuna violazione del principio di «parità di trattamento» o di «non discriminazione» ai fini della normativa dell'Unione europea. In ogni caso, utilizzando espressioni che implicano una facoltà («può» e «qualora lo ritenga opportuno») nell'articolo 2, paragrafo 1, del regolamento di abilitazione dell'OMC, i legislatori dell'UE hanno conferito alla Commissione un notevole potere discrezionale per quanto riguarda l'eventuale attuazione di una raccomandazione dell'OMC relativa a una misura non contestata.

(25)

Come già osservato nel considerando 16 la Commissione, previa analisi delle osservazioni pervenute dopo la divulgazione delle conclusioni, ha ritenuto opportuno non chiudere l'inchiesta di riesame per quanto riguarda l'Indonesia per il momento, bensì continuare l'esame dell'eventuale applicabilità di tali conclusioni anche nei confronti dell'Indonesia alla luce delle osservazioni pervenute.

(26)

La Commissione non può inoltre accettare l'argomentazione che un documento di divulgazione delle conclusioni dia adito a un legittimo affidamento quanto alla conclusione definitiva di un'inchiesta. Lo scopo della divulgazione delle conclusioni è al contrario informare le parti interessate in merito alle conclusioni preliminari della Commissione per concedere loro l'opportunità di esercitare effettivamente il proprio diritto alla difesa. È quindi insito nella divulgazione delle conclusioni che la Commissione prenda in considerazione le argomentazioni e i fatti avanzati dalle parti interessate.

(27)

Per tale motivo la lettera di accompagnamento rivolta a tutte le parti interessate affermava esplicitamente che «il presente documento di divulgazione non pregiudica qualsiasi ulteriore decisione che potrà essere adottata dalla Commissione, ma qualora tale decisione si basi su fatti e considerazioni diverse queste ultime saranno portate a conoscenza della vostra società appena possibile». In questo caso particolare, tale esercizio ha indotto la Commissione a ritenere che sia necessario ulteriore tempo per l'analisi dell'applicabilità delle conclusioni dell'organo di conciliazione dell'OMC per quanto riguarda l'Indonesia. La decisione è di natura propedeutica e non pregiudica necessariamente le conclusioni definitive della Commissione. La stessa decisione è inoltre una manifestazione dell'ampio potere discrezionale della Commissione nello svolgimento del tipo di riesami, avviati a norma del regolamento di abilitazione dell'OMC, che ricadono nell'ambito della politica commerciale comune.

(28)	Una parte interessata non può quindi invocare un legittimo affidamento prima che la Commissione abbia concluso la procedura di riesame in corso, se la Commissione decide di agire avvalendosi dei poteri conferitile dai legislatori dell'Unione (8). Anche tale argomentazione va pertanto respinta.

(29)

Da ultimo, non si può invocare alcuna violazione della buona fede in base al fatto che l'assunzione di una diversa posizione abbia avuto luogo dopo la divulgazione iniziale della posizione preliminare della Commissione, né il governo dell'Indonesia ha presentato prove in tal senso. La Commissione ha svolto coscienziosamente tutte le fasi dell'inchiesta di riesame nel pieno rispetto dei diritti procedurali di tutte le parti interessate.

(30)

La Commissione pertanto respinge l'addebito di aver violato principi fondamentali della normativa UE esercitando il proprio diritto discrezionale di non modificare, in questa fase dell'inchiesta, le misure antidumping per quanto riguarda l'Indonesia, nel pieno rispetto dei diritti procedurali di tutte le parti interessate.

(31)

Dopo il documento riveduto di divulgazione delle conclusioni, un produttore esportatore dell'Indonesia («Wilmar») ha contestato l'affermazione che la Commissione avesse bisogno di altro tempo per concludere il riesame nei confronti dell'Indonesia, date le conclusioni univoche delle relazioni dell'OMC. Esso ha sostenuto inoltre che si sarebbero dovute modificare le misure nei confronti dell'Indonesia. A suo parere la Commissione è in diritto, a norma del regolamento di abilitazione dell'OMC, di modificare una misura non contestata e la sua autorità di agire d'ufficio non può pertanto essere messa in dubbio. Da ultimo Wilmar ha sostenuto che se le conclusioni della Commissione nei confronti dell'Indonesia sono rinviate, dovrebbero esserlo anche le conclusioni nei confronti dell'Argentina. Esso ritiene che vi sono questioni giuridiche ancora aperte nel procedimento davanti all'OMC riguardante l'Indonesia che potrebbero divenire pertinenti e applicabili anche alle misure concernenti le importazioni di biodiesel dall'Argentina, soprattutto in relazione al margine di profitto.

(32)

La Commissione concorda con Wilmar che essa ha in via di principio il diritto di esprimere conclusioni in relazione ad una misura non contestata a norma dell'articolo 2, paragrafo 1, del regolamento di abilitazione dell'OMC. La Commissione però, come spiegato nel considerando 16, esaminate le osservazioni ricevute, non ha ritenuto opportuno in questa fase concludere l'inchiesta di riesame per quanto riguarda l'Indonesia, esercitando legittimamente il proprio potere discrezionale previsto dall'articolo 2, paragrafo 1, del regolamento di abilitazione dell'OMC.

(33)

In riferimento invece all'asserzione di Wilmar che andrebbero rinviate anche le conclusioni concernenti l'Argentina, la Commissione ricorda che le relazioni dell'OMC hanno confermato la metodologia applicata nel regolamento definitivo per stabilire il margine di profitto. La questione dibattuta nella controversia in corso relativa all'Indonesia non era stata sollevata nella causa dell'Argentina. In ogni caso l'Unione e l'Argentina hanno concordato un lasso di tempo ragionevole per attuare le conclusioni delle relazioni, che va rispettato.

5.2. Determinazione del valore normale e calcolo dei margini di dumping

(34)

Questa sezione illustra le conclusioni riviste dell'inchiesta iniziale con riferimento alle raccomandazioni e alle decisioni delle relazioni secondo cui l'Unione avrebbe agito in contrasto con:

—	l'articolo 2, paragrafo 2, comma 1.1, in quanto il costo di produzione del prodotto in esame non era stato calcolato sulla base dei documenti contabili tenuti dai produttori,

—	l'articolo 2, paragrafo 2, dell'AAD e l'articolo VI, paragrafo 1, lettera b), punto ii), del GATT 1994, in quanto ai fini della costruzione del valore normale del biodiesel non era stato utilizzato il costo di produzione in Argentina,

—	l'articolo 9, paragrafo 3, dell'AAD e l'articolo VI, paragrafo 2, del GATT 1994, in quanto erano stati istituiti dazi antidumping superiori rispetto al margine di dumping che avrebbe dovuto essere stabilito a norma dell'articolo 2 dell'AAD e dell'articolo VI, paragrafo 1, del GATT 1994.

(35)

Come precisato al considerando 28 del regolamento definitivo, la Commissione ha ritenuto necessario costruire il valore normale del prodotto perché le vendite sul mercato interno non sono state considerate eseguite nel corso di normali operazioni commerciali. Questa risultanza non è stata confutata e rimane valida.

(36)

Nei considerando da 29 a 34 del regolamento definitivo, la Commissione ha appurato che la differenza tra le tasse all'esportazione imposte dall'Argentina sulla principale materia prima (olio e semi di soia in Argentina) e le tasse imposte sul prodotto finito (biodiesel) aveva fatto scendere i prezzi interni in Argentina, effetto di cui si doveva pertanto tener conto nella costruzione del valore normale.

(37)	Di conseguenza, nella costruzione del valore normale, la Commissione ha sostituito ai costi della principale materia prima iscritti nei documenti contabili dei produttori esportatori i prezzi di riferimento pubblicati dalle autorità competenti dei paesi interessati.

(38)

La Commissione ha inoltre basato le proprie conclusioni nell'inchiesta iniziale sull'interpretazione che l'articolo 2, paragrafo 2, comma 1.1, dell'AAD permette all'autorità incaricata dell'inchiesta di non utilizzare i documenti contabili dei produttori esportatori qualora constati che i) non sono conformi ai principi contabili generalmente accettati (GAAP) o ii) non diano una visione corretta dei costi di produzione e delle spese di vendita del prodotto in esame (considerando 42 del regolamento definitivo).

(39)

Sia il panel che l'organo di appello erano del parere che la determinazione della Commissione secondo cui i prezzi della soia sul mercato interno in Argentina erano inferiori ai prezzi internazionali a causa del sistema argentino di tasse all'esportazione non fosse, di per sé, un elemento sufficiente per concludere che i documenti contabili dei produttori non dessero una visione corretta dei costi della soia associati alla produzione e alla vendita del biodiesel, né per non considerare i relativi costi riportati in tali documenti nel calcolo del valore normale del biodiesel.

(40)	Alla luce delle relazioni, la Commissione ha ricalcolato il valore normale per i produttori esportatori in Argentina. La metodologia usata a tal fine era identica alla metodologia descritta ai considerando da 40 a 49 per l'Argentina del regolamento (UE) n. 490/2013 della Commissione (9).

(41)

Per i motivi esposti nel considerando 45 del regolamento provvisorio, le vendite sul mercato interno non erano state considerate eseguite nel corso di normali operazioni commerciali e si era dovuto costruire il valore normale del prodotto simile in conformità all'articolo 2, paragrafi 3 e 6, del regolamento di base, sommando cioè ai costi di produzione durante il periodo dell'inchiesta, adeguati, le spese generali, amministrative e di vendita (SGAV) sostenute e un congruo margine di profitto.

(42)

Come precisato al considerando 46 del regolamento provvisorio, la Commissione ha ritenuto che l'importo dei profitti non potesse essere calcolato in base ai dati disponibili delle società incluse nel campione in Argentina. Pertanto, il margine di profitto utilizzato per costruire il valore normale era stato determinato ai sensi dell'articolo 2, paragrafo 6, lettera c), del regolamento di base, ossia in base al margine di profitto ragionevole che può realizzare un'industria giovane e innovativa di questo tipo a forte intensità di capitale operante in condizioni normali di concorrenza in un mercato libero e aperto, vale a dire il 15 % sul fatturato.

(43)

In varie osservazioni presentate nel corso del presente riesame l'EBB ha dichiarato che le relazioni non impediscono alla Commissione di adeguare i costi delle materie prime per calcolare il valore normale, purché ciò sia opportunamente giustificato. Esso ha affermato che, considerato il drastico impatto sul mercato dell'Unione del meccanismo delle tasse differenziate all'esportazione («DET») e le varie possibilità giuridiche contemplate da queste relazioni come base di tale adeguamento, le misure attivate nei confronti dell'Argentina dovrebbero essere mantenute al livello attuale, sia pur fornendo una diversa motivazione.

(44)

L'EBB ha fatto riferimento in particolare all'affermazione contenuta nella relazione dell'organo di appello, ove si afferma che la determinazione delle autorità dell'UE secondo cui i prezzi della soia sul mercato interno in Argentina erano inferiori ai prezzi internazionali a causa del sistema argentino di tasse all'esportazione non era, di per sé, un elemento sufficiente per concludere che i documenti contabili dei produttori non dessero una visione corretta dei costi della soia (paragrafo 6.55 della relazione dell'organo di appello), e ha sostenuto che le relazioni dell'OMC contemplavano la possibilità di non considerare i costi delle materie prime e di adeguare tali costi nell'eventualità in cui fossero giudicati inattendibili.

(45)

A detta dell'EBB, il sistema DET falsa il mercato delle materie prime nel senso che le normali condizioni di domanda e offerta non rappresentano più i fattori determinanti di una transazione, e di fatto genera un trasferimento di valore dai produttori di materie prime ai produttori di biodiesel che è privo di giustificazioni di mercato. Questa situazione, secondo l'EBB, sarebbe simile a un trattamento preferenziale e/o ad «altre pratiche» che potrebbero compromettere l'attendibilità dei costi nei documenti contabili di un produttore esportatore e che rappresentano motivi giustificati per non considerare tali costi, ancorché si tratti di spese effettivamente sostenute.

(46)

A sostegno dell'affermazione che il DET falsi il mercato delle materie prime, l'EBB fa valere, in particolare, un'analisi fornita dai suoi esperti oltre che uno studio, commissionato da questi, intitolato «Measuring the Distortion to Biodiesel Costs in Argentina Caused by Differential Export Taxes on Soybean Products» (Misurare la distorsione dei costi del biodiesel in Argentina dovuta alle tasse differenziate all'esportazione sui prodotti a base di soia, il cosiddetto «studio Heffley»), i quali dimostrerebbero entrambi che il sistema di tasse differenziate all'esportazione comprime in modo artificiale e sensibile i prezzi interni della materia prima in questione, che pertanto non sono attendibili.

(47)

Lo «studio Heffley» ha raccolto dati durante il periodo 2010-2016 in Argentina e negli Stati Uniti sul costo di produzione del biodiesel in tali due paesi, e contiene inoltre un'analisi di mercato specificamente dedicata al periodo dall'ottobre 2011 al settembre 2012. Esso ha rilevato che il costo di produzione del biodiesel a base di soia (SME) in Argentina era inferiore al costo di produzione dello stesso prodotto negli Stati Uniti. La differenza del 27 % è stata ritenuta dallo studio «interamente dovuta al DET».

(48)

In una seconda fase lo studio ha messo a confronto il prezzo all'esportazione dello SME originario dell'Argentina (senza specificare la destinazione) e il prezzo medio di mercato dello SME negli Stati Uniti. Il prezzo medio all'esportazione dell'Argentina, pari a 875 USD/MT, era inferiore al prezzo interno sul mercato USA pari a 1 198 USD/MT. Tale situazione avrebbe costituito un forte incentivo all'importazione di biodiesel dall'Argentina. La conclusione dello studio è che tale distorsione «scaturisce direttamente» dal DET.

(49)

L'EBB ha sottolineato inoltre che correggere tali distorsioni rientrerebbe chiaramente nella logica della procedura antidumping. Esso ha ribadito che tali distorsioni vadano corrette tramite opportuni adeguamenti dei costi, con particolare riguardo per i costi delle materie prime, che dovrebbero essere portati al livello delle spese che sarebbero state sostenute se non ci fossero state distorsioni. Così facendo, la Commissione ristabilirebbe i costi che effettivamente si osserverebbero nel mercato delle esportazioni per la produzione e la vendita del prodotto in questione in condizioni di mercato normali.

(50)

Vari produttori di biodiesel hanno contestato l'opinione dell'EBB secondo la quale la Commissione non dovrebbe considerare i costi delle materie prime contenuti nei documenti contabili per il fatto che il sistema DET avrebbe reso tali costi inattendibili. Essi hanno ribadito che il panel e l'organo di appello hanno espressamente respinto l'argomentazione che il DET può costituire, di per sé, un motivo per non considerare i costi contenuti nei documenti contabili e che, in ogni caso, un'autorità incaricata dell'inchiesta non può ignorare i costi ivi registrati se i documenti contabili riflettono accuratamente e fedelmente le spese effettivamente sostenute.

(51)

La Commissione ha riconosciuto che l'organo di appello non ha escluso, di per sé, la possibilità che un'autorità incaricata dell'inchiesta ignori, in talune circostanze specifiche, i costi registrati nei documenti contabili qualora dall'inchiesta emerga che i costi sono stati, per esempio, sovrastimati o sottostimati, o se un trattamento preferenziale o altre pratiche hanno compromesso l'attendibilità dei costi registrati (paragrafo 6.41 della relazione dell'organo di appello).

(52)

Tuttavia, l'organo di appello ha anche affermato che il sistema argentino di tasse all'esportazione non era, di per sé, un elemento sufficiente per concludere che i documenti contabili dei produttori non dessero una visione corretta dei costi delle materie prime associati alla produzione e alla vendita del biodiesel, né per non considerare i costi riportati in tali documenti nel costruire il valore normale del biodiesel (paragrafo 6.55 della relazione dell'organo di appello).

(53)

Le argomentazioni dell'EBB poggiano sul presupposto che il presunto effetto distorsivo del sistema DET renderebbe inattendibile il costo delle materie prime in questione, cosicché esso non dovrebbe essere considerato. L'EBB sostiene che i prezzi della soia sul mercato interno in Argentina erano inferiori ai prezzi sul mercato internazionale a causa del sistema argentino di tasse all'esportazione. Tuttavia, accettare questa argomentazione equivarrebbe ad ammettere, in contrasto con le conclusioni dell'organo di appello, che il sistema DET, di per sé, ha prodotto effetti tali da rendere necessario evitare di tener conto delle spese di fatto sostenute dalle società e riportate nei loro documenti contabili, e ciò per il mero fatto che tali prezzi erano inferiori ai prezzi sul mercato internazionale. A tale proposito, la Commissione rammenta altresì che l'inchiesta iniziale aveva confermato che i costi effettivamente sostenuti per le materie prime erano stati adeguatamente e fedelmente iscritti nei documenti contabili delle società.

(54)	La Commissione pertanto respinge l'affermazione dell'EBB, in quanto considerarla fondata sarebbe in contraddizione con le conclusioni esposte nelle relazioni.

(55)	Pertanto, per rendere le misure conformi alle relazioni e compatibili con gli accordi dell'OMC, la Commissione ha ritenuto necessario costruire il valore normale sulla base dei costi effettivamente sostenuti, così come riportati nei documenti contabili delle rispettive società.

(56)	Successivamente alla divulgazione delle conclusioni, l'EBB ha reiterato che la decisione dell'OMC permetteva alla Commissione di ricorrere all'adeguamento dei costi nel caso di specie, sostenendo che la Commissione aveva male interpretato la decisione dell'OMC e l'argomentazione dell'EBB.

(57)

A parere di tale organizzazione la Commissione ha ignorato le affermazioni, contenute nelle relazioni, che i prezzi della soia sul mercato interno in Argentina erano inferiori ai prezzi sul mercato internazionale a causa del sistema argentino di tasse all'esportazione. L'EBB ha affermato che la decisione non sosteneva, a differenza di quanto affermato dalla Commissione, che gli effetti distorsivi del DET non fossero di per sé una motivazione sufficiente per procedere a un adeguamento.

(58)

L'EBB ha inoltre ribadito e sottolineato che l'inattendibilità dei prezzi sul mercato interno a causa del DET costituiva una motivazione sufficiente per concludere che i documenti contabili dei produttori non dessero una visione corretta dei costi della soia in relazione alla produzione e alla vendita di biodiesel. L'inattendibilità dei prezzi interni permetteva di non prendere in considerazione i costi iscritti nei documenti contabili e l'EBB aveva fornito alla Commissione tutte le informazioni necessarie per procedere all'adeguamento dei costi.

(59)

L'EBB ha sottolineato che, a quanto dichiarato dal panel e dall'organo di appello, le autorità incaricate dell'inchiesta potevano a propria discrezione esaminare l'attendibilità dei costi iscritti nei documenti contabili dei produttori esportatori, e in particolare se tutti i costi sostenuti fossero stati registrati, verificare se i costi sostenuti fossero stati iscritti a valore superiore o inferiore a quello effettivo, e se transazioni di tipo preferenziale o altre pratiche avessero compromesso l'attendibilità dei costi registrati. Secondo l'organizzazione l'effetto del DET era simile all'esistenza di transazioni preferenziali e/o equivaleva ad altre pratiche tali da compromettere «l'attendibilità dei costi registrati» (10).

(60)

La Commissione ha nuovamente valutato tale asserzione alla luce anche dell'audizione presso il consigliere auditore del 20 luglio 2017; essa ha indicato nei considerando da 51 a 55 che i costi effettivi sostenuti per le materie prime erano stati registrati correttamente e fedelmente nei documenti contabili delle società argentine e che l'adeguamento dei costi operato in precedenza era risultato incompatibile con gli obblighi assunti dall'UE nell'OMC.

(61)

La Commissione non ha condiviso l'interpretazione data dall'EBB alle conclusioni del panel e dell'organo di appello. Ad esempio, la nota 400 della relazione del panel ha una formulazione più sfumata di quanto suggeriscano le osservazioni dell'EBB. Secondo il panel, l'esame delle registrazioni che discende dall'espressione «dare una visione corretta» dell'articolo 2, paragrafo 2, comma 1.1, non include un esame della «correttezza» dei costi registrati, se i costi effettivi iscritti nei documenti contabili del produttore o dell'esportatore risultano per altri versi accurati e fedeli entro limiti ragionevoli.

(62)	Invece l'EBB, sostenendo che l'effetto del sistema DET fosse equivalente a transazioni preferenziali e/o altre pratiche, ribadiva precisamente la necessità di verificare la correttezza dei costi registrati.

(63)

Inoltre gli effetti del sistema DET i) non erano simili a transazioni preferenziali, ii) né erano equivalenti ad altre pratiche tali da compromettere l'attendibilità dei costi nei documenti contabili di un produttore esportatore. Quale che sia la portata esatta di tali concetti, il panel e l'organo di appello hanno respinto esplicitamente l'argomentazione di base della Commissione, vale a dire che la distorsione dei prezzi causata dal sistema argentino di tasse all'esportazione (DET) costituisse da sola una motivazione sufficiente per non accettare i costi iscritti nei documenti contabili di un produttore esportatore (11).

(64)

Dopo il documento riveduto di divulgazione delle conclusioni, l'EBB ha ribadito il proprio convincimento che la Commissione avesse mal interpretato l'affermazione dell'organo di appello nel paragrafo 6.55 della relazione e avesse trascurato la possibilità, concessa dal paragrafo 6.41 della stessa relazione, di esaminare l'attendibilità dei costi delle materie prime registrati e di ignorarli se ritenuti non attendibili, fornendo alcune argomentazioni supplementari al riguardo.

(65)

Per quanto riguarda la prima asserzione, secondo l'EBB l'affermazione dell'organo di appello nel paragrafo 6.55 che «…la determinazione delle autorità della Commissione che i prezzi della soia sul mercato interno in Argentina fossero inferiori ai prezzi internazionali a causa del sistema argentino di tasse all'esportazione non era, di per sé, un elemento sufficiente per concludere che i documenti contabili dei produttori non dessero una visione corretta dei costi della soia associati alla produzione e alla vendita del biodiesel, né per non considerare i relativi costi riportati in tali documenti nel calcolo del valore normale del biodiesel» non costituisce una valutazione giuridica effettuata dall'organo di appello, come affermato dalla Commissione, bensì una pura e semplice citazione della conclusione della Commissione stessa esposta nel regolamento definitivo. L'EBB ha inoltre affermato che la formulazione «non era, di per sé, un elemento sufficiente» implica che il sistema argentino di tasse all'esportazione avrebbe potuto costituire un elemento sufficiente per non considerare i costi, ma che la Commissione ha omesso di svolgere la necessaria analisi. Da ultimo, l'interpretazione data dalla Commissione al paragrafo 6.55 non ha preso in considerazione il fatto che l'organo di appello aveva ritenuto necessario esaminare anche la successiva questione del parametro di riferimento. Ciò non sarebbe stato necessario se l'organo di appello avesse escluso categoricamente che il sistema argentino di tasse all'esportazione potesse giustificare l'adeguamento dei costi.

(66)	La Commissione non ha accolto l'interpretazione suggerita dall'EBB.

(67)

In primo luogo quanto affermato dall'organo di appello nel paragrafo 6.55 non è una pura e semplice citazione delle conclusioni della Commissione stessa. Esso è al contrario parte integrante dell'interpretazione data dall'organo di appello, nel paragrafo 6.56, all'articolo 2, paragrafo 2, comma 1.1, dell'AAD. L'organo di appello ha esplicitamente condiviso il parere del panel che tale disposizione non costituiva un elemento sufficiente a sostegno della conclusione della Commissione di ignorare i costi registrati dei produttori di biodiesel dell'Argentina in quanto i prezzi della soia sul mercato nazionale argentino erano inferiori a quelli internazionali a causa del sistema argentino di tasse all'esportazione. L'organo di appello ha ripetuto questa risultanza normativa alla lettera nel paragrafo successivo 6.56 recante il titolo «conclusioni».

(68)

In secondo luogo, la formulazione «non era, di per sé, un elemento sufficiente» implica, a parere della Commissione, che la semplice esistenza del sistema di tasse all'esportazione non era un elemento sufficiente a giustificare l'adeguamento dei costi così come effettuato nell'inchiesta iniziale. Se invece, come sostenuto dall'EBB, il motivo principale per cui l'organo di appello aveva ritenuto le misure dell'UE incompatibili con l'OMC fosse stato un difetto di motivazione della Commissione nel regolamento iniziale, ciò sarebbe stato indicato esplicitamente, mentre nulla è stato dichiarato in tal senso dall'organo di appello e dal panel. La formulazione «di per sé» è stata invece probabilmente adottata per esplicitare che il funzionamento del sistema di tasse all'esportazione in Argentina non può «in quanto tale» giustificare un adeguamento dei costi a norma dell'articolo 2, paragrafo 2, comma 1.1, dell'AAD, per quanto ben argomentati o documentati siano i relativi effetti distorsivi.

(69)

In terzo luogo la Commissione è in disaccordo con la conclusione dell'EBB secondo cui il fatto che l'organo di appello abbia trattato la questione dei parametri di riferimento nei paragrafi da 6.58 a 6.83 indicherebbe che il sistema argentino di tasse all'esportazione avrebbe potuto effettivamente costituire un elemento sufficiente per non tenere conto dei costi registrati delle materie prime. Come si può dedurre dal titolo che precede il paragrafo 6.58, l'organo di appello ha trattato in tale punto una diversa obiezione dell'Argentina basata sull'articolo 2, paragrafo 2, dell'AAD.

(70)

La Commissione ha quindi esaminato la seconda obiezione dell'EBB, vale a dire che il paragrafo 6.41 della relazione dell'organo di appello suggerirebbe chiaramente che i costi registrati nei documenti contabili di una società possono non essere tenuti presenti se sono basati su pratiche che ne compromettono l'attendibilità. L'EBB ha anche sottolineato il fatto che, mentre il panel aveva riportato tale considerazione solo in una nota a piè di pagina, l'organo di appello aveva ritenuto necessario presentarla nel corpo della relazione. Ciò indicherebbe a parere dell'EBB che l'organo di appello intendeva evitare un'interpretazione eccessivamente restrittiva dell'articolo 2, paragrafo 2, comma 1.1, dell'AAD e manifestare chiaramente che un adeguamento dei costi rimane possibile nel contesto dato.

(71)

Nel paragrafo 6.41 l'organo di appello ha trattato l'argomentazione avanzata dall'UE secondo cui la relazione del panel sembra suggerire che un'autorità incaricata dell'inchiesta debba accettare tutti i costi registrati nei documenti contabili di una società purché essi riflettano accuratamente i costi sostenuti a prescindere da quanto tali costi sembrino irragionevoli se confrontati con un elemento analogo o con un parametro di riferimento compatibile con normali condizioni di mercato. L'organo di appello ha rigettato tale interpretazione e ha ricordato che il panel ha in effetti ammesso che l'autorità incaricata dell'inchiesta può esaminare l'attendibilità e l'accuratezza di quanto registrato nei documenti contabili dei produttori. L'autorità incaricata dell'inchiesta può di conseguenza accertare se tutti i costi sostenuti sono stati registrati, se i costi sostenuti sono stati iscritti a valore superiore o inferiore a quello effettivo, e se transazioni di tipo preferenziale o altre pratiche hanno compromesso l'attendibilità dei costi registrati.

(72)

La Commissione concorda con l'EBB nel ritenere che l'organo di appello ha confermato la decisione del panel secondo cui i costi registrati possono essere ignorati se l'autorità incaricata dell'inchiesta ha riscontrato transazioni di tipo preferenziale o altre pratiche che ne hanno compromesso l'attendibilità. Essa ritiene inoltre normale che l'organo di appello abbia trattato un'obiezione nel corpo della decisione invece che in una nota a piè di pagina come fatto dal panel. Tuttavia né il panel né l'organo di appello hanno espresso nelle decisioni, né suggerito, che il sistema argentino di tasse all'esportazione possa ricadere nella fattispecie di eccezione di una pratica che compromette l'attendibilità. Se il panel o l'organo di appello avessero ritenuto il sistema argentino di tasse all'esportazione qualificabile come pratica che compromette l'attendibilità, essi avrebbero indicato tale questione con chiarezza e non avrebbero giudicato le misure dell'UE non compatibili con gli accordi dell'OMC.

(73)

La Commissione ribadisce pertanto la propria interpretazione delle relazioni, vale a dire che nel costruire il valore normale del biodiesel in Argentina l'UE non poteva, invocando distorsioni dovute alla pura e semplice esistenza del sistema argentino di tasse all'esportazione, non tenere conto dei costi sostenuti e registrati accuratamente.

(74)

In ogni caso la Commissione ha poi esaminato le argomentazioni avanzate dall'EBB — e avanzate dopo la divulgazione delle conclusioni anche da FEDIOL, un fornitore dell'industria del biodiesel dell'Unione — nel senso che la Commissione dovrebbe esaminare prove alternative a sostegno dell'adeguamento dei costi per controbattere gli effetti distorsivi del DET sul costo di produzione del biodiesel in Argentina. È stato osservato al riguardo che la ricerca di prove alternative a sostegno dell'adeguamento dei costi per controbattere gli effetti distorsivi del DET non era l'obiettivo della presente inchiesta di riesame.

In ogni caso, la Commissione ha osservato che gli elementi contenuti nello studio Heffley non possono essere considerati una base sufficientemente solida per procedere ad un nuovo adeguamento dei costi per i motivi seguenti.

(75)

In primo luogo il PI ha compreso il periodo da luglio 2011 a giugno 2012, laddove l'analisi specifica dello studio Heffley riguarda il periodo da ottobre 2011 a settembre 2012. Si verifica quindi una coincidenza solo parziale dei periodi presi in esame, per cui si pone il dubbio se le risultanze dello studio possano essere adottate senza ulteriori modifiche nell'inchiesta sottostante. La Commissione non ha potuto, in mancanza di informazioni per il periodo da luglio 2011 a settembre 2011, rimediare a tale differenza temporale.

(76)

In secondo luogo lo studio ha valutato il costo di produzione negli Stati Uniti a partire dal prezzo della soia sul mercato statunitense. Tale metodo economico si basa su ipotesi e non fornisce però informazioni attendibili sul costo di produzione effettivo del biodiesel negli Stati Uniti. Anche qualora si possa fare affidamento su mere ipotesi, mancano prove a sostegno dell'idea che il costo di produzione del biodiesel a partire da olio di soia greggio debba essere identico negli USA e in Argentina. In terzo luogo l'uso di un prezzo «medio» all'esportazione dall'Argentina trascura il fatto che il prezzo di esportazione nell'Unione avrebbe potuto essere in realtà superiore alla media. Infatti durante il PI dell'inchiesta iniziale il prezzo all'esportazione del biodiesel argentino nell'UE era stato pari a 967 EUR/MT, equivalenti a 1 294 USD/MT applicando il tasso di cambio dell'epoca, indicato nel dossier. Lo studio ha però utilizzato per tale periodo un prezzo medio all'esportazione di 1 071 USD/MT. Ciò dimostra che il presunto beneficio causato dal DET non poteva derivare direttamente dai prezzi di esportazione nell'Unione.

(77)

In quarto luogo lo studio ipotizza semplicemente, senza prove concrete a sostegno, che il (basso) costo di produzione sul mercato interno dell'Argentina durante il periodo in esame fosse dovuto esclusivamente al DET. Lo studio non prende infatti in considerazione altri fattori di vantaggio comparativo che avrebbero potuto rendere la produzione di biodiesel in Argentina più economica che negli Stati Uniti.

(78)	La Commissione conclude pertanto che non ha potuto sostituire con precisione i costi iscritti nei documenti contabili dei produttori argentini di biodiesel applicando il parametro di riferimento suggerito nello studio Heffley.

(79)

Dopo il documento riveduto di divulgazione delle conclusioni l'EBB ha chiarito che lo scopo dello studio era unicamente dimostrare che la Commissione poteva, a titolo di esempio, valutare e quantificare la misura della distorsione (inattendibilità) causata dal sistema argentino di tasse all'esportazione; esso non era inteso a sostituire o fare le veci di un'analisi svolta dalla Commissione sulla scorta dei propri dati verificati, raccolti nel corso dell'inchiesta iniziale.

(80)

L'EBB ha inoltre presentato una versione riveduta dello studio, con dati di riferimento che corrispondono pienamente al periodo dell'inchiesta iniziale e che mostrano un risultato molto simile, ovvero una distorsione dei prezzi della soia sul mercato nazionale nella misura circa del 27 %. L'EBB ha inoltre contestato l'affermazione della Commissione che lo studio si fosse basato sui costi di produzione negli Stati Uniti; al contrario, lo studio si era basato su un costo stimato della produzione di biodiesel in Argentina. Inoltre la critica dello studio avanzata dalla Commissione per aver utilizzato un prezzo medio all'esportazione è fuori luogo, in quanto il prezzo sarebbe di per sé irrilevante per calcolare la distorsione dei costi di produzione del biodiesel in Argentina causata dal sistema di tasse all'esportazione. Da ultimo l'EBB sostiene che nessun asserito vantaggio comparativo può spiegare una differenza di prezzo di circa il 30 % e che, in assenza di prove del contrario, l'unica spiegazione ragionevole di tale differenza è il sistema di tasse all'esportazione dell'Argentina.

(81)

La Commissione ha esaminato le spiegazioni e i chiarimenti presentati dall'EBB. Essa ha accettato il fatto che la versione riveduta dello studio indicava una distorsione dei prezzi della soia sul mercato nazionale pari a circa il 27 % durante il periodo dell'inchiesta. Non ha però giudicato convincenti gli altri tre punti.

(82)

Come riconosciuto anche dall'EBB il costo stimato della trasformazione per un produttore in Argentina era basato su tre analisi: una basata sulle medie di sei anni di costi e prezzi per gli Stati Uniti e l'Argentina; una basata sugli stessi dati, per un anno, per gli Stati Uniti e l'Argentina; e una basata su un anno di dati per l'Argentina, con il prezzo di esportazione dell'Argentina usato come sostituto del prezzo sul mercato mondiale. È evidente che la situazione degli Stati Uniti costituisce un parametro esterno al paese in esame, adottato per calcolare quale sarebbe stato il costo in Argentina in assenza delle distorsioni dovute alla tassa all'esportazione.

(83)	Non vi erano inoltre buoni motivi per ignorare i prezzi di esportazione dall'Argentina in Europa al momento di determinare quale vantaggio avrebbe avuto un produttore di biodiesel in Argentina a causa del DET.

(84)	La Commissione peraltro non ha mai contestato che il DET riducesse artificialmente i costi dei fattori produttivi dei produttori di biodiesel in Argentina, ma ha semplicemente rigettato l'argomentazione che il DET fosse l'unica causa di un vantaggio addirittura pari al 30 %.

5.3. Margini di dumping ricalcolati

(85)

Successivamente alla divulgazione delle conclusioni, alcuni produttori esportatori dell'Argentina hanno espresso osservazioni riguardanti specifiche società in merito a supposti errori nel calcolo del dumping. Ove opportuno la Commissione ha corretto tali errori e ha riveduto di conseguenza i margini di dumping e le aliquote del dazio.

(86)

Le aliquote del dazio riviste per tutti gli esportatori dell'Argentina alla luce delle conclusioni e della raccomandazione contenute nelle relazioni dell'OMC, espresse in percentuale sul prezzo CIF alla frontiera dell'Unione, dazio non corrisposto, sono le seguenti:

Paese	Società	Margine di dumping
Argentina	Aceitera General Deheza S.A., General Deheza, Rosario; Bunge Argentina S.A., Buenos Aires	8,1 %
	Louis Dreyfus Commodities S.A., Buenos Aires	4,5 %
	Molinos Río de la Plata S.A., Buenos Aires; Oleaginosa Moreno Hermanos S.A.F.I.C.I. y A., Bahia Blanca; Vicentin S.A.I.C., Avellaneda	6,6 %
	Altre società che hanno collaborato	6,5 %
	Tutte le altre società	8,1 %

6. NUOVE CONCLUSIONI RELATIVE AL PREGIUDIZIO BASATE SULLE RELAZIONI

(87)

Dalle relazioni è emerso, tra l'altro, che l'UE ha agito in contrasto con l'articolo 3, paragrafi 1 e 4, dell'AAD nell'esaminare l'incidenza delle importazioni oggetto di dumping sull'industria nazionale, nella misura in cui detto esame riguardava la capacità di produzione e l'utilizzazione degli impianti. Le relazioni, tuttavia, non hanno inficiato la conclusione che l'industria dell'Unione ha subito un pregiudizio notevole nel periodo in esame.

(88)

Il panel ha appurato che le autorità dell'UE hanno agito in contrasto con l'articolo 3, paragrafi 1 e 4 dell'AAD accettando i dati rivisti trasmessi dall'industria nazionale dell'UE in una fase avanzata dell'inchiesta, senza verificarne l'accuratezza e attendibilità (paragrafo 7.395 della relazione del panel). I dati rivisti riguardavano la «capacità inutilizzata». Al tempo stesso, il panel ha affermato che, nella conclusione delle autorità dell'UE nel regolamento definitivo concernente la sovraccapacità come «altro fattore» responsabile del pregiudizio, i dati rivisti non hanno avuto un ruolo significativo (come confermato nel paragrafo 6.174 della relazione dell'organo di appello).

(89)	Alcuni produttori esportatori e CARBIO, l'associazione argentina degli esportatori di biodiesel, hanno asserito che la nozione di «capacità inutilizzata» così come spiegata nel regolamento definitivo è perlopiù priva di senso per questo settore. La capacità o esisteva o non esisteva.

(90)

Per l'importatore Gunvor e CARBIO, la causa del pregiudizio subito dall'industria nazionale va ricercata nella sovraccapacità strutturale dell'industria dovuta a incrementi immotivati della capacità di produzione nonostante lo scarso tasso di utilizzo degli impianti, e non già nel tasso di utilizzo degli impianti in sé.

(91)	CARBIO e i produttori esportatori argentini e indonesiani hanno inoltre dichiarato che la Commissione era tenuta a riesaminare la capacità di produzione e il tasso di utilizzo degli impianti sulla base di «prove certe». L'esame dovrebbe consistere in una «analisi obiettiva» di tali fattori.

(92)	La Commissione affronta questa problematica nei paragrafi da 6.1. a 6.4.

6.1. Risposta al questionario e verifica

(93)

La Commissione ha inviato all'EBB un questionario per chiedere chiarimenti in merito ai seguenti aspetti: i) quale metodologia è stata utilizzata per calcolare la capacità di produzione e il tasso di utilizzo degli impianti dell'industria dell'Unione nel periodo in esame e ii) per quale motivo, nel corso dell'inchiesta iniziale, questi dati sono stati rivisti e sulla base di quali criteri sono stati generati i nuovi dati.

(94)

La Commissione ha altresì chiesto all'EBB di spiegare la sua definizione di «capacità inutilizzata», di spiegare le ragioni per cui è stato necessario escluderla dalla capacità di produzione complessiva dell'industria dell'Unione nel periodo in esame e in che modo la capacità inutilizzata è stata calcolata per i soggetti non membri dell'EBB.

(95)

La Commissione ha ricevuto la risposta al questionario e, dopo averla analizzata, ha effettuato una visita di verifica presso la sede dell'EBB in data 26 aprile 2017. Su richiesta della Commissione, l'EBB aveva preparato per la visita di verifica tutti i documenti giustificativi e i fogli di lavoro usati per rispondere al questionario, in particolare i materiali che mettevano in relazione le informazioni fornite con i documenti gestionali e quelli contabili per la verifica sul posto da parte della Commissione.

(96)

La Commissione ha esaminato i documenti giustificativi, ha svolto controlli incrociati tra i dati trasmessi per il periodo in esame e le rispettive fonti ed è riuscita a riconciliare le informazioni presentate nei documenti gestionali e in quelli contabili con i dati rivisti forniti nell'inchiesta iniziale e concernenti la capacità di produzione e l'utilizzo degli impianti, riferiti al periodo compreso tra il 1o gennaio 2009 e la fine del periodo dell'inchiesta. I documenti non possono essere divulgati poiché contengono dati riservati riguardanti società specifiche.

(97)

Gunvor e CARBIO hanno presentato osservazioni asserendo che il questionario inviato dalla Commissione all'EBB non era sufficiente a soddisfare i requisiti imposti dall'articolo 3, paragrafi 1 e 4, dell'AAD. L'EBB avrebbe dovuto spiegare in che modo i dati rivisti erano suffragati da fonti pubbliche e la Commissione non avrebbe dovuto semplicemente accettare le informazioni fornite dall'EBB.

(98)

Inoltre, Gunvor e CARBIO hanno affermato che le risposte dell'EBB al questionario erano state significativamente oscurate e, di conseguenza, le parti interessate non riuscivano a capire in che modo i dati erano stati raccolti e valutati e come erano stati verificati alla luce di altre fonti, e pertanto non erano in grado di stabilire se si dovesse dar credito alle informazioni pertinenti fornite dall'EBB.

(99)

Entrambe le parti hanno trasmesso dati raccolti da Eurostat e riferiti alla produzione, alla capacità e al consumo di biodiesel nell'UE, e hanno notato la somiglianza tra questi dati e quelli pubblicati nel regolamento provvisorio, che erano stati raccolti e trasmessi alla Commissione dall'EBB. A loro dire, la Commissione avrebbe dovuto utilizzare i dati di Eurostat anziché i dati dell'EBB aggiustati per tener conto della capacità inutilizzata.

(100)

Essi hanno altresì affermato che la definizione di capacità inutilizzata fornita dall'EBB era troppo vaga e che il suggerimento di ridurre la capacità di produzione escludendo la «capacità inutilizzata» era stato formulato soltanto dopo la pubblicazione del regolamento provvisorio, una volta acclarato che le cifre riportate nel regolamento provvisorio avrebbero reso più difficile stabilire validamente un nesso di causalità tra le importazioni in presunto regime di dumping e il presunto pregiudizio subito dall'industria dell'UE.

(101)

La Commissione ha respinto tali obiezioni come specificato nei paragrafi da 6.2. a 6.4. Essa ha valutato attentamente la risposta al questionario e verificato successivamente i dati in una visita di verifica presso la sede dell'EBB, accertando l'accuratezza e l'attendibilità dei dati presentati e stabilendo che non vi era necessità di modificare le cifre riviste usate per il regolamento definitivo (cfr. anche i considerando da 53 a 58).

(102)

La Commissione osserva altresì che i dati raccolti dall'EBB sono in linea con i dati di Eurostat, che pertanto rappresentano una fonte indipendente a conferma dell'accuratezza e dell'attendibilità dei dati dell'EBB. Tuttavia, poiché i dati di Eurostat sono stati pubblicati soltanto nel 2014, non sarebbe stato possibile usarli nell'inchiesta iniziale.

(103)

Pertanto, i dati rivisti utilizzati nel regolamento definitivo (considerando 131) (cfr. la tabella seguente) erano corretti e sono stati confermati dopo la visita di verifica.

	2009	2010	2011	PI
Capacità di produzione (in tonnellate)	18 856 000	18 583 000	16 017 000	16 329 500
Indice: 2009 = 100	100	99	85	87
Volume di produzione (in tonnellate)	8 729 493	9 367 183	8 536 884	9 052 871
Indice: 2009 = 100	100	107	98	104
Utilizzo degli impianti	46 %	50 %	53 %	55 %
Indice: 2009 = 100	100	109	115	120

6.2. Produzione totale dell'Unione europea: chiarimenti relativi alla procedura di raccolta da parte dell'EBB dei dati riferiti alla produzione

(104)

Nel marzo 2013, prima della pubblicazione delle misure provvisorie, l'EBB ha trasmesso alla Commissione i dati concernenti la produzione dell'industria dell'Unione, riferiti sia ai membri dell'EBB sia ai non membri.

(105)

I dati relativi alla produzione sono stati forniti per società, indipendentemente dal fatto che si trattasse o meno di membri dell'EBB. Questo approccio dal basso ha permesso di disporre di dati sufficienti a fornire un quadro accurato della produzione dell'UE.

(106)

I membri dell'EBB trasmettono a quest'ultima i dati relativi alla produzione con cadenza trimestrale, tramite un modulo inviato dall'EBB; i dati sono quindi confrontati e verificati con le fonti delle informazioni di mercato. L'EBB attribuisce particolare importanza ai dati relativi alla produzione, poiché essi sono usati per calcolare il contributo finanziario dei membri dell'EBB all'associazione.

(107)

I dati relativi alla produzione provenienti dalle società non appartenenti all'EBB sono raccolti tramite contatti diretti. Essi sono successivamente sottoposti a controlli incrociati con altre fonti di informazioni di mercato tra cui associazioni nazionali, altri produttori e pubblicazioni specialistiche.

(108)

I dati forniti dall'EBB rappresentano pertanto le migliori informazioni disponibili sulla produzione di biodiesel in tutta l'Unione, anche ad opera delle società non appartenenti all'EBB, grazie alla qualità uniforme della comunicazione da parte dell'EBB della produzione effettiva di ciascuna società produttrice di biodiesel dell'UE.

(109)

L'EBB ha utilizzato queste informazioni per calcolare la produzione totale dell'Unione su cui si basano le sue dichiarazioni.

6.3. Capacità di produzione totale dell'UE: chiarimenti relativi alla procedura di raccolta da parte dell'EBB dei dati riferiti alla capacità di produzione

(110)

Nel marzo 2013, prima della pubblicazione delle misure provvisorie, l'EBB ha trasmesso alla Commissione i dati concernenti la capacità di produzione dell'industria dell'Unione, riferiti sia ai membri dell'EBB sia ai non membri.

(111)

Analogamente a quanto specificato in merito ai dati relativi alla produzione, queste informazioni sono state fornite a livello di singola società, comprese le società non appartenenti all'EBB.

(112)

I membri dell'EBB trasmettono a quest'ultima i dati relativi alla capacità di produzione due volte all'anno, tramite un modulo inviato dall'EBB; i dati sono quindi confrontati e verificati con le fonti delle informazioni di mercato. Per garantire l'uniformità dei dati l'EBB chiede ai suoi membri di fornire informazioni relative alla capacità riferite a 330 giorni lavorativi l'anno, per impianto, in modo da tener conto delle giornate di inattività degli impianti dovuta agli inevitabili interventi di manutenzione.

(113)

I dati relativi alla capacità di produzione provenienti dalle società non appartenenti all'EBB sono raccolti tramite contatti diretti e sono sottoposti a verifiche incrociate, come i dati relativi alla produzione.

(114)

Poiché l'EBB chiede soltanto un'«istantanea» della capacità di produzione della società in una determinata giornata e non tutte le società hanno la stessa nozione di capacità, i dati relativi alla capacità di produzione forniti dall'EBB devono essere considerati meno accurati rispetto ai dati relativi alla produzione.

(115)

Nonostante ciò, i dati forniti dall'EBB rappresentano le migliori informazioni disponibili sulla capacità di produzione in tutta l'Unione, anche ad opera delle società non appartenenti all'EBB, grazie alla qualità uniforme della comunicazione da parte dell'EBB della capacità di produzione effettiva di ciascuna società produttrice di biodiesel dell'UE.

6.4. Chiarimenti sull'individuazione da parte dell'EBB della «capacità inutilizzata»

(116)

All'indomani della pubblicazione del regolamento provvisorio, e come descritto nel regolamento definitivo, è stato presto evidente che i dati pubblicati relativi alla capacità di produzione non rappresentavano accuratamente la situazione reale dell'industria dell'Unione. La Commissione ha quindi chiesto all'EBB di chiarire i dati relativi alla capacità di produzione.

(117)

L'EBB ha fornito alla Commissione informazioni aggiornate, anche per le società non appartenenti all'EBB; tali informazioni individuavano una capacità di produzione non disponibile cosiddetta «fuori servizio», o «capacità inutilizzata», che inizialmente era stata accorpata ai dati relativi alla capacità di produzione totale dell'UE.

(118)

La capacità inutilizzata è determinata dall'EBB nell'ambito del calcolo della produzione e della capacità di produzione a partire dai dati trasmessi dalle singole società. Data la natura del processo di raccolta dei dati descritto sopra, è stato necessario riesaminare i dati forniti dalle società non appartenenti all'EBB per garantire che le informazioni relative alla capacità di produzione rispecchiassero in maniera il più possibile accurata la realtà dell'industria dell'UE.

(119)

I dati messi a disposizione dall'EBB nell'intervallo di tempo compreso tra la pubblicazione del regolamento provvisorio e quello definitivo rappresentavano le migliori informazioni disponibili sulla capacità di produzione in tutta l'Unione, anche per le società non appartenenti all'EBB, grazie alla qualità uniforme della comunicazione da parte dell'EBB della capacità di produzione effettiva di ciascuna società produttrice di biodiesel dell'UE.

6.5. Osservazioni dopo la divulgazione delle conclusioni

(120)

Dopo la divulgazione delle conclusioni della Commissione sul pregiudizio diverse parti interessate hanno presentato osservazioni al riguardo.

(121)

CARBIO, l'associazione argentina degli esportatori di biodiesel, ha ribadito il proprio parere, espresso durante l'inchiesta di riesame, che nell'analisi attuale del pregiudizio e del nesso causale andrebbero impiegati i dati attuali di Eurostat sulla produzione e sulla capacità produttiva di biodiesel invece dei dati impiegati nell'inchiesta iniziale.

(122)

La Commissione ha respinto tale obiezione. I dati di Eurostat sono risultati identici ai dati originali forniti dall'EBB. Quest'ultima organizzazione ha però successivamente corretto i dati per rispecchiare più precisamente la capacità inutilizzata durante l'inchiesta iniziale. Come riferito nella sezione 6.4 la Commissione ha verificato tali aggiornamenti durante l'inchiesta di riesame in corso. Di conseguenza i dati iniziali di Eurostat non forniscono il quadro più accurato della produzione di biodiesel, quadro che nel presente caso è stato specificamente verificato e adottato dalla Commissione.

(123)

CARBIO ha inoltre dichiarato che la Commissione dovrebbe definire meglio la «capacità inutilizzata». La Commissione ha ribadito di aver definito la capacità inutilizzata nei considerando 131 e 132 del regolamento definitivo. Poiché la relazione dell'OMC non ha contestato il concetto di «capacità inutilizzata» della Commissione non vi era motivo di modificarlo per il presente riesame.

7. DIVULGAZIONE DELLE CONCLUSIONI

(124)

Tutte le parti sono state informate delle conclusioni della Commissione ed è stato fissato un termine entro il quale esse avrebbero potuto presentare osservazioni.

(125)

Successivamente alla divulgazione delle conclusioni, il produttore esportatore Molinos de la Plata ha informato la Commissione di aver effettuato esportazioni nell'Unione sotto il nome di «Molinos Agro S.A.» anziché «Molinos Río de la Plata S.A.» e ha addotto le relative prove.

(126)

La Commissione ha esaminato le prove presentate e concluso che il cambiamento di denominazione era sufficientemente provato, accettando quindi l'osservazione.

(127)

Successivamente alla divulgazione delle conclusioni, all'esportatore indonesiano che ha collaborato Wilmar è stata concessa un'audizione. La società ha avanzato obiezioni specifiche alla sua posizione in merito al calcolo del dumping e del pregiudizio e ha chiesto in particolare la riduzione del margine di profitto.

(128)

La Commissione ha respinto tali asserzioni in quanto esse non riguardavano l'attuazione delle relazioni dell'OMC in Argentina. Oltre a ciò la maggior parte delle asserzioni suddette è attualmente al vaglio dell'OMC nell'ambito della controversia aperta dall'Indonesia.

(129)

Dopo il documento riveduto di divulgazione delle conclusioni, Wilmar ha ribadito che la richiesta di revisione del margine di profitto in sede di costruzione del valore normale non è al vaglio dell'OMC ma costituisce una questione autonoma e che tale richiesta si fonda unicamente sulle disposizioni del regolamento antidumping di base, e dovrebbe quindi essere trattata nell'ambito del presente riesame. Wilmar ha inoltre sostenuto che mantenere le misure non è nell'interesse dell'Unione e che esse andrebbero quindi abrogate.

(130)

La Commissione ricorda che il presente riesame è stato aperto in base al regolamento di abilitazione dell'OMC al fine di attuare le conclusioni e le raccomandazioni del panel e dell'organo di appello nella controversia «Unione europea — misure antidumping sul biodiesel originario dell'Argentina» (WT/DS473/15). Il riesame si limita quindi alle questioni al vaglio dell'OMC e alle eventuali modifiche derivate da questo, anche di carattere tecnico. Pertanto nessuna delle richieste di Wilmar è ammissibile. La Commissione fa osservare inoltre che una richiesta simile relativa al margine di profitto era stata avanzata da Wilmar già durante l'inchiesta iniziale ed era stata respinta [cfr. considerando da 43 a 46 del regolamento di esecuzione (UE) n. 1194/2013]. Successivamente alla divulgazione delle conclusioni il produttore esportatore argentino che ha collaborato COFCO Argentina S.A. (precedentemente denominato Noble Argentina S.A.) ha richiesto il trattamento riservato alle nuove società e l'inserimento nell'elenco delle società con un'aliquota individuale di dazio in quanto «altre società che hanno collaborato».

(131)

La Commissione ha informato la società che avrebbe dovuto seguire la procedura per i nuovi produttori esportatori indicata all'articolo 3 del regolamento definitivo.

(132)

Successivamente alla divulgazione delle conclusioni l'EBB ha richiesto un'audizione con il consigliere auditore, motivata dal fatto che la posizione della Commissione sarebbe stata dovuta non a obiettivi ragionamenti giuridici ma ad interesse politico.

(133)

Durante l'audizione del 20 luglio 2017 il consigliere auditore non ha riscontrato alcuna violazione del diritto alla difesa dell'EBB in quanto parte interessata. Il consigliere ha però esortato la Commissione ad addurre prove a sostegno dell'opinione che non si dovesse tenere conto dei prezzi della soia in Argentina in quanto inattendibili. La Commissione ha aggiunto tale considerazione nella valutazione delle osservazioni ricevute dopo la divulgazione delle conclusioni, come indicato nei considerando da 60 a 63.

8. MISURE DEFINITIVE

(134)

Sulla base del riesame di cui sopra, la Commissione conclude che il dumping pregiudizievole accertato nell'inchiesta iniziale è confermato.

(135)

Le misure antidumping applicabili alle importazioni di biodiesel originario dell'Argentina e dell'Indonesia istituite dal regolamento di esecuzione (UE) n. 1194/2013 dovrebbero quindi essere mantenute e i margini di dumping riveduti per l'Argentina ricalcolati come specificato in precedenza.

(136)

Le aliquote del dazio antidumping definitivo applicabile al prodotto interessato sono le seguenti:

Paese	Società	Margine di dumping	Margine di pregiudizio	Aliquota del dazio antidumping
Argentina	Aceitera General Deheza S.A., General Deheza, Rosario; Bunge Argentina S.A., Buenos Aires	8,1 %	22,0 %	8,1 %
	Louis Dreyfus Commodities S.A., Buenos Aires	4,5 %	24,9 %	4,5 %
	Molinos Agro S.A., Buenos Aires; Oleaginosa Moreno Hermanos S.A.F.I.C.I. y A., Bahia Blanca; Vicentin S.A.I.C., Avellaneda	6,6 %	25,7 %	6,6 %
	Altre società che hanno collaborato	6,5 %	24,6 %	6,5 %
	Tutte le altre società	8,1 %	25,7 %	8,1 %

(137)

L'articolo 1, paragrafo 2, del regolamento definitivo dovrebbe quindi essere modificato di conseguenza.

(138)

Il comitato istituito dall'articolo 15, paragrafo 1, del regolamento (UE) 2016/1036 del Parlamento europeo e del Consiglio (12) non ha espresso alcun parere,

HA ADOTTATO IL PRESENTE REGOLAMENTO:

Articolo 1

La tabella contenente le aliquote del dazio antidumping definitivo applicabile al prezzo netto, franco frontiera dell'Unione, dazio non pagato, sui prodotti fabbricati dalle società elencate all'articolo 1, paragrafo 2, del regolamento di esecuzione (UE) n. 1194/2013 è sostituita dalla seguente:

«Paese	Società	Aliquota del dazio EUR per tonnellata netta	Codice addizionale TARIC
Argentina	Aceitera General Deheza S.A., General Deheza, Rosario; Bunge Argentina S.A., Buenos Aires	79,56	B782
	Louis Dreyfus Commodities S.A., Buenos Aires	43,18	B783
	Molinos Agro S.A., Buenos Aires; Oleaginosa Moreno Hermanos S.A.F.I.C.I. y A., Bahia Blanca; Vicentin S.A.I.C., Avellaneda	62,91	B784
	Altre società che hanno collaborato: Cargill S.A.C.I., Buenos Aires; Unitec Bio S.A., Buenos Aires; Viluco S.A., Tucuman	62,52	B785
	Tutte le altre società	79,56	B999
Indonesia	PT Ciliandra Perkasa, Giacarta	76,94	B786
	PT Musim Mas, Medan	151,32	B787
	PT Pelita Agung Agrindustri, Medan	145,14	B788
	PT Wilmar Bioenergi Indonesia, Medan; PT Wilmar Nabati Indonesia, Medan	174,91	B789
	Altre società che hanno collaborato: PT Cermerlang Energi Perkasa, Giacarta	166,95	B790
	Tutte le altre società	178,85	B999»

Articolo 2

Il presente regolamento entra in vigore il giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.

Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.

Fatto a Bruxelles, il 18 settembre 2017

Per la Commissione

Il presidente

Jean-Claude JUNCKER

(1) GU L 83 del 27.3.2015, pag. 6.

(2) Regolamento di esecuzione (UE) n. 1194/2013 del Consiglio, del 19 novembre 2013, che istituisce un dazio antidumping definitivo e dispone la riscossione definitiva del dazio provvisorio istituito sulle importazioni di biodiesel originario di Argentina e Indonesia (GU L 315 del 26.11.2013, pag. 2).

(3) WT/DS473/AB/R e WT/DS473/AB/R/Add.1.

(4) WT/DS473/R e WT/DS473/R/Add.1.

(5) GU C 476 del 20.12.2016, pag. 3. Avviso di apertura relativo alle misure antidumping in vigore sulle importazioni di biodiesel originario dell'Argentina e dell'Indonesia, a seguito delle raccomandazioni e delle decisioni adottate dall'organo di conciliazione dell'Organizzazione mondiale del commercio nella controversia UE — misure antidumping sul biodiesel (DS473), 2016/C 476/04.

(6) Unione europea — Misure antidumping sul biodiesel originario dell'Indonesia, DS480.

(7) Cfr. ad esempio le conclusioni dell'avvocato generale Jacobs del 29 aprile 2004 nella causa C-422/02 P Europe Chemi-Con (Deutschland)/Consiglio, ECLI:EU:C:2004:277, punto 36.

(8) Cfr. sentenza del 7 maggio 1991 nella causa C-69/89 Nakajima All Precision/Consiglio, ECLI:EU:C:1991:186, punto 120. Cfr. anche più recentemente le conclusioni dell'avvocato generale Campos Sánchez-Bordona del 20 luglio 2017 nella causa C-256/16 Deichmann, ECLI:EU:C:2017:580, punto 49.

(9) Regolamento (UE) n. 490/2013 della Commissione, del 27 maggio 2013, che istituisce un dazio antidumping provvisorio sulle importazioni di biodiesel originario di Argentina e Indonesia («il regolamento provvisorio») (GU L 141 del 28.5.2013, pag. 6).

(10) Relazione del panel, UE — Biodiesel, par. 7.242, nota 400; relazione dell'organo di appello, UE — Biodiesel, par. 6.41.

(11) Relazione dell'organo di appello, UE — Biodiesel, par. da 6.54 a 6.55, relazione del panel, UE — Biodiesel, par. da 7.248 a 7.249.

(12) Regolamento (UE) 2016/1036 del Parlamento europeo e del Consiglio, dell'8 giugno 2016, relativo alla difesa contro le importazioni oggetto di dumping da parte di paesi non membri dell'Unione europea (GU L 176 del 30.6.2016, pag. 21).

19.9.2017

Gazzetta ufficiale dell'Unione europea

L 239/36

RACCOMANDAZIONE (UE) 2017/1584 DELLA COMMISSIONE

del 13 settembre 2017

relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala

LA COMMISSIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare l'articolo 292,

considerando quanto segue:

(1)

L'utilizzo delle tecnologie dell'informazione e della comunicazione e la dipendenza dalle stesse sono diventati fondamentali in tutti i settori di attività economica, dato che imprese e cittadini dell'Unione sono più che mai interconnessi e interdipendenti a livello transettoriale e transfrontaliero. Un incidente di cibersicurezza che interessa le organizzazioni di più Stati membri o addirittura l'intera Unione, con potenziali gravi perturbazioni del mercato interno e più in generale delle reti e dei sistemi informativi dai quali dipendono l'economia, la democrazia e la società dell'Unione, è uno scenario per il quale gli Stati membri e le istituzioni dell'UE devono essere ben preparati.

(2)

Un incidente di cibersicurezza può essere considerato una crisi a livello di Unione quando le conseguenti perturbazioni sono talmente ampie da non poter essere gestite autonomamente dallo Stato membro interessato o quando interessa due o più Stati membri e ha un impatto di rilevanza tecnica o politica di così vasta portata da richiedere un coordinamento e una risposta tempestivi a livello politico dell'Unione.

(3)

Gli incidenti di cibersicurezza possono innescare crisi più ampie, con ripercussioni su altri settori di attività al di là delle reti e dei sistemi informativi e delle reti di comunicazione; per reagire adeguatamente è necessario intervenire con attività di attenuazione concernenti sia l'ambito informatico che altri ambiti.

(4)

Gli incidenti di cibersicurezza sono imprevedibili e spesso si verificano ed evolvono in tempi molto ridotti, pertanto i soggetti colpiti e coloro che hanno la responsabilità di reagire e di attenuare gli effetti conseguenti devono coordinare la loro risposta rapidamente. Inoltre, spesso tali incidenti non sono circoscritti a una determinata area geografica e possono verificarsi simultaneamente o diffondersi all'istante in molti paesi.

(5)

Una risposta efficace agli incidenti e alle crisi di cibersicurezza su vasta scala a livello dell'UE richiede una cooperazione rapida ed efficace tra tutti i portatori di interesse e dipende dalla preparazione e dalle capacità dei singoli Stati membri, come pure da un'azione comune coordinata sostenuta dalle capacità dell'Unione. Per rispondere in modo tempestivo ed efficace agli incidenti sono pertanto necessari procedure e meccanismi di cooperazione stabiliti in precedenza e, per quanto possibile, ben collaudati che definiscano con chiarezza i ruoli e le responsabilità dei principali attori a livello nazionale e di Unione.

(6)

Nelle sue conclusioni (1) sulla protezione delle infrastrutture critiche informatizzate del 27 maggio 2011 il Consiglio ha invitato gli Stati membri dell'UE a «rafforzare la collaborazione tra gli Stati membri e contribuire, sulla base di esperienze e risultati nazionali in materia di gestione delle crisi e in collaborazione con l'ENISA, a sviluppare i meccanismi di una cooperazione europea in materia di incidenti informatici, da saggiare nel contesto della prossima esercitazione “Europa informatica” nel 2012».

(7)

Nella sua comunicazione del 2016 dal titolo «Rafforzare il sistema di resilienza informatica dell'Europa e promuovere la competitività e l'innovazione nel settore della cibersicurezza» (2) la Commissione ha incoraggiato gli Stati membri a sfruttare al massimo i meccanismi di cooperazione della direttiva sulla sicurezza delle reti e dell'informazione (direttiva NIS) (3), come pure a rafforzare la cooperazione transfrontaliera per poter fronteggiare un incidente cibernetico su vasta scala. Ha inoltre aggiunto che la capacità di fronteggiare gli incidenti informatici su vasta scala trarrebbe vantaggio da un approccio coordinato alla cooperazione tra i vari elementi dell'ecosistema cibernetico nelle situazioni di crisi; tale approccio dovrebbe essere definito in un «programma» e dovrebbe anche garantire sinergie e coerenza con i meccanismi esistenti di gestione delle crisi.

(8)

Nelle conclusioni del Consiglio (4) sulla comunicazione di cui sopra gli Stati membri hanno invitato la Commissione a presentare un tale programma da sottoporre alla valutazione degli organismi e delle altre parti interessate. La direttiva NIS tuttavia non prevede un quadro di cooperazione dell'Unione in caso di incidenti e crisi di cibersicurezza su vasta scala.

(9)

La Commissione ha consultato gli Stati membri in due distinti seminari di consultazione, svoltisi a Bruxelles il 5 aprile e il 4 luglio 2017, ai quali hanno partecipato rappresentanti degli Stati membri dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), del gruppo di cooperazione istituito dalla direttiva NIS e del gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio, nonché rappresentanti del Servizio europeo per l'azione esterna (SEAE), dell'ENISA, di Europol/EC3 e del segretariato generale del Consiglio (SGC).

(10)

Il programma per una risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala a livello dell'Unione, riportato nell'allegato della presente raccomandazione, è il risultato delle consultazioni di cui sopra e integra la comunicazione «Rafforzare il sistema di resilienza informatica dell'Europa e promuovere la competitività e l'innovazione nel settore della cibersicurezza».

(11)

Il programma descrive e definisce gli obiettivi e le modalità della cooperazione tra gli Stati membri e le istituzioni, gli organi, gli uffici e le agenzie dell'UE (di seguito «istituzioni dell'UE») in risposta agli incidenti e alle crisi di cibersicurezza su vasta scala, indicando altresì in che modo i meccanismi esistenti di gestione delle crisi possono fare pieno ricorso ai soggetti esistenti a livello dell'UE incaricati della cibersicurezza.

(12)

Nel rispondere a una crisi di cibersicurezza ai sensi del considerando 2, il coordinamento della risposta a livello politico dell'Unione in seno al Consiglio si avvarrà dei dispositivi integrati per la risposta politica alle crisi (IPCR) (5); la Commissione farà ricorso al processo di coordinamento delle crisi transettoriale ad alto livello del sistema ARGUS (6). Per le crisi che presentano un'importante dimensione esterna o una forte correlazione con la politica di sicurezza e di difesa comune (PSDC) sarà attivato il meccanismo di risposta alle crisi (6) del Servizio europeo per l'azione esterna (SEAE).

(13)

In alcuni settori i meccanismi di gestione delle crisi settoriali a livello di UE prevedono la cooperazione in caso di incidenti o crisi di cibersicurezza. Ad esempio, nel quadro del sistema globale di navigazione satellitare (GNSS), la decisione 2014/496/PESC del Consiglio (7), già definisce i rispettivi ruoli del Consiglio, dell'Alto rappresentante, della Commissione, dell'Agenzia del GNSS europeo e degli Stati membri nell'ambito della catena di responsabilità operative definite per reagire a una minaccia per l'Unione, gli Stati membri o il GNSS, anche in caso di attacchi cibernetici. La presente raccomandazione pertanto non dovrebbe lasciare impregiudicati tali meccanismi.

(14)

Gli Stati membri hanno la responsabilità primaria di reagire in caso di incidenti o crisi di cibersicurezza su vasta scala che li riguardino. La Commissione, l'Alto rappresentante e le altre istituzioni o gli altri servizi dell'UE hanno tuttavia un ruolo importante, derivante dal diritto dell'Unione o dal fatto che gli incidenti e le crisi di cibersicurezza possono avere ripercussioni su tutti i settori dell'attività economica nell'ambito del mercato unico, sulla sicurezza e sulle relazioni internazionali dell'Unione e sulle istituzioni stesse.

(15)

A livello di Unione, i principali soggetti coinvolti nella risposta alle crisi di cibersicurezza comprendono le strutture e i meccanismi previsti dalla direttiva NIS recentemente istituiti, vale a dire la rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), come pure le agenzie e gli organismi competenti, ossia l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), il Centro europeo per la lotta alla criminalità informatica di Europol (Europol/EC3), il Centro dell'UE di analisi dell'intelligence (INTCEN), la direzione di intelligence dello Stato maggiore dell'Unione europea (EUMS INT) e la sala situazione (SITROOM) che collaborano come capacità unica di analisi dell'intelligence (SIAC), la cellula dell'UE per l'analisi delle minacce ibride (presso l'INTCEN), la squadra di pronto intervento informatico delle istituzioni dell'UE (CERT-UE) e il Centro di coordinamento della risposta alle emergenze della Commissione europea.

(16)

La cooperazione tra gli Stati membri per reagire agli incidenti di cibersicurezza a livello tecnico è assicurata dalla rete dei CSIRT istituita dalla direttiva NIS. L'ENISA svolge la funzione di segretariato della rete e sostiene attivamente la cooperazione fra i CSIRT. I CSIRT nazionali e il CERT-UE collaborano e si scambiano informazioni su base volontaria, se necessario anche in risposta a incidenti di cibersicurezza che interessano uno o più Stati membri. Su richiesta di un rappresentante del CSIRT di uno Stato membro, possono discutere e, ove possibile, individuare un intervento coordinato per un incidente rilevato nella giurisdizione dello Stato membro in questione. Le procedure pertinenti saranno definite nell'ambito delle procedure operative standard (POS) della rete dei CSIRT (8).

(17)

La rete dei CSIRT ha inoltre il compito di discutere, esaminare e individuare ulteriori forme di cooperazione operativa, anche in relazione alle categorie di rischi e di incidenti, all'allerta precoce, all'assistenza reciproca, ai principi e alle modalità di coordinamento, quando gli Stati membri intervengono a proposito di rischi e incidenti transfrontalieri.

(18)

Il gruppo di cooperazione istituito dall'articolo 11 della direttiva NIS ha il compito di fornire orientamenti strategici per le attività della rete dei CSIRT, di discutere della capacità e dello stato di preparazione degli Stati membri e, su base volontaria, di valutare le strategie nazionali in materia di sicurezza della rete e dei sistemi informativi e l'efficacia dei CSIRT e di individuare le migliori pratiche.

(19)

Un workstream dedicato all'interno del gruppo di cooperazione sta elaborando orientamenti in materia di notifica degli incidenti, a norma dell'articolo 14, paragrafo 7, della direttiva NIS, concernenti i casi in cui gli operatori di servizi essenziali sono tenuti a notificare gli incidenti a norma dell'articolo 14, paragrafo 3, e il formato e la procedura di tali notifiche (9).

(20)

La conoscenza e la comprensione della situazione in tempo reale, della posizione di rischio e delle minacce, acquisite attraverso relazioni, valutazioni, ricerche, indagini e analisi, sono fondamentali per poter prendere decisioni con cognizione di causa. La «conoscenza situazionale» da parte di tutte le parti interessate è essenziale per l'efficacia della risposta coordinata. La conoscenza situazionale comprende gli elementi relativi alle cause, all'impatto e all'origine dell'incidente. È risaputo che essa dipende dallo scambio e dalla condivisione di informazioni tra le parti interessate in un formato idoneo, mediante il ricorso a una tassonomia comune per la descrizione dell'incidente e secondo modalità sicure.

(21)

La risposta agli incidenti di cibersicurezza può assumere molte forme, che vanno dall'individuazione di misure tecniche che possono comportare la ricerca congiunta — da parte di due o più soggetti — delle cause tecniche dell'incidente (ad esempio, analisi dei programmi malevoli, noti anche come malware) o l'identificazione dei modi in cui le organizzazioni possono valutare se sono state colpite (ad esempio, indicatori di compromissione) alle decisioni operative sull'applicazione di tali misure e, a livello politico, sulla scelta di ricorrere ad altri strumenti, ad esempio al quadro relativo a una risposta comune alle attività informatiche dolose (10) o al protocollo operativo dell'UE per contrastare le minacce ibride (11), in funzione dell'incidente.

(22)

La fiducia dei cittadini e delle imprese europei nei servizi digitali è essenziale per un mercato unico digitale fiorente. Pertanto, la comunicazione in caso di crisi riveste un ruolo particolarmente importante nell'attenuazione degli effetti negativi degli incidenti e delle crisi di cibersicurezza. La comunicazione può essere utilizzata anche nell'ambito del quadro relativo a una risposta diplomatica comune come strumento per influenzare il comportamento dei (potenziali) aggressori che agiscono da paesi terzi. L'allineamento della comunicazione pubblica per attenuare gli effetti negativi degli incidenti e delle crisi di cibersicurezza e l'uso della comunicazione pubblica per influenzare un aggressore sono essenziali per dare efficacia alla risposta politica.

(23)

Informare la popolazione su come attenuare, a livello di utente e di organizzazione, gli effetti di un incidente (ad esempio mediante l'applicazione di aggiornamenti di sicurezza o il ricorso ad azioni complementari per evitare la minaccia) potrebbe essere una misura efficace per ridurre l'impatto di un incidente o di una crisi di cibersicurezza su vasta scala.

(24)

La Commissione, attraverso l'infrastruttura di servizi digitali per la cibersicurezza del Meccanismo per collegare l'Europa (MCE), sta sviluppando un meccanismo di cooperazione basato su una piattaforma di servizi essenziali (noto come MeliCERTes) tra i CSIRT degli Stati membri partecipanti per migliorare il loro livello di preparazione, cooperazione e reazione alle minacce e agli incidenti cibernetici emergenti. La Commissione, mediante inviti a presentare proposte su base concorrenziale per la concessione di sovvenzioni nell'ambito dell'MCE cofinanzia i CSIRT negli Stati membri al fine di migliorare le loro capacità operative a livello nazionale.

(25)	Per promuovere e migliorare la collaborazione tra Stati membri e settore privato è fondamentale organizzare esercitazioni sugli incidenti cibernetici a livello dell'UE. A tal fine, dal 2010 l'ENISA organizza regolarmente esercitazioni paneuropee sugli incidenti cibernetici («Cyber Europe»).

(26)

Nelle sue conclusioni (12) sull'attuazione della dichiarazione congiunta del presidente del Consiglio europeo, del presidente della Commissione europea e del segretario generale dell'Organizzazione del trattato del Nord Atlantico, il Consiglio chiede il rafforzamento della cooperazione nelle esercitazioni di cibersicurezza attraverso la reciproca partecipazione del personale alle rispettive esercitazioni, comprese in particolare Cyber Coalition e Cyber Europe.

(27)	Il panorama delle minacce in costante evoluzione e i recenti incidenti di cibersicurezza sono un'indicazione del rischio crescente cui deve far fronte l'Unione; gli Stati membri dovrebbero dar seguito alla presente raccomandazione senza ulteriore indugio e in ogni caso entro la fine del 2018,

HA ADOTTATO LA PRESENTE RACCOMANDAZIONE:

(1)	Gli Stati membri e le istituzioni dell'UE dovrebbero istituire un quadro di risposta alle crisi di cibersicurezza dell'UE che integri gli obiettivi e le modalità di cooperazione descritti nel programma attenendosi ai principi guida ivi riportati.

(2)

Il quadro di risposta alle crisi di cibersicurezza dell'UE dovrebbe in particolare individuare i soggetti interessati, le istituzioni dell'UE e le autorità degli Stati membri competenti a tutti i livelli necessari — tecnico, operativo, strategico/politico — ed elaborare, ove necessario, procedure operative standard che definiscano le modalità di cooperazione dei soggetti di cui sopra nell'ambito dei meccanismi UE di gestione delle crisi. L'accento dovrebbe essere posto sulla necessità di consentire lo scambio di informazioni senza indebiti ritardi e sul coordinamento della risposta durante gli incidenti e le crisi di cibersicurezza su vasta scala.

(3)

A tal fine, le autorità competenti degli Stati membri dovrebbero collaborare per specificare ulteriormente i protocolli per la condivisione delle informazioni e la cooperazione. Il gruppo di cooperazione dovrebbe procedere allo scambio delle esperienze acquisite in materia con le competenti istituzioni dell'UE.

(4)	Gli Stati membri dovrebbero provvedere affinché i meccanismi nazionali di gestione delle crisi reagiscano in modo adeguato agli incidenti di cibersicurezza e creare le procedure necessarie per la cooperazione a livello dell'UE nell'ambito del quadro dell'UE.

(5)

In linea con il programma, gli Stati membri dovrebbero, in collaborazione con i servizi della Commissione e il SEAE, stabilire orientamenti per l'attuazione pratica per quanto riguarda l'integrazione delle loro procedure e dei soggetti nazionali incaricati della gestione delle crisi e della cibersicurezza nei vigenti meccanismi dell'UE di gestione delle crisi, vale a dire l'IPCR e il CRM del SEAE. In particolare, gli Stati membri dovrebbero garantire che vengano predisposte le strutture appropriate per consentire un flusso di informazioni efficiente tra le rispettive autorità nazionali di gestione delle crisi e i loro rappresentanti a livello dell'UE nell'ambito dei meccanismi UE di gestione delle crisi.

(6)

Gli Stati membri dovrebbero avvalersi pienamente delle opportunità offerte dal programma delle infrastrutture di servizi digitali del Meccanismo per collegare l'Europa (MCE) e collaborare con la Commissione per garantire che il meccanismo di cooperazione della piattaforma di servizi essenziali, attualmente in corso di sviluppo, fornisca le funzionalità necessarie e soddisfi i requisiti per la cooperazione anche durante le crisi di cibersicurezza.

(7)

Gli Stati membri, con l'assistenza dell'ENISA e sulla base del lavoro già svolto in questo ambito, dovrebbero cooperare all'elaborazione e all'adozione di una tassonomia e di un modello comuni per la descrizione delle cause tecniche e delle ripercussioni degli incidenti di cibersicurezza nelle relazioni sulla situazione, al fine di rafforzare ulteriormente la cooperazione tecnica e operativa durante le crisi. A tale riguardo, gli Stati membri dovrebbero tener conto dei lavori in corso nell'ambito del gruppo di cooperazione sugli orientamenti in materia di notifica degli incidenti, in particolare, degli aspetti relativi al formato delle notifiche nazionali.

(8)

Le procedure stabilite nel quadro dovrebbero essere provate e, se necessario, rivedute a seguito degli insegnamenti tratti dalla partecipazione degli Stati membri alle esercitazioni di cibersicurezza a livello nazionale, regionali, dell'Unione e della NATO, nonché nell'ambito della diplomazia cibernetica. Dovrebbero essere provate in particolare nel quadro delle esercitazioni Cyber Europe organizzate dall'ENISA. Cyber Europe 2018 offre per la prima volta questa opportunità.

(9)

Gli Stati membri e le istituzioni dell'UE dovrebbero organizzare regolarmente esercitazioni per verificare la loro risposta agli incidenti e alle crisi di cibersicurezza su vasta scala a livello nazionale ed europeo, anche per quanto riguarda la risposta politica, se del caso coinvolgendo soggetti del settore privato.

Fatto a Bruxelles, il 13 settembre 2017

Per la Commissione

Mariya GABRIEL

Membro della Commissione

(1) Conclusioni del Consiglio sulla comunicazione dal titolo «Protezione delle infrastrutture critiche informatizzate — Realizzazioni e prossime tappe: verso una sicurezza informatica mondiale», documento 10299/11, Bruxelles, 27 maggio 2011.

(2) COM(2016) 410 final del 5 luglio 2016.

(3) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

(4) Documento 14540/16, 15 novembre 2016.

(5) Ulteriori informazioni sono disponibili nella sezione 3.1. dell'appendice sulla gestione delle crisi, sui meccanismi di cooperazione e sugli attori a livello di UE.

(6) Ibidem.

(7) Decisione 2014/496/PESC del Consiglio, del 22 luglio 2014, sugli aspetti del dispiegamento, del funzionamento e dell'utilizzo del sistema globale di navigazione via satellite europeo che hanno incidenza sulla sicurezza dell'Unione europea e che abroga l'azione comune 2004/552/PESC (GU L 219 del 25.7.2014, pag. 53).

(8) In corso di elaborazione; dovrebbero essere adottate entro la fine del 2017.

(9) Gli orientamenti dovrebbero essere completati entro la fine del 2017.

(10) Conclusioni del Consiglio su un quadro relativo ad una risposta diplomatica comune dell'UE alle attività informatiche dolose («pacchetto di strumenti della diplomazia informatica»), documento 9916/17.

(11) Documento di lavoro dei servizi della Commissione: «EU operational protocol for countering hybrid threats “EU Playbook”», SWD(2016) 227 final del 5 luglio 2016.

(12) ST 15283/16, 6 dicembre 2016.

ALLEGATO

Programma per una risposta coordinata agli incidenti e alle crisi di cibersicurezza transfrontalieri su vasta scala

INTRODUZIONE

Il presente programma si applica agli incidenti di cibersicurezza che causano perturbazioni talmente ampie da non poter essere gestite autonomamente dallo Stato membro interessato o che interessano due o più Stati membri o istituzioni dell'UE e hanno un impatto di rilevanza tecnica o politica di così vasta portata da richiedere un coordinamento politico e una risposta tempestivi a livello di Unione.

Gli incidenti di cibersicurezza su vasta scala sono da considerarsi al pari di una «crisi» di cibersicurezza.

In caso di crisi a livello di UE che presenti elementi di cibersicurezza, il coordinamento della risposta a livello politico dell'Unione deve essere effettuato dal Consiglio mediante i dispositivi integrati per la risposta politica alle crisi (IPCR).

All'interno della Commissione il coordinamento avviene conformemente al sistema di allarme rapido ARGUS.

Per le crisi che presentano un'importante dimensione esterna o una forte correlazione con la politica di sicurezza e di difesa comune (PSDC) viene attivato il meccanismo di risposta alle crisi del SEAE.

Il programma descrive il modo in cui tali meccanismi ben consolidati per la gestione delle crisi devono fare pieno ricorso ai soggetti esistenti a livello dell'UE incaricati della cibersicurezza, nonché ai meccanismi di cooperazione tra gli Stati membri.

A tal fine, il programma tiene conto di una serie di principi guida (proporzionalità, sussidiarietà, complementarità e riservatezza delle informazioni) e indica gli obiettivi principali della cooperazione (risposta efficace, conoscenza situazionale condivisa, messaggi di comunicazione pubblica) a tre livelli (strategico/politico, operativo e tecnico), i meccanismi, i soggetti coinvolti e le attività da svolgere per conseguire gli obiettivi principali di cui sopra.

Il programma non copre l'intero ciclo di gestione delle crisi (prevenzione/attenuazione, preparazione, risposta, ripristino) ma si concentra sulla risposta. Ciononostante contempla alcune attività, in particolare quelle correlate al conseguimento di una conoscenza situazionale condivisa.

È altresì importante osservare che gli incidenti di cibersicurezza possono scatenare una crisi più ampia, o essere parte di una tale crisi, e avere quindi ripercussioni in altri ambiti. Dato che si presume che la maggior parte delle crisi di cibersicurezza abbiano un impatto sul mondo fisico, qualsiasi risposta adeguata deve basarsi su attività di attenuazione concernenti sia l'ambito informatico che altri ambiti. L'attività di risposta alle crisi cibernetiche dovrebbero essere coordinate con altri meccanismi di gestione delle crisi a livello UE, nazionale o settoriale.

Infine, il programma non sostituisce, e lascia pertanto impregiudicati, i meccanismi, le disposizioni o gli strumenti specifici per determinati settori o politiche, come lo strumento istituito per il programma del sistema globale europeo di navigazione satellitare (GNSS) (1).

Principi guida

Nello svolgimento delle attività finalizzate al conseguimento degli obiettivi, nell'individuazione delle attività necessarie e nell'attribuzione dei ruoli e delle responsabilità ai soggetti o ai meccanismi, sono stati applicati i seguenti principi guida, che devono essere rispettati anche nell'elaborazione delle future linee guida di attuazione.

Proporzionalità: la stragrande maggioranza degli incidenti di cibersicurezza che colpiscono gli Stati membri hanno una portata di gran lunga inferiore a quella che permetterebbe di considerarli alla stregua di una «crisi» nazionale, tanto meno una crisi europea. La base della cooperazione tra gli Stati membri nel reagire a tali incidenti è fornita dalla rete dei gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT) istituita dalla direttiva NIS (2). I CSIRT nazionali collaborano e si scambiano informazioni su base volontaria e giornaliera, se necessario anche in risposta a incidenti di cibersicurezza che interessano uno o più Stati membri, in linea con le procedure operative standard (POS) della rete dei CSIRT. Il programma dovrebbe pertanto prevedere il pieno ricorso alle POS, che dovrebbero contemplare ulteriori compiti specifici per le crisi di cibersicurezza.

Sussidiarietà: il principio di sussidiarietà è fondamentale. Gli Stati membri hanno la responsabilità primaria di reagire in caso di incidenti o crisi di cibersicurezza su vasta scala che li riguardino. La Commissione, il Servizio europeo per l'azione esterna e le istituzioni, gli organi, gli uffici e le agenzie dell'UE hanno tuttavia un ruolo importante. Tale ruolo è definito chiaramente nei dispositivi IPCR, ma deriva anche dal diritto dell'Unione o semplicemente dal fatto che gli incidenti e le crisi di cibersicurezza possono avere ripercussioni su tutti i settori dell'attività economica nel mercato unico, sulla sicurezza e sulle relazioni internazionali dell'Unione, nonché sulle istituzioni stesse.

Complementarità: il programma prende pienamente in considerazione i meccanismi di gestione delle crisi esistenti a livello UE, vale a dire i dispositivi integrati per la risposta politica alle crisi (IPCR), ARGUS e il meccanismo di risposta alle crisi del SEAE, vi integra le nuove strutture e i nuovi meccanismi previsti dalla direttiva NIS, ossia la rete dei CSIRT, come pure le agenzie e gli organismi competenti, ossia l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), il Centro europeo per la lotta alla criminalità informatica di Europol (Europol/EC3), il Centro dell'UE di analisi dell'intelligence (INTCEN), la direzione di intelligence dello Stato maggiore dell'Unione europea (EUMS INT) e la sala situazione (SITROOM) presso l'INTCEN, che collaborano come capacità unica di analisi dell'intelligence (SIAC); la cellula dell'UE per l'analisi delle minacce ibride (presso l'INTCEN); e la squadra di pronto intervento informatico per le istituzioni, gli organi e le agenzie dell'UE (CERT-UE). A tal fine, il programma dovrebbe anche garantire che la loro interazione e cooperazione avvengano all'insegna della massima complementarità e della minima sovrapposizione.

Riservatezza delle informazioni: Tutti gli scambi di informazioni nel contesto del programma devono essere conformi alle norme applicabili in materia di sicurezza (3) e di protezione dei dati personali e al protocollo TLP (Traffic Light Protocol) (4). Per lo scambio di informazioni classificate, indipendentemente dal sistema di classificazione utilizzato, dovrebbero essere utilizzati strumenti accreditati (5). Il trattamento dei dati personali avverrà nel rispetto delle norme UE applicabili, in particolare il regolamento generale sulla protezione dei dati (6), la direttiva relativa alla vita privata e alle comunicazioni elettroniche (7) e il regolamento (8) concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi, degli uffici e delle agenzie dell'Unione, nonché la libera circolazione di tali dati.

Obiettivi principali

La cooperazione nell'ambito del programma segue l'approccio a tre livelli di cui sopra: politico, operativo e tecnico. A ciascun livello la cooperazione, che può comprendere sia scambio di informazioni che azioni comuni, mira a conseguire gli obiettivi principali che si indicano di seguito.

—

Consentire una risposta efficace. La risposta può assumere molte forme, che vanno dall'individuazione di misure tecniche che possono comportare la ricerca congiunta — da parte di due o più soggetti — delle cause tecniche dell'incidente (ad esempio analisi dei programmi malevoli (malware)] o l'identificazione dei modi in cui le organizzazioni possono valutare se sono state colpite (ad esempio indicatori di compromissione) alle decisioni operative sull'applicazione di tali misure tecniche e, a livello politico, sulla scelta di ricorrere ad altri strumenti quali la risposta diplomatica dell'UE alle attività informatiche dolose («pacchetto di strumenti della diplomazia informatica») o il protocollo operativo dell'UE per contrastare le minacce ibride, in funzione dell'incidente.

—

Condividere la conoscenza situazionale. Per una risposta coordinata è fondamentale una buona comprensione degli eventi a mano a mano che si verificano da parte di tutti i portatori di interessi a tutti e tre i livelli (tecnico, operativo, politico). La conoscenza situazionale può comprendere gli elementi tecnologici relativi alle cause, all'impatto e all'origine dell'incidente. Dato che gli incidenti di cibersicurezza possono interessare numerosi settori (finanza, energia, trasporti, assistenza sanitaria ecc.), è indispensabile che le informazioni appropriate giungano a tutti i portatori di interessi in modo tempestivo e nel formato adeguato.

—

Concordare i principali messaggi di comunicazione pubblica (9). Le comunicazioni in caso di crisi svolgono un ruolo importante nel limitare gli effetti negativi degli incidenti e delle crisi di cibersicurezza, ma possono anche essere utilizzate come strumento per influenzare il comportamento dei (potenziali) aggressori. Un messaggio appropriato che segnala chiaramente le possibili conseguenze di una risposta diplomatica può anche servire a influenzare il comportamento degli aggressori. L'allineamento della comunicazione pubblica per attenuare gli effetti negativi degli incidenti e delle crisi di cibersicurezza e la comunicazione pubblica intesa a influenzare gli aggressori sono essenziali per dare efficacia alla risposta politica. Di particolare importanza nella cibersicurezza è la diffusione ai cittadini di informazioni accurate e utilizzabili su come attenuare le conseguenze di un incidente (ad esempio applicando aggiornamenti di sicurezza, effettuando azioni complementari per evitare la minaccia ecc.).

COOPERAZIONE A LIVELLO TECNICO, OPERATIVO E STRATEGICO/POLITICO TRA STATI MEMBRI E TRA STATI MEMBRI E SOGGETTI DELL'UE

Una risposta efficace agli incidenti o alle crisi di cibersicurezza su vasta scala a livello dell'UE dipende dall'efficacia della cooperazione tecnica, operativa e strategica/politica.

A ciascun livello i soggetti coinvolti dovrebbero svolgere attività specifiche per il raggiungimento di tre obiettivi principali:

—	risposta coordinata,

—	condivisione della conoscenza situazionale,

—	comunicazioni pubbliche.

Per tutta la durata dell'incidente o della crisi, i livelli inferiori della cooperazione allertano, informano e sostengono i livelli superiori, mentre i livelli superiori forniscono orientamenti (10) e prendono decisioni per i livelli inferiori, a seconda dei casi.

Cooperazione a livello tecnico

Ambito delle attività:

—	trattamento dell'incidente (11) durante una crisi di cibersicurezza,

—	monitoraggio e sorveglianza dell'incidente, compresa l'analisi continua delle minacce e dei rischi.

Soggetti potenziali

A livello tecnico, il programma individua il meccanismo centrale di cooperazione nella rete dei CSIRT, presieduta dalla presidenza e il cui segretariato è fornito dall'ENISA.

—

Stati membri:

—	autorità competenti e punti di contatto unici istituiti dalla direttiva NIS

—

CSIRT

—

Organismi/uffici/agenzie dell'UE:

—

ENISA

—	Europol/EC3

—

CERT-UE

—

Commissione europea:

—

il Centro di coordinamento della risposta alle emergenze (ERCC) (servizio operativo attivo 24 ore su 24, 7 giorni su 7 presso la DG ECHO) e il servizio capofila designato (da scegliere tra la DG CNECT e la DG HOME in funzione della natura specifica dell'incidente), il segretariato generale (segretariato ARGUS), la DG HR (direzione Sicurezza), la DG DIGIT (Aspetti operativi della sicurezza informatica)

—	per le altre agenzie dell'UE (12) la rispettiva DG di riferimento della Commissione o del SEAE (primo punto di contatto)

—

SEAE:

—	capacità unica di analisi dell'intelligence (SIAC: INTCEN dell'UE e EUMS INT)

—	sala situazione dell'UE e servizi geografici o tematici designati

—	cellula dell'UE per l'analisi delle minacce ibride (parte dell'INTCEN dell'UE: cibersicurezza in un contesto ibrido).

Condivisione della conoscenza situazionale

—

Nell'ambito della costante cooperazione a livello tecnico per sostenere la conoscenza situazionale dell'Unione, l'ENISA dovrebbe elaborare periodicamente la relazione sulla situazione tecnica della cibersicurezza nell'UE in merito alle minacce e agli incidenti, sulla base delle informazioni pubblicamente disponibili, della propria analisi e delle relazioni condivise di CSIRT degli Stati membri (su base volontaria) o dai punti di contatto unici istituiti dalla direttiva NIS, dal Centro europeo per la lotta alla criminalità informatica (EC3) presso Europol, dal CERT-UE e, ove necessario, dal Centro dell'UE di analisi dell'intelligence (INTCEN) presso il Servizio europeo per l'azione esterna (SEAE). La relazione dovrebbe essere messa a disposizione delle istanze competenti del Consiglio, della Commissione, dell'AR/VP e della rete dei CSIRT.

—	In caso di incidente grave il presidente della rete dei CSIRT, assistito dall'ENISA, elabora una relazione sulla situazione degli incidenti di cibersicurezza nell'UE (13), che viene presentata alla presidenza, alla Commissione e all'AR/VP attraverso il CSIRT della presidenza di turno.

—	Tutte le altre agenzie dell'UE riferiscono alle loro rispettive DG di riferimento, che a loro volta riferiscono al servizio capofila della Commissione.

—	CERT-UE fornisce relazioni tecniche alla rete dei CSIRT, alle istituzioni e alle agenzie dell'UE (se necessario) e ad ARGUS (se attivato).

—	Europol/EC3 (14) e CERT-UE forniscono l'analisi forense effettuata da esperti degli artefatti tecnici e altre informazioni tecniche alla rete dei CSIRT.

—	SEAE SIAC: la cellula dell'UE per l'analisi delle minacce ibride riferisce, per conto dell'INTCEN, ai pertinenti dipartimenti del SEAE.

Risposta

—	La rete dei CSIRT scambia informazioni e analisi tecniche sull'incidente, quali indirizzi IP, indicatori di compromissione (15) ecc. Tali informazioni devono essere fornite all'ENISA senza indebito ritardo ed entro 24 ore dal momento in cui l'incidente viene individuato.

—	Secondo le procedure operative standard della rete dei CSIRT, i membri collaborano negli sforzi volti ad analizzare gli artefatti tecnici disponibili e altre informazioni tecniche relative all'incidente, al fine di stabilirne le cause e le possibili misure tecniche di attenuazione.

—	L'ENISA assiste i CSIRT nelle loro attività tecniche, basandosi sulla propria competenza e conformemente al suo mandato (16).

—	I CSIRT degli Stati membri coordinano le loro attività tecniche di risposta con l'assistenza dell'ENISA e della Commissione.

—	SEAE SIAC: la cellula dell'UE per l'analisi delle minacce ibride lancia, per conto dell'INTCEN, la procedura per raccogliere gli elementi di prova iniziali.

Comunicazioni pubbliche

—	I CSIRT elaborano consigli tecnici (17) e allarmi sulla vulnerabilità (18) e li diffondono alle rispettive comunità e al pubblico in base alle procedure di autorizzazione applicabili in ciascun caso.

—	L'ENISA facilita la produzione e la diffusione delle comunicazioni comuni della rete dei CSIRT.

—	L'ENISA coordina le proprie attività di comunicazione pubblica con la rete dei CSIRT e il servizio del portavoce della Commissione.

—	L'ENISA e l'EC3 coordinano le loro attività di comunicazione pubblica in base alla conoscenza situazionale condivisa concordata tra gli Stati membri. Entrambi coordinano le loro attività di comunicazione pubblica con il servizio del portavoce della Commissione.

—	Se la crisi comporta una dimensione esterna o di politica di sicurezza e di difesa comune (PSDC), la comunicazione pubblica dovrebbe essere coordinata con il SEAE e il servizio del portavoce dell'AR/VP.

Cooperazione a livello operativo

Ambito delle attività:

—	preparare il processo decisionale a livello politico,

—	coordinare la gestione delle crisi di cibersicurezza (se necessario)

—	valutare le conseguenze e l'impatto a livello dell'UE e proporre eventuali misure di attenuazione

Soggetti potenziali

—

Stati membri:

—	autorità competenti e punti di contatto unici istituiti dalla direttiva NIS

—	CSIRT, agenzie per la sicurezza informatica

—	altre autorità settoriali nazionali (in caso di incidenti o crisi multisettoriali).

—

Organismi/uffici/agenzie dell'UE:

—

ENISA

—	Europol/EC3

—

CERT-UE

—

Commissione europea:

—	il segretario generale (aggiunto) SG (procedura ARGUS),

—	DG CNECT/HOME

—	l'autorità di sicurezza della Commissione

—	altre DG (in caso di incidenti o crisi multisettoriali)

—

SEAE:

—	Segretario generale (aggiunto) per la risposta alle crisi e la SIAC (INTCEN dell'UE ed EUMS INT)

—	cellula dell'UE per l'analisi delle minacce ibride

—

Consiglio:

—	presidenza (presidente del gruppo orizzontale per le questioni riguardanti il ciberspazio o del Coreper (19)) con l'assistenza del segretariato generale del Consiglio o del CPS (20) e, se attivati, con il sostegno dei dispositivi IPCR.

Conoscenza situazionale

—	Assistenza all'elaborazione di relazioni sulla situazione politica/strategica (ad esempio le relazioni ISAA in caso di attivazione dei dispositivi IPCR).

—	Il gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio prepara le riunioni del Coreper o del CPS, laddove opportuno.

—

In caso di attivazione dei dispositivi IPCR,

—

la presidenza può convocare tavole rotonde a sostegno della preparazione delle riunioni del Coreper o del CPS, con la partecipazione dei portatori di interessi negli Stati membri, delle istituzioni, delle agenzie e dei terzi, quali i paesi terzi e le organizzazioni internazionali. Si tratta di riunioni di crisi per individuare le strozzature e presentare proposte di azione per le questioni trasversali,

—

il servizio capofila della Commissione o il SEAE in qualità di servizio capofila per l'ISAA elabora la relazione ISAA con i contributi dell'ENISA, della rete dei CSIRT, di Europol/EC3, dell'EUMS INT, dell'INTCEN e di tutti gli altri soggetti coinvolti. La relazione ISAA rappresenta una valutazione che abbraccia l'intera UE, basata sulla correlazione degli incidenti tecnici e della valutazione delle crisi (analisi delle minacce, valutazione dei rischi, conseguenze ed effetti non tecnici, aspetti dell'incidente o della crisi non legati alla cibersicurezza ecc.), adeguata alle esigenze del livello politico e del livello operativo.

—

In caso di attivazione dei dispositivi ARGUS,

—	il CERT-UE e l'EC3 (21) contribuiscono direttamente allo scambio di informazioni all'interno della Commissione.

—

In caso di attivazione del meccanismo di risposta alle crisi del SEAE,

—	la SIAC intensifica la sua raccolta di informazioni, aggrega le informazioni di tutte le fonti ed elabora l'analisi e la valutazione dell'incidente.

Risposta (su richiesta del livello politico)

—	Cooperazione transfrontaliera con il punto di contatto unico e le autorità nazionali competenti (direttiva NIS) per attenuare le conseguenze e gli effetti.

—	Attivazione di tutte le misure tecniche di attenuazione e coordinamento delle capacità tecniche necessarie per arrestare o ridurre l'impatto degli attacchi sui sistemi informatici bersaglio.

—	Cooperazione e, se stabilito, coordinamento delle capacità tecniche verso una risposta comune o collaborativa secondo le POS della rete dei CSIRT .

—	Valutazione della necessità di collaborare con terzi pertinenti.

—	Processo decisionale nell'ambito della procedura ARGUS (se attivata).

—	(se attivati) coordinamento nell'ambito dei dispositivi IPCR (se attivati).

—

Sostegno al processo decisionale del SEAE (se attivato), attraverso il meccanismo di risposta alle crisi del SEAE, anche per quanto riguarda i contatti con i paesi terzi e le organizzazioni internazionali, nonché qualsiasi misura volta a tutelare le missioni e le operazioni della PSDC e le delegazioni dell'UE.

Comunicazioni pubbliche

—	Concordare i messaggi pubblici relativi all'incidente.

—	Se la crisi comporta una dimensione esterna o di politica di sicurezza e di difesa comune (PSDC), la comunicazione pubblica dovrebbe essere coordinata con il SEAE e il servizio del portavoce dell'AR/VP.

Cooperazione a livello strategico/politico

Soggetti potenziali

—	Per gli Stati membri, i ministri responsabili della cibersicurezza

—	Per il Consiglio europeo, il presidente

—	Per il Consiglio, la presidenza di turno

—	In caso di misure nell'ambito del «pacchetto di strumenti della diplomazia informatica», il CPS e il gruppo orizzontale

—	Per la Commissione europea, il presidente o il vicepresidente/commissario delegato

—	L'Alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza e Vicepresidente della Commissione.

Ambito delle attività: gestione strategica e politica degli aspetti informatici e non della crisi, comprese le misure nell'ambito del quadro relativo a una risposta diplomatica comune dell'UE alle attività informatiche dolose.

Condivisione della conoscenza situazionale

—	Individuare le conseguenze delle perturbazioni causate dalla crisi sul funzionamento dell'Unione.

Risposta

—	Attivare meccanismi/strumenti supplementari per la gestione delle crisi a seconda della natura e dell'impatto dell'incidente, ad esempio, il meccanismo di protezione civile.

—	Adottare misure nell'ambito del quadro per una risposta diplomatica comune dell'UE alle attività informatiche dolose.

—	Mettere a disposizione degli Stati membri coinvolti l'assistenza di emergenza, ad esempio attivando il Fondo di risposta alle emergenze cibernetiche (22), quando sarà operativo.

—	Cooperare e coordinarsi con le organizzazioni internazionali, laddove appropriato, quali le Nazioni Unite (ONU), l'Organizzazione per la sicurezza e la cooperazione in Europa (OSCE) e soprattutto la NATO.

—	Valutare le implicazioni in materia di difesa e sicurezza nazionale.

Comunicazioni pubbliche

Decidere una strategia di comunicazione comune destinata al pubblico.

RISPOSTA COORDINATA CON GLI STATI MEMBRI A LIVELLO DELL'UE NELL'AMBITO DEI DISPOSITIVI IPCR

Secondo il principio di complementarità a livello dell'UE, la presente sezione introduce ed esamina nello specifico l'obiettivo, le responsabilità e le attività principali delle autorità degli Stati membri, della rete dei CSIRT, dell'ENISA, di CERT-UE, di Europol/EC3, dell'INTCEN, della cellula dell'UE per l'analisi delle minacce ibride e del gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio nell'ambito della procedura IPCR. Si presume che i soggetti agiscano nel rispetto delle procedure stabilite a livello nazionale o dell'UE.

È essenziale notare che, come si evince dalla figura 1, indipendentemente dall'attivazione dei meccanismi di gestione della crisi dell'UE, le attività a livello nazionale e la cooperazione all'interno della rete dei CSIRT (se necessario) durante qualsiasi incidente/crisi si svolgono secondo i principi di sussidiarietà e di proporzionalità.

Figura 1

Risposta a livello dell'UE in caso di incidente/crisi di cibersicurezza

Tutte le attività descritte di seguito devono essere svolte in conformità e secondo le procedure/norme operative standard dei meccanismi di cooperazione coinvolti e in linea con i mandati e le competenze stabiliti dei singoli soggetti e istituzioni. Tali procedure/norme potrebbero necessitare di alcune integrazioni o modifiche per conseguire la cooperazione migliore possibile e una risposta efficace agli incidenti e alle crisi di cibersicurezza su vasta scala.

Non è sempre necessario che tutti i soggetti indicati di seguito debbano agire in tutti gli incidenti specifici. Tuttavia il programma e le pertinenti procedure operative standard dei meccanismi di cooperazione dovrebbero prevedere il loro eventuale coinvolgimento.

Considerato il diverso grado di impatto che un incidente o una crisi di cibersicurezza possono avere sulla società, occorrerà assicurare un elevato grado di flessibilità per quanto riguarda il coinvolgimento di soggetti settoriali a tutti i livelli e risposte appropriate mediante attività di attenuazione informatiche e non.

Gestione delle crisi di cibersicurezza — Integrare la cibersicurezza nella procedura IPCR

I dispositivi IPCR, descritti nelle POS dell'IPCR (23), seguono in ordine di sequenza le fasi descritte di seguito (l'uso di alcune di queste misure dipenderà dalla situazione).

In ciascuna fase sono indicati i soggetti e le attività specifiche per la cibersicurezza. Per facilità di lettura, in ciascuna fase è riportato il testo delle POS dell'IPCR, seguito dalle attività specifiche del programma. Questo approccio fase per fase consente anche una chiara identificazione delle lacune esistenti, nelle capacità e nelle procedure necessarie, che ostacolano una risposta efficace alle crisi di cibersicurezza.

La figura 2 (in basso (24)) è una rappresentazione grafica della procedura dell'IPCR; i nuovi elementi introdotti sono evidenziati in blu.

Figura 2

Elementi specifici di cibersicurezza nella procedura IPCR

Nota: data la natura delle minacce ibride in ambito cibernetico, che sono destinate a restare al di sotto della soglia di crisi riconoscibile, l'UE deve adottare misure di prevenzione e preparazione. La cellula dell'UE per l'analisi delle minacce ibride è incaricata di analizzare rapidamente gli incidenti rilevanti e di informare le appropriate strutture di coordinamento. Le relazioni periodiche presentate dalla cellula possono contribuire con informazioni utili al processo decisionale settoriale per migliorare la preparazione.

—

Fase 1 — Monitoraggio settoriale periodico e allarmi. Le relazioni settoriali periodiche sulla situazione e gli allarmi forniscono indicazioni alla presidenza del Consiglio dell'UE sullo sviluppo di una crisi e sulle sue possibili evoluzioni.

—	Lacuna individuata: attualmente non sono previsti relazioni periodiche e coordinate sulla situazione e allarmi sugli incidenti (e le minacce) cibernetiche a livello dell'UE.

—

Programma: monitoraggio/presentazione di relazioni sulla situazione della cibersicurezza nell'UE

—

L'ENISA elaborerà una relazione periodica sulla situazione tecnica della cibersicurezza nell'UE in merito agli incidenti e alle minacce cibernetiche, sulla base delle informazioni pubblicamente disponibili, della propria analisi e delle relazioni condivise di CSIRT degli Stati membri (su base volontaria) o dai punti di contatto unici istituiti dalla direttiva NIS, dal Centro europeo per la lotta alla criminalità informatica (EC3) presso Europol, dal CERT-UE e dal Centro dell'UE di analisi dell'intelligence (INTCEN) presso il Servizio europeo per l'azione esterna (SEAE). La relazione dovrebbe essere messa a disposizione delle istanze competenti del Consiglio, della Commissione e della rete dei CSIRT.

—	La cellula dell'UE per l'analisi delle minacce ibride dovrebbe redigere una relazione sulla situazione operativa della cibersicurezza nell'UE per conto della SIAC. La relazione è di ausilio anche il quadro per una risposta diplomatica comune dell'UE alle attività informatiche dolose.

—	Entrambe le relazioni sono trasmesse ai portatori di interessi nazionali e dell'UE per contribuire alla loro conoscenza situazionale, informare il processo decisionale e facilitare la cooperazione regionale transfrontaliera.

Dopo l'individuazione di un incidente

—

Fase 2 — Analisi e consulenza. In base ai dati di monitoraggio e agli allarmi disponibili, i servizi della Commissione, il SEAE e l'SGC si tengono reciprocamente informati sui possibili sviluppi, per essere pronti a fornire una consulenza alla presidenza sull'eventuale attivazione (integrale o in modalità di condivisione delle informazioni) dell'IPCR.

—

Programma

—	Per la Commissione, DG CNECT, DG HOME, DG HR.DS e DG DIGIT con l'assistenza dell'ENISA, dell'EC3 e del CERT-UE.

—

SEAE: sulla base del lavoro della SITROOM e delle fonti di intelligence, la cellula dell'UE per l'analisi delle minacce ibride fornisce una conoscenza situazionale delle minacce ibride effettive e potenziali che interessano l'UE e i suoi partner, comprese le minacce cibernetiche. Pertanto, se l'analisi e la valutazione della cellula dell'UE per l'analisi delle minacce ibride indica l'esistenza di possibili minacce contro uno Stato membro, i paesi o le organizzazioni partner, l'INTCEN informerà (in prima istanza) il livello operativo, secondo le procedure stabilite. Il livello operativo elaborerà quindi le raccomandazioni per il livello strategico/politico, tra cui l'eventuale attivazione dei dispositivi di gestione delle crisi in modalità di monitoraggio (ad esempio il meccanismo di risposta alle crisi del SEAE o la pagina di monitoraggio dell'IPCR).

—	Il presidente della rete dei CSIRT, assistito dall'ENISA, elabora una relazione sulla situazione degli incidenti di cibersicurezza nell'UE (25), che viene presentata alla presidenza, alla Commissione e all'AR/VP attraverso il CSIRT della presidenza di turno.

—

Fase 3 — Valutazione/Decisione in merito all'attivazione dell'IPCR. La presidenza valuta la necessità di un coordinamento politico, di uno scambio di informazioni o di un processo decisionale a livello dell'UE. A tal fine, la presidenza può convocare una tavola rotonda informale. La presidenza effettua una prima individuazione dei settori che richiedono il coinvolgimento del Coreper o del Consiglio. Ciò costituirà la base degli orientamenti per l'elaborazione delle relazioni sull'analisi e la conoscenza situazionale integrate (Integrated Situational Awareness and Analysis — ISAA). In base alle caratteristiche della crisi, alle sue possibili conseguenze e alle relative esigenze politiche, la presidenza deciderà in merito all'opportunità di convocare riunioni dei pertinenti gruppi di lavoro del Consiglio e/o del Coreper e/o del CPS.

—

Programma

—

Partecipanti alla tavola rotonda:

—	i servizi della Commissione e il SEAE forniranno consulenza alla presidenza sui rispettivi settori di competenza;

—	i rappresentanti degli Stati membri nel gruppo orizzontale per le questioni riguardanti il ciberspazio, coadiuvati da esperti delle capitali (CSIRT, autorità competenti per la cibersicurezza ecc.);

—	orientamento politico/strategico per le relazioni ISAA, in base alla più recente relazione sulla situazione degli incidenti di cibersicurezza nell'UE e alle informazioni aggiuntive fornite dai partecipanti alla tavola rotonda;

—

gruppi di lavoro e comitati pertinenti:

—	Gruppo orizzontale per le questioni riguardanti il ciberspazio.

La Commissione, il SEAE e l'SGC, in pieno accordo e associandosi alla presidenza, possono inoltre decidere di attivare l'IPCR nella modalità di condivisione delle informazioni mediante la creazione di una pagina di crisi, per preparare il terreno per un'eventuale attivazione completa.

—

Fase 4 — Attivazione dell'IPCR/Raccolta e scambio di informazioni. In seguito all'attivazione (sia in modalità di condivisione delle informazioni sia completa) viene creata una pagina di crisi sulla piattaforma web dell'IPCR, che consente lo scambio di informazioni specifiche incentrate sugli aspetti che contribuiranno ad alimentare l'ISAA e a preparare la discussione a livello politico. La scelta del servizio capofila per l'ISAA (uno dei servizi della Commissione o il SEAE) dipenderà dalle circostanze del caso.

—

Fase 5 — Elaborazione di relazioni ISAA. Sarà avviata l'elaborazione di relazioni ISAA. La Commissione/il SEAE pubblicherà relazioni ISAA, come indicato nelle POS ISAA, e potrà favorire ulteriormente lo scambio di informazioni sulla piattaforma web dell'IPCR o formulare specifiche richieste di informazione. Le relazioni ISAA saranno elaborate per soddisfare le esigenze del livello politico (ossia Coreper o Consiglio), come stabilito dalla presidenza e come indicato nei suoi orientamenti, consentendo in tal modo una visione d'insieme strategica della situazione e un dibattito informato sui punti all'ordine del giorno definiti dalla presidenza. Secondo le POS ISAA, la natura della crisi di cibersicurezza determinerà se la relazione ISAA sarà preparata da uno dei servizi della Commissione (DG CNECT, DG HOME) o dal SEAE.

A seguito dell'attivazione dell'IPCR, la presidenza delineerà gli specifici settori di interesse per l'ISAA al fine di sostenere il coordinamento politico e/o il processo decisionale in seno al Consiglio. La presidenza preciserà anche la data di presentazione della relazione, previa consultazione dei servizi della Commissione e del SEAE.

—

Programma

—

La relazione ISAA comprende contributi dei servizi pertinenti, tra cui:

—	la rete dei CSIRT, sotto forma di relazione sulla situazione degli incidenti di cibersicurezza nell'UE;

—	l'EC3, la SITROOM, la cellula dell'UE per l'analisi delle minacce ibride e il CERT-UE. La cellula dell'UE per l'analisi delle minacce ibride fornirà sostegno e contributi al servizio capofila per l'ISAA e alla tavola rotonda dell'IPCR, a seconda del caso;

—	le agenzie e gli organismi settoriali dell'UE in funzione dei settori colpiti;

—	le autorità degli Stati membri (diverse dai CSIRT).

—

Raccolta di contributi ISAA (26):

—

per la Commissione e le agenzie dell'UE: il sistema informatico ARGUS costituirà la rete nevralgica interna per l'ISAA. Le agenzie dell'UE invieranno i loro contributi alle rispettive direzioni generali responsabili che, a loro volta, alimenteranno il sistema ARGUS con le informazioni pertinenti. I servizi della Commissione e le agenzie raccoglieranno informazioni dalle reti settoriali già in essere con gli Stati membri e le organizzazioni internazionali e da altre fonti pertinenti;

—	per il SEAE: la sala situazione dell'UE, con il sostegno degli altri uffici competenti del SEAE, costituirà la rete nevralgica interna e il punto di contatto unico per l'ISAA. Il SEAE raccoglierà informazioni presso i paesi terzi e le organizzazioni internazionali pertinenti.

—

Fase 6 — Preparazione della tavola rotonda informale della presidenza. La presidenza, assistita dal segretariato generale del Consiglio, definirà la tempistica, l'ordine del giorno, i partecipanti e gli esiti attesi (eventuali risultati tangibili) della tavola rotonda informale della presidenza. Il segretariato generale del Consiglio trasmetterà le informazioni pertinenti alla piattaforma web dell'IPCR a nome della presidenza e, in particolare, pubblicherà la convocazione della riunione.

—

Fase 7 — Tavola rotonda della presidenza/misure preparatorie per il coordinamento politico/il processo decisionale dell'UE. La presidenza convocherà una tavola rotonda informale per valutare la situazione, nonché preparare ed esaminare gli elementi che devono essere portati all'attenzione del Coreper o del Consiglio. La tavola rotonda informale della presidenza sarà anche la sede per sviluppare, esaminare e discutere tutte le proposte di azione da sottoporre al Coreper/Consiglio.

—

Programma

—	Il gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio dovrebbe preparare il comitato politico e di sicurezza (CPS) o il Coreper.

—

Fase 8 — Coordinamento politico e processo decisionale in seno al Coreper/Consiglio. I risultati delle riunioni del Coreper/delle sessioni del Consiglio riguardano il coordinamento delle attività di risposta a tutti i livelli, le decisioni sulle misure straordinarie, le dichiarazioni politiche ecc. Tali decisioni costituiscono altresì orientamenti politici/strategici aggiornati per l'ulteriore elaborazione di relazioni ISAA.

—

Programma

—

La decisione politica di coordinare la risposta alla crisi di cibersicurezza è attuata mediante le attività (svolte dai soggetti pertinenti), descritte nella precedente sezione 1 «Cooperazione a livello politico/strategico, operativo e tecnico» per quanto riguarda la risposta e la comunicazione pubblica.

—	L'elaborazione di relazioni ISAA continua sulla base della cooperazione a livello tecnico, operativo e politico/strategico per quanto riguarda la conoscenza situazionale, anch'essa descritta nella precedente sezione 1.

—

Fase 9 — Monitoraggio dell'impatto. Il servizio capofila per l'ISAA fornirà, con il sostegno di coloro che contribuiscono all'ISAA, informazioni sull'evoluzione della crisi e sull'impatto delle decisioni politiche adottate. Tale ritorno di informazioni sarà alla base di un processo in costante evoluzione, al fine di corroborare la decisione della presidenza di perseverare nel coinvolgimento del livello politico dell'UE o di ridurre il livello di attivazione dell'IPCR.

—

Fase 10 — Graduale cessazione. Seguendo la stessa procedura già adottata per l'attivazione, la presidenza può convocare una tavola rotonda informale per valutare l'opportunità di mantenere o no attiva l'IPCR. La presidenza può decidere di cessare l'attivazione o di ridurne il livello.

—

Programma

—	L'ENISA potrebbe essere invitata a contribuire o a svolgere un'indagine tecnica ex post dell'incidente in conformità alle disposizioni del suo mandato.

(1) Decisione 2014/496/PESC.

(2) Direttiva (UE) 2016/1148.

(3) Decisione (UE, Euratom) 2015/443 della Commissione, del 13 marzo 2015, sulla sicurezza nella Commissione (GU L 72 del 17.3.2015, pag. 41) e decisione (UE, Euratom) 2015/444 della Commissione, del 13 marzo 2015, sulle norme di sicurezza per proteggere le informazioni classificate (GU L 72 del 17.3.2015, pag. 53); decisione dell'alto rappresentante dell'Unione per gli Affari esteri e la politica di sicurezza, del 19 aprile 2013, relativa alle norme di sicurezza del Servizio europeo per l'azione esterna (GU C 190 del 29.6.2013, pag. 1); decisione 2013/488/UE del Consiglio, del 23 settembre 2013, sulle norme di sicurezza per proteggere le informazioni classificate UE (GU L 274 del 15.10.2013, pag. 1).

(4) https://www.first.org/tlp/

(5) A giugno 2016 questi canali di trasmissione comprendevano CIMS (sistema di gestione delle informazioni classificate), ACID (algoritmo di crittografia), RUE (sistema protetto per la creazione, lo scambio e l'archiviazione di documenti RESTREINT UE/EU RESTRICTED) e SOLAN. Tra gli altri mezzi, ad esempio per la trasmissione delle informazioni classificate, figurano PGP e S/MIME.

(6) Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati (GU L 119 del 4.5.2016, pag. 1)).

(7) Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU L 201 del 31.7.2002, pag. 37).

(8) Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU L 8 del 12.1.2001, pag. 1).

(9) È importante notare che per comunicazione pubblica si può intendere sia la comunicazione dell'incidente al pubblico in generale sia la comunicazione di ulteriori informazioni tecniche od operative ai settori critici e/o a coloro che sono stati colpiti. Ciò può richiedere l'utilizzo di canali di diffusione riservati e l'uso di specifici strumenti tecnici/piattaforme. In entrambi i casi la comunicazione con gli operatori e il pubblico in generale all'interno degli Stati membri è di competenza e responsabilità di ciascuno Stato membro. Pertanto, in linea con il principio di sussidiarietà di cui sopra, gli Stati membri e i CSIRT nazionali hanno la responsabilità finale delle informazioni diffuse rispettivamente all'interno del loro territorio e presso le comunità di loro competenza.

(10) «Autorizzazione ad agire»: in una crisi di cibersicurezza è di vitale importanza che i tempi di reazione siano rapidi, per definire le opportune azioni di attenuazione. Al fine di garantire questi tempi di reazione rapidi, uno Stato membro può emanare un'«autorizzazione ad agire» volontaria nei confronti di un altro Stato membro, dandogli il permesso di agire immediatamente, senza doversi consultare con i livelli superiori o con le istituzioni dell'UE e passare attraverso tutti i canali ufficiali normalmente richiesti, se ciò non richiesto in un determinato incidente (ad esempio, un CSIRT non dovrebbe consultarsi con i livelli superiori per trasmettere informazioni utili a un CSIRT in un altro Stato membro).

(11) Per «trattamento dell'incidente» si intendono tutte le procedure necessarie per l'identificazione, l'analisi e il contenimento di un incidente e l'intervento in caso di incidente.

(12) In base alla natura e all'impatto dell'incidente nei diversi settori di attività (finanza, trasporti, energia, assistenza sanitaria ecc.) saranno coinvolte le agenzie o gli organi pertinenti dell'Unione.

(13) La relazione sulla situazione degli incidenti di cibersicurezza nell'UE è elaborata aggregando le relazioni nazionali fornite dai CSIRT nazionali. Il formato della relazione dovrebbe essere descritto nelle procedure operative standard (POS) della rete dei CSIRT.

(14) In conformità alle condizioni e alle procedure stabilite nel quadro giuridico dell'EC3.

(15) Indicatore di compromissione (IOC): nell'informatica legale è un artefatto osservato in una rete o in un sistema operativo che indica con elevato livello di attendibilità l'intrusione in un computer. Tipici indicatori di compromissione sono le firme e gli indirizzi IP del virus, gli hash MD5 dei file di programmi malevoli o gli URL o i nomi di dominio dei server di comando e controllo delle botnet.

(16) Proposta di regolamento relativo all'ENISA, l'agenzia dell'UE per la sicurezza informatica, che abroga il regolamento (UE) n. 526/2013, e alla certificazione di cibersicurezza per le tecnologie dell'informazione e della comunicazione («regolamento sulla cibersicurezza»), 13 settembre 2017.

(17) Consulenza di natura tecnica sulle cause dell'incidente e sulle possibili misure di attenuazione.

(18) Informazioni sulla vulnerabilità tecnica che viene sfruttata per incidere negativamente sui sistemi informatici.

(19) Il Comitato dei rappresentanti permanenti o Coreper (articolo 240 del trattato sul funzionamento dell'Unione europea — TFUE) è responsabile della preparazione dei lavori del Consiglio dell'Unione europea.

(20) Il comitato politico e di sicurezza è un comitato del Consiglio dell'Unione europea che si occupa della politica estera e di sicurezza comune (PESC) di cui all'articolo 38 del trattato sull'Unione europea.

(21) In conformità alle condizioni e alle procedure stabilite nel quadro giuridico dell'EC3.

(22) Il Fondo di risposta alle emergenze cibernetiche è un'azione proposta nell'ambito della comunicazione congiunta «Resilience, Deterrence and Defence: Building strong cybersecurity for the EU», JOIN(2017) 450/1

(23) Dal documento 12607/15 sulle procedure operative standard dell'IPCR, approvato dal gruppo degli amici della presidenza, di cui il Coreper ha preso nota nell'ottobre 2015.

(24) Una versione più ampia della figura è riportata in appendice.

(25) La relazione sulla situazione degli incidenti di cibersicurezza nell'UE è elaborata aggregando le relazioni nazionali fornite dai CSIRT nazionali. Il formato della relazione dovrebbe essere descritto nelle procedure operative standard (POS) della rete dei CSIRT.

(26) POS ISAA

APPENDICE

1. GESTIONE DELLE CRISI, MECCANISMI DI COOPERAZIONE E SOGGETTI A LIVELLO DELL'UE

Meccanismi di gestione delle crisi

Dispositivi integrati per la risposta politica alle crisi (IPCR): i dispositivi integrati per la risposta politica alle crisi (IPCR), approvati dal Consiglio il 25 giugno 2013 (1), sono intesi a facilitare un coordinamento e una risposta tempestivi a livello politico dell'UE in caso di grave crisi. L'IPCR sostiene inoltre il coordinamento a livello politico della risposta all'invocazione della clausola di solidarietà (articolo 222 del TFUE), quale definita nella decisione 2014/415/UE del Consiglio relativa alle modalità di attuazione da parte dell'Unione della clausola di solidarietà, adottata il 24 giugno 2014. Le procedure operative standard (POS) dell'IPCR (2) stabiliscono la procedura di attivazione e le successive azioni da intraprendere.

ARGUS: sistema di coordinamento in caso di crisi istituito dalla Commissione europea nel 2005 per stabilire una specifica procedura di coordinamento in caso di grave crisi multisettoriale. Esso è sostenuto da un omonimo sistema di allarme rapido (strumento informatico). ARGUS si articola in due fasi, e la fase II (in caso di gravi crisi multisettoriali) comporta la convocazione di riunioni del Comitato di coordinamento di crisi (CCC), sotto l'autorità del presidente della Commissione o di un commissario cui è stata attribuita la responsabilità. Il CCC riunisce i rappresentanti delle pertinenti direzioni generali della Commissione, dei gabinetti e di altri servizi dell'UE al fine di guidare e coordinare la risposta della Commissione alla crisi. Presieduto dal segretario generale aggiunto, il CCC valuta la situazione, esamina le diverse opzioni e adotta decisioni pragmatiche per quanto riguarda gli strumenti dell'UE e gli strumenti di cui è responsabile la Commissione, garantendo l'attuazione delle decisioni adottate (3), (4).

Meccanismo di risposta alle crisi del SEAE: il meccanismo di risposta alle crisi del SEAE è un sistema strutturato che consente al SEAE di rispondere alle crisi e alle emergenze di natura esterna o con un'importante dimensione esterna, comprese le minacce ibride, che hanno ricadute potenziali o effettive sugli interessi dell'UE o su quelli di qualsiasi Stato membro. Assicurando la partecipazione alle riunioni dei funzionari della Commissione e del segretariato del Consiglio competenti, il meccanismo di risposta alle crisi facilita le sinergie tra gli sforzi diplomatici, di sicurezza e di difesa e gli strumenti finanziari, commerciali e di cooperazione gestiti dalla Commissione. La cellula di crisi può essere attivata per tutta la durata della crisi.

Meccanismi di cooperazione

Rete dei CSIRT: la rete dei CIRST, ossia dei gruppi di intervento per la sicurezza informatica in caso di incidente, riunisce tutti i CSIRT nazionali e governativi e il CERT-UE. Lo scopo della rete è quello di consentire e migliorare la condivisione delle informazioni tra i CSIRT sulle minacce e sugli incidenti di cibersicurezza, nonché cooperare nella risposta alle crisi e agli incidenti nel medesimo settore.

Gruppo orizzontale del Consiglio per le questioni riguardanti il ciberspazio: il gruppo di lavoro è stato istituito per garantire il coordinamento strategico e trasversale, in sede di Consiglio, sulle questioni attinenti alla politica in materia di ciberspazio e può essere coinvolto sia in attività legislative che in attività non legislative.

Soggetti

ENISA: l'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione, istituita nel 2004, lavora a stretto contatto con gli Stati membri e il settore privato per fornire consulenza e soluzioni su questioni quali le esercitazioni paneuropee per la cibersicurezza, lo sviluppo di strategie nazionali per la cibersicurezza, la creazione delle capacità dei CSIRT e la cooperazione tra gli stessi. L'ENISA collabora direttamente con i CSIRT in tutta l'UE e funge da segretariato della rete dei CSIRT.

ERCC: il centro di coordinamento della risposta alle emergenze della Commissione (nell'ambito della direzione generale per la Protezione civile e le operazioni di aiuto umanitario europee — DG ECHO) sostiene e coordina un'ampia gamma di attività di prevenzione, preparazione e risposta 24 ore su 24, 7 giorni su 7. Inaugurato nel 2013, esso funge da snodo per il sistema di risposta alle crisi della Commissione (in collegamento con le altre cellule di crisi dell'UE) e da punto di contatto centrale dell'IPCR, operativo 24 ore su 24, 7 giorni su 7.

Europol/EC3: il Centro europeo per la lotta alla criminalità informatica (EC3), istituito nel 2013 nell'ambito di Europol, sostiene l'intervento delle autorità di contrasto nella lotta alla cibercriminalità nell'UE. L'EC3 fornisce agli Stati membri sostegno a livello operativo e di analisi per le indagini e funge da polo di informazione e di intelligence sulla criminalità, sostenendo le operazioni e le indagini degli Stati membri con analisi, coordinamento e competenze a livello operativo, nonché capacità di sostegno a livello tecnico e digitale forense altamente specializzate.

CERT-UE: il gruppo di pronto intervento informatico delle istituzioni, degli organi e delle agenzie europee ha il compito di migliorare la protezione delle istituzioni, degli organi e delle agenzie dell'UE dalle minacce cibernetiche. Esso è membro della rete dei CSIRT. Il CERT-UE ha accordi tecnici sulla condivisione delle informazioni in materia di minacce cibernetiche con la CIRC (capacità di reazione agli incidenti informatici) della NATO, con alcuni paesi terzi e con gli operatori commerciali più importanti nel settore della cibersicurezza.

La comunità dell'intelligence dell'UE comprende il Centro dell'UE di analisi dell'intelligence (INTCEN) e la direzione «intelligence» dello Stato maggiore dell'Unione europea (EUMS INT) nel quadro dell'accordo sulla «capacità unica di analisi dell'intelligence» (Single Intelligence Analysis Capacity — SIAC). La SIAC ha il compito di fornire analisi d'intelligence, meccanismi di allerta precoce e conoscenza situazionale all'Alto rappresentante dell'Unione europea per gli affari esteri e la politica di sicurezza e al Servizio europeo per l'azione esterna (SEAE). La SIAC offre i suoi servizi ai vari organi decisionali dell'UE nei settori della politica estera e di sicurezza comune (PESC), della politica di sicurezza e di difesa comune (PSDC) e della lotta al terrorismo, nonché agli Stati membri. L'INTCEN e l'EUMS INT non sono agenzie operative e non dispongono di capacità di raccolta. Il livello operativo dell'intelligence è di competenza degli Stati membri. La SIAC si occupa unicamente di analisi strategica.

Cellula dell'UE per l'analisi delle minacce ibride: la comunicazione congiunta per contrastare le minacce ibride, dell'aprile 2016, indica la cellula dell'UE per l'analisi delle minacce ibride come punto focale per tutte le analisi delle fonti di minacce ibride nell'UE: il suo mandato è stato approvato nel dicembre 2016 dalla Commissione, a seguito di una consultazione interservizi. Istituita presso l'INTCEN, la cellula dell'UE per l'analisi delle minacce ibride fa parte della SIAC e, di conseguenza, opera congiuntamente all'EUMS INT, con un militare tra i membri permanenti. Il termine «ibrido» fa riferimento a un uso deliberato da parte di uno Stato o di un soggetto non statale di una combinazione di molteplici leve e strumenti palesi o occulti, militari o civili, quali ad esempio i ciberattacchi, le campagne di disinformazione, lo spionaggio, le pressioni economiche, l'uso di forze sussidiarie o altre attività sovversive. La cellula dell'UE per l'analisi delle minacce ibride collabora con un'ampia rete di punti di contatto, sia all'interno della Commissione che negli Stati membri, per fornire la risposta integrata/l'approccio governativo a tutto tondo necessari per rispondere a sfide di varia natura.

SITROOM dell'UE: la sala situazione dell'UE fa parte del Centro dell'UE di analisi dell'intelligence (INTCEN) e fornisce al SEAE la capacità operativa per garantire una risposta immediata ed efficace alle crisi. Si tratta di un organismo permanente civile-militare di pronto intervento, che svolge attività di monitoraggio e di conoscenza situazionale mondiali ed è operativo 24 ore su 24, 7 giorni su 7.

Strumenti pertinenti

Quadro per una risposta diplomatica comune dell'UE alle attività informatiche dolose: approvato nel giugno 2017, il quadro fa parte dell'approccio dell'UE alla diplomazia informatica, che contribuisce a prevenire i conflitti, a ridurre le minacce alla cibersicurezza e a incrementare la stabilità nelle relazioni internazionali. Il quadro si avvale pienamente delle misure della politica estera e di sicurezza comune, anche di misure restrittive, laddove necessario. Il ricorso alle misure nel contesto del quadro dovrebbe incoraggiare la cooperazione, facilitare l'attenuazione delle minacce immediate e a lungo termine e influenzare il comportamento degli autori delle minacce e dei potenziali aggressori nel lungo periodo.

2. COORDINAMENTO DELLE CRISI DI CIBERSICUREZZA NEI DISPOSITIVI IPCR — COORDINAMENTO ORIZZONTALE E ATTIVAZIONE POLITICA

I dispositivi IPCR possono essere (e sono stati) usati per affrontare questioni tecniche e operative, ma sempre da un punto di vista politico/strategico.

In termini di attivazione, l'IPCR può essere utilizzata in funzione del livello della crisi, passando dalla «modalità monitoraggio» alla «modalità condivisione di informazioni», che è il primo livello di attivazione dell'IPCR, fino all'«attivazione completa dell'IPCR».

L'attivazione completa del meccanismo è una decisione della presidenza di turno del Consiglio dell'UE. La «modalità condivisione di informazioni» dell'IPCR può essere attivata dalla Commissione, dal SEAE e dal segretariato generale del Consiglio. Il monitoraggio e la condivisione di informazioni innescano livelli differenti di scambio di informazioni: la «modalità condivisione di informazioni» attiva la richiesta di elaborare relazioni ISAA. L'attivazione completa aggiunge, agli strumenti disponibili, le riunioni della tavola rotonda dell'IPCR, portando al tavolo delle riunioni la presidenza (di norma, il presidente del Coreper II o un esperto della materia a livello di consigliere della rappresentanza permanente ma, in via eccezionale, si sono tenute tavole rotonde a livello ministeriale).

Soggetti

La presidenza di turno (di solito il presidente del Coreper) fa da capofila;

per il Consiglio europeo, il gabinetto del presidente;

per la Commissione europea, funzionari al livello del segretario generale aggiunto/di direttore generale e/o esperti della materia;

per il SEAE, funzionari al livello del segretario generale aggiunto/di direttore esecutivo e/o esperti della materia;

per il segretariato generale del Consiglio, il gabinetto del segretario generale, il gruppo dell'IPCR e le DG responsabili.

Ambito delle attività: tracciare un quadro integrato comune della situazione e attivare la conoscenza delle strozzature e delle carenze a ciascuno dei tre livelli, al fine di affrontarle sul piano politico, produrre decisioni al tavolo delle riunioni, se rientrano nella sfera di competenza dei partecipanti, o produrre proposte d'azione destinate al Coreper II e successivamente al Consiglio.

Condivisione della conoscenza situazionale

(Non attiva): possono essere generate pagine di monitoraggio dell'IPCR per seguire lo sviluppo di situazioni che potrebbero degenerare in una crisi con implicazioni nell'UE;

(modalità condivisione di informazioni dell'IPCR): le relazioni ISAA saranno elaborate dal capofila dell'ISAA sulla base del contributo dei servizi della Commissione, del SEAE e degli Stati membri (tramite i questionari IPCR);

(modalità attivazione completa dell'IPCR): oltre alle relazioni ISAA, tavole rotonde informali dell'IPCR riuniscono i diversi soggetti interessati negli Stati membri, la Commissione, il SEAE, le agenzie pertinenti ecc. al fine di discutere le carenze e le strozzature.

Cooperazione e risposta

Attivare/sincronizzare meccanismi/strumenti supplementari per la gestione delle crisi, a seconda della natura e dell'impatto dell'incidente, che possono comprendere, ad esempio, il meccanismo di protezione civile, il quadro per una risposta diplomatica comune dell'UE alle attività informatiche dolose o il «Quadro congiunto per contrastare le minacce ibride».

Comunicazioni in caso di crisi

La rete dei comunicatori dell'IPCR in caso di crisi può essere attivata dalla presidenza, previa consultazione dei pertinenti servizi della Commissione, del segretariato generale del Consiglio e del SEAE, al fine di sostenere la creazione di messaggi comuni o di sviluppare gli strumenti di comunicazione più efficaci.

3. GESTIONE DELLE CRISI DI CIBERSICUREZZA NEL SISTEMA ARGUS — CONDIVISIONE DELLE INFORMAZIONI ALL'INTERNO DELLA COMMISSIONE EUROPEA

Di fronte alle crisi impreviste per le quali è stata necessaria un'azione a livello europeo, ad esempio gli attentati terroristici di Madrid (marzo 2004), lo tsunami in Asia sudorientale (dicembre 2004) e gli attacchi terroristici di Londra (luglio 2005), nel 2005 la Commissione ha istituito il sistema di coordinamento ARGUS che, sostenuto dall'omonimo sistema generale di allarme rapido (5), (6), è inteso a stabilire una specifica procedura di coordinamento in caso di grave crisi multisettoriale, per consentire la condivisione in tempo reale di informazioni riguardanti la crisi e garantire la rapidità del processo decisionale.

ARGUS prevede due fasi, a seconda della gravità dell'evento.

Fase I: è utilizzata per la «condivisione di informazioni» durante una crisi di portata limitata.

Esempi di eventi recenti del tipo «fase I» segnalati comprendono gli incendi boschivi in Portogallo e Israele, l'attacco di Berlino del 2016, le inondazioni in Albania, l'uragano Matthew ad Haiti e la siccità in Bolivia. Qualsiasi DG può aprire un evento del tipo «fase I», nel caso in cui ritenga che la situazione nel suo settore di competenza sia sufficientemente grave da giustificare o trarre beneficio dalla condivisione di informazioni. Ad esempio, la DG CNECT o la DG HOME possono aprire un evento del tipo «fase I» nel caso in cui ritengano che una situazione connessa alla cibersicurezza nei loro rispettivi settori di competenza sia sufficientemente grave da giustificare o trarre beneficio dalla condivisione di informazioni.

Fase II: è attivata in caso di grave crisi multisettoriale ovvero di minaccia prevedibile o imminente per l'Unione.

La fase II comporta una specifica procedura di coordinamento che consente alla Commissione di prendere decisioni e gestire una risposta rapida, coordinata e coerente al più alto livello nel suo settore di competenza e in cooperazione con le altre istituzioni. La fase II è destinata alle situazioni di grave crisi multisettoriale ovvero di minaccia prevedibile o imminente. Tra gli esempi di eventi reali del tipo «fase II» figurano la crisi dei rifugiati/della migrazione (dal 2015 a tutt'oggi), la triplice catastrofe di Fukushima (2011) e l'eruzione del vulcano Eyjafjallajökull in Islanda (2010).

La fase II è attivata dal presidente, di propria iniziativa o su richiesta di un membro della Commissione. Il presidente può attribuire al commissario responsabile del servizio maggiormente interessato dalla crisi in atto la responsabilità politica dell'intervento della Commissione o assumere egli stesso tale responsabilità.

La fase II prevede riunioni d'urgenza del Comitato di coordinamento di crisi (CCC) che sono indette sotto l'autorità del presidente o del commissario al quale è stata attribuita la responsabilità. Le riunioni sono convocate dal segretariato generale mediante lo strumento informatico ARGUS. Il CCC è una struttura operativa specifica per la gestione delle crisi, istituita al fine di dirigere e coordinare l'intervento della Commissione in caso di crisi, che riunisce le DG della Commissione, i gabinetti e gli altri servizi dell'UE competenti. Presieduto dal segretario generale aggiunto, il CCC valuta la situazione, esamina le diverse opzioni e adotta decisioni, e garantisce l'attuazione delle decisioni e dei provvedimenti e, nel contempo, la coerenza e l'uniformità dell'intervento. Il sostegno al CCC è fornito dal segretariato generale.

4. MECCANISMO DI RISPOSTA ALLE CRISI DEL SEAE

Il meccanismo di risposta alle crisi del SEAE è attivato nel caso di una situazione grave o di emergenza che riguarda o comunque coinvolge la dimensione esterna dell'UE. Il meccanismo è attivato dal segretario generale aggiunto per la risposta alle crisi, previa consultazione dell'AR/VP o del segretario generale. Anche l'AR/VP, l'SG, un altro segretario generale aggiunto o il direttore esecutivo possono chiedere al segretario generale aggiunto di avviare il meccanismo di risposta alle crisi.

Esso contribuisce alla coerenza dell'UE nella risposta alle crisi nel quadro della strategia per la sicurezza. In particolare, tale meccanismo facilita le sinergie tra gli sforzi diplomatici, di sicurezza e di difesa e gli strumenti finanziari, commerciali e di cooperazione gestiti dalla Commissione.

Esso è collegato al sistema generale di risposta alle emergenze della Commissione (ARGUS) e ai dispositivi dell'IPCR, al fine di sfruttare le sinergie in caso di attivazione simultanea. La sala situazione del SEAE funge da polo di comunicazione tra il SEAE e i sistemi di risposta alle emergenze del Consiglio e della Commissione.

Di norma, la prima azione connessa all'attuazione del meccanismo è la convocazione di una riunione di crisi tra gli alti dirigenti del SEAE, della Commissione e del Consiglio direttamente interessati dalla crisi in questione. Durante la riunione di crisi si valutano gli effetti a breve termine della crisi e si possono concordare provvedimenti immediati oppure l'attivazione della cellula di crisi o la convocazione di una piattaforma di crisi. Tali azioni possono essere attuate in qualsiasi sequenza temporale.

La cellula di crisi è una sala operativa su scala ridotta in cui i rappresentanti dei servizi del SEAE, della Commissione e del Consiglio coinvolti nella risposta alla crisi si riuniscono per monitorare la situazione in modo continuativo al fine di fornire sostegno ai decisori che operano presso la sede centrale del SEAE. Quando viene attivata, la cellula di crisi è operativa 24 ore su 24, 7 giorni su 7.

La piattaforma di crisi riunisce i servizi pertinenti del SEAE, della Commissione e del Consiglio per valutare a medio e lungo termine gli effetti delle crisi e concordare le azioni da intraprendere. Essa è presieduta dall'AR/VP o dal segretario generale o dal segretario generale aggiunto per la risposta alle crisi. La piattaforma di crisi valuta l'efficacia dell'azione dell'UE nel paese o nella regione in situazione di crisi, decide le modifiche alle misure supplementari e discute le proposte di azione del Consiglio. La piattaforma di crisi è una riunione ad hoc, pertanto non è attivata in modo permanente.

La task force è composta da rappresentanti dei servizi coinvolti nell'intervento e può essere attivata per seguire e facilitare l'attuazione dell'intervento dell'UE. Essa valuta l'impatto dell'azione dell'UE, elabora documenti politici e documenti di opzioni, contribuisce alla preparazione del quadro politico per l'approccio alle crisi (PFCA), contribuisce alla strategia di comunicazione e adotta qualsiasi altro dispositivo in grado di agevolare l'attuazione dell'intervento dell'UE.

5. DOCUMENTI DI RIFERIMENTO

In appresso figura un elenco dei documenti di riferimento che sono stati presi in considerazione nella preparazione del programma:

—	«European Cyber Crises Cooperation Framework», versione 1 del 17 ottobre 2012.

—	«Report on Cyber Crisis Cooperation and Management», ENISA, 2014

—	«Actionable Information for Security Incident Response», ENISA, 2014

—	«Common practices of EU-level crisis management and applicability to cyber crises», ENISA, 2015

—	«Strategies for Incident Response and Cyber Crisis Cooperation», ENISA, 2016

—	«EU Cyber Standard Operating Procedures», ENISA, 2016

—	«A good practice guide of using taxonomies in incident prevention and detection», ENISA, 2017

—	Comunicazione della Commissione «Rafforzare il sistema di resilienza informatica dell'Europa e promuovere la competitività e l'innovazione nel settore della cibersicurezza» (COM(2016) 410 final del 5.7.2016).

—	«Rafforzare il sistema di resilienza informatica dell'Europa e promuovere la competitività e l'innovazione nel settore della cibersicurezza» — conclusioni del Consiglio del 15 novembre 2016, documento 14540/16

—	Decisione 2014/415/UE del Consiglio, del 24 giugno 2014, relativa alle modalità di attuazione da parte dell'Unione della clausola di solidarietà (GU L 192 dell'1.7.2014, pag. 53)

—	«Completamento del processo di riesame dei dispositivi di coordinamento nella gestione delle crisi (CCA): i dispositivi integrati dell'UE per la risposta politica alle crisi (IPCR)», documento 10708/13 del 7 giugno 2013.

—	«Integrated Situational Awareness and Analysis (ISAA) — Standard Operating Procedures», DS 1570/15 del 22 ottobre 2015.

—	«Disposizioni della Commissione relative al sistema generale di allarme rapido “ARGUS”» (COM(2005) 662 definitivo del 23 dicembre 2005).

—	Decisione 2006/25/CE, Euratom della Commissione, del 23 dicembre 2005, recante modifica del suo regolamento interno (GU L 19 del 24 gennaio 2006, pag. 20).

—	Modus Operandi di ARGUS, Commissione europea, 23 ottobre 2013

—	«Progetto di conclusioni del Consiglio su un quadro relativo ad una risposta diplomatica comune dell'UE alle attività informatiche dolose (“pacchetto di strumenti della diplomazia informatica”)», documento 9916/17

—	«EU operational protocol for countering hybrid threats “EU Playbook”», SWD(2016) 227 final

—	Meccanismo di risposta alle crisi del SEAE dell'8 novembre 2016 [Ares(2017)880661]. Documento di lavoro congiunto dei servizi «EU operational protocol for countering hybrid threats EU Playbook» [SWD(2016) 227 final del 5 luglio 2016]

—	Comunicazione congiunta al Parlamento europeo e al Consiglio «Quadro congiunto per contrastare le minacce ibride — La risposta dell'Unione europea» [JOIN(2016) 18 final del 6 aprile 2016].

—	Documento di lavoro del Servizio europeo per l'azione esterna «EU Hybrid Fusion Cell — Terms of Reference» [EEAS(2016) 1674].

6. ELEMENTI SPECIFICI DELLA CIBERSICUREZZA NELLA PROCEDURA IPCR

(1) Documento 10708/13 «Completamento del processo di riesame dei dispositivi di coordinamento nella gestione delle crisi (CCA): dispositivi integrati dell'UE per la risposta politica alle crisi (IPCR)», approvato dal Consiglio il 24 giugno 2013.

(2) Documento 12607/15 sulle procedure operative standard dell'IPCR, approvato dal gruppo degli amici della presidenza, di cui il Coreper ha preso nota nell'ottobre 2015.

(3) «Disposizioni della Commissione relative al sistema generale di allarme rapido “ARGUS”» [COM(2005) 662 definitivo del 23 dicembre 2005].

(4) Decisione 2006/25/CE, Euratom della Commissione, del 23 dicembre 2005, recante modifica del suo regolamento interno (GU L 19 del 24 gennaio 2006, pag. 20), sull'istituzione del sistema generale di allarme rapido «ARGUS».

(5) Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni Disposizioni della Commissione relative al sistema generale di allarme rapido «ARGUS» [COM(2005) 662 definitivo del 23 dicembre 2005].

(6) Decisione 2006/25/CE, Euratom.

		ISSN 1977-0707
Gazzetta ufficiale dell'Unione europea		L 239

Edizione in lingua italiana	Legislazione	60° anno 19 settembre 2017

Sommario		II Atti non legislativi	pagina
		REGOLAMENTI
	*	Regolamento delegato (UE) 2017/1575 della Commissione, del 23 giugno 2017, recante modifica del regolamento delegato (UE) 2015/242 che stabilisce disposizioni dettagliate concernenti il funzionamento dei consigli consultivi nell'ambito della politica comune della pesca	1
	*	Regolamento delegato (UE) 2017/1576 della Commissione, del 26 giugno 2017, che modifica il regolamento (UE) n. 540/2014 del Parlamento europeo e del Consiglio per quanto riguarda le prescrizioni relative ai sistemi di allarme acustico per l'omologazione UE dei veicoli ( 1 )	3
	*	Regolamento di esecuzione (UE) 2017/1577 della Commissione, del 5 settembre 2017, recante approvazione di una modifica non minore del disciplinare di una denominazione iscritta nel registro delle denominazioni di origine protette e delle indicazioni geografiche protette [Acciughe sotto sale del mar Ligure (IGP)]	8
	*	Regolamento di esecuzione (UE) 2017/1578 della Commissione, del 18 settembre 2017, che modifica il regolamento di esecuzione (UE) n. 1194/2013 che istituisce un dazio antidumping definitivo e dispone la riscossione definitiva del dazio provvisorio istituito sulle importazioni di biodiesel originario di Argentina e Indonesia	9
		Regolamento di esecuzione (UE) 2017/1579 della Commissione, del 18 settembre 2017, che fissa il coefficiente di attribuzione da applicare ai quantitativi che formano oggetto delle domande di titoli di importazione presentate dal 1o al 7 settembre 2017 e determina i quantitativi da aggiungere al quantitativo fissato per il sottoperiodo dal 1o gennaio al 31 marzo 2018 nell'ambito dei contingenti tariffari aperti dal regolamento (CE) n. 533/2007 nel settore del pollame	25
		Regolamento di esecuzione (UE) 2017/1580 della Commissione, del 18 settembre 2017, che determina i quantitativi da aggiungere al quantitativo fissato per il sottoperiodo dal 1o gennaio al 31 marzo 2018 nell'ambito dei contingenti tariffari aperti dal regolamento (CE) n. 539/2007 nel settore delle uova e delle ovoalbumine	28
		Regolamento di esecuzione (UE) 2017/1581 della Commissione, del 18 settembre 2017, che fissa il coefficiente di attribuzione da applicare ai quantitativi che formano oggetto delle domande di titoli di importazione presentate dal 1o al 7 settembre 2017 nell'ambito dei contingenti tariffari aperti dal regolamento (CE) n. 1385/2007 nel settore del pollame	30
		Regolamento di esecuzione (UE) 2017/1582 della Commissione, del 18 settembre 2017, che determina i quantitativi da aggiungere al quantitativo fissato per il sottoperiodo dal 1o gennaio al 31 marzo 2018 nell'ambito del contingente tariffario aperto dal regolamento (CE) n. 536/2007 per le carni di pollame originarie degli Stati Uniti d'America	32
		DECISIONI
	*	Decisione (UE) 2017/1583 della Commissione, del 1o settembre 2017, che designa, in conformità della direttiva 2006/7/CE del Parlamento europeo e del Consiglio, la norma EN ISO 17994:2014 quale norma sull'equivalenza dei metodi microbiologici [notificata con il numero C(2017) 5843]	34
		RACCOMANDAZIONI
	*	Raccomandazione (UE) 2017/1584 della Commissione, del 13 settembre 2017, relativa alla risposta coordinata agli incidenti e alle crisi di cibersicurezza su vasta scala	36

Numero d'ordine	Coefficiente di attribuzione — domande presentate per il sottoperiodo dal 1o ottobre al 31 dicembre 2017 (in %)	Quantitativi non richiesti, da aggiungere a quelli disponibili per il sottoperiodo dal 1o gennaio al 31 marzo 2018 (in kg)
09.4067	1,838508	—
09.4068	0,162074	—
09.4069	0,134791	—
09.4070	—	890 500

Numero d'ordine	Quantitativi per i quali non sono state presentate domande, da aggiungere ai quantitativi disponibili per il sottoperiodo dal 1o gennaio al 31 marzo 2018 (in kg equivalente uova in guscio)
09.4015	67 500 000
09.4401	377 061
09.4402	6 820 000

Numero d'ordine	Coefficiente di attribuzione — domande presentate per il sottoperiodo 1o ottobre-31 dicembre 2017 (in %)
09.4410	0,122017
09.4411	0,147890
09.4412	0,124570
09.4420	0,138450
09.4421	—
09.4422	0,138449


	(1) Testo rilevante ai fini del SEE.